我试图激活 DHCP 服务器审计日志在 Windows Server 2012 R2 上使用DHCP 分析日志。
到目前为止,我使用的是前一种方法,即使用 TXT 文件(见下图)。这种方法效果很好,但由于我们现在从分析日志(而不是 TXT 文件)收集 DNS 日志,因此我们试图将这两种方法合并为一种通用方法。
因此我检查了 DHCP 服务器建议的分析日志类型,发现了以下日志:
激活 DHCP 分析审计日志(我知道它们过去是如何运作的)后,我期望在这个新的事件日志文件中看到不同 DHCP 日志(租约、释放……)的结果,但里面什么都没有写(停止后)。当我查看前一个 TXT 文件输出时,我可以看到仍然写入了一些活动,如下所示:
所以我的问题是,既然这个地方应该是正确的,为什么没有写任何有关 DHCP 活动的内容?我是不是漏掉了什么?谢谢你的帮助!
顺便说一句,我已经检查了以下几点:
- 禁用以前的审核 DHCP 审核设置
- 在 PowerShell 命令“set-dhcpserver”上添加查看
- 尝试使用 NXLog 而不是 Windows 事件查看器读取 ETL 文件输出内容 > 文件为空,未报告任何内容
- 在互联网上查找 DHCP 分析日志几乎没有任何报告。另一方面,DNS 分析日志有很好的记录