坦白说,我不是 Windows 管理员,也不是 Windows 专家。从 Windows 2012 r2 开始,支持在 Windows DNS 服务器中记录 DNS 分析日志。我的任务是将这些日志发送到远程服务器(最好使用 NXLog),但看起来这并不像我希望的那么简单。然而,我对 Windows 中的分析日志记录还很陌生,因此我可能错过了一种简单的方法。
我找到了一篇来自微软的文章,描述了如何使能够这种日志记录和另一篇描述这种用法的文章网络取证。但是,如果我使用日志轮换,除非我禁用分析源,否则我无法读取日志。但是,如果我启用不覆盖日志,并在日志已满时删除,我可以读取日志,但除非我重新启动分析源,否则无法清除它。
我知道可以将此分析日志发送到操作目标,但我一直无法弄清楚如何做到这一点。这可能吗?我知道一旦 DNS 服务器上的 QPS 超过 100k,性能可能会下降。
所以总结一下,我想实现的目标与上面链接的网络取证文章中的目标相同,不管怎样。我当前的“解决方案”包括一个脚本,停止源,将日志转储到 csv 文件,然后重新启动源,因此我能够获取数据。但是我希望有一个更简化的解决方案。任何指向帮助我实现上述目标的文章的链接指针都将不胜感激。
答案1
我同意阅读 ETL 通道以获取 DNS 日志是最好的解决方案,但前提是它们会持续被写入和访问 - 但事实并非如此,正如您所说。因此,我可以向您提出几种收集 Windows DNS 服务器日志的解决方案:
- [内置]:启用 Windows Server DNS 日志记录。日志将保存到 NXLog 可以读取的文本文件中。此解决方案是最简单的解决方案。但是它没有文件轮换,我们仍然需要解析 txt 文件
- [NXLOG]:使用 NXLog 读取分析日志 (*.ETL)。此功能由 NXLog (来源)并进入模块“im_msvistalog“
- [电源销售]:我找到了一个脚本(来源) 可以读取 ETL 通道并将其写入标准通道(EVTX 文件)。然后由您使用 WEF 或 NXLog 读取和转发日志(如果前一点不起作用)
- [ETW 包装器]:Microsoft 在“中提供了自己的 ETW 包装器O365.安全.本机.ETW“(来源)但我觉得实施起来很复杂
- [定制供应商]:一些供应商(如 EventTracker 或 Splunk)实施了自己的解决方案和脚本来获取 DNS 日志。看看他们如何管理它可能会很有趣。我发现 Splunk Stream 可以使用集成脚本解决这个问题(来源)
最后,我建议您阅读 EventTracker 的 PDF 文档(来源) 和 Netwrix (来源) 对我完整收集所有 DNS 相关日志非常有帮助。
最后,我还可以向您提供我制作的这个表格,以便更好地了解在 Windows 上收集 DNS 日志的位置。
答案2
我认为我们已经讨论过这个问题Reddit因此我只是将链接放在这里以供进一步参考。