从 Microsoft DNS 服务器分析日志中提取响应

Question

有两个地方可以找到 Windows DNS 服务器日志 - 首先，正如您提到的，是通过 DNS 调试日志文件。也可以通过 Windows ETW 提供程序 (Microsoft-Windows-DNS 服务器服务，微软Windows DNS服务器我使用过类似 Microsoft Message Analyzer 的工具来执行事件跟踪会话，还使用过日志收集器 NXLog（注意：我参与了该项目）从 ETW 提供程序收集事件跟踪数据，并将这些数据写入 JSON。

我确信封包数据在对微软Windows DNS服务器ETW 提供程序。请参阅下文使用 NXLog 的摘录im_etw带有 JSON 输出的模块。

{
    "EventTime": "2017-03-10 09:51:03",
    "Provider": "Microsoft-Windows-DNSServer",
    "TCP": "0",
    "InterfaceIP": "10.2.0.162",
    "Source": "10.2.0.198",
    "RD": "1",
    "QNAME": "nickelfreesolutions.com.",
    "QTYPE": "1",
    "XID": "11675",
    "Port": "22416",
    "Flags": "256",
    "BufferSize": "41",
    "PacketData":
"0x2D9B01000001000000000000136E69636B656C66726565736F6C7574696F6E7303636F6D0000010001",
    "EventReceivedTime": "2017-03-10 09:51:04",
    "SourceModuleName": "etw_in",
    "SourceModuleType": "im_etw"
}

Answer 1

有两个地方可以找到 Windows DNS 服务器日志 - 首先，正如您提到的，是通过 DNS 调试日志文件。也可以通过 Windows ETW 提供程序 (Microsoft-Windows-DNS 服务器服务，微软Windows DNS服务器我使用过类似 Microsoft Message Analyzer 的工具来执行事件跟踪会话，还使用过日志收集器 NXLog（注意：我参与了该项目）从 ETW 提供程序收集事件跟踪数据，并将这些数据写入 JSON。

我确信封包数据在对微软Windows DNS服务器ETW 提供程序。请参阅下文使用 NXLog 的摘录im_etw带有 JSON 输出的模块。

{
    "EventTime": "2017-03-10 09:51:03",
    "Provider": "Microsoft-Windows-DNSServer",
    "TCP": "0",
    "InterfaceIP": "10.2.0.162",
    "Source": "10.2.0.198",
    "RD": "1",
    "QNAME": "nickelfreesolutions.com.",
    "QTYPE": "1",
    "XID": "11675",
    "Port": "22416",
    "Flags": "256",
    "BufferSize": "41",
    "PacketData":
"0x2D9B01000001000000000000136E69636B656C66726565736F6C7574696F6E7303636F6D0000010001",
    "EventReceivedTime": "2017-03-10 09:51:04",
    "SourceModuleName": "etw_in",
    "SourceModuleType": "im_etw"
}

从 Microsoft DNS 服务器分析日志中提取响应

答案1

相关内容