web-dev-qa-db-ja.com

Windows DNSサーバー-誰がクエリを行ったかを知る方法は?

私たちの環境には、既知のシンクホールアドレスのDNSルックアップを取得しようとしているホストがあります。 DNSサーバーはWindows Server 2012を実行しています。

私たちの環境でホストを見つけることができません。

GoogleとStack Exchangeを調べましたが、このリクエストを行っているホスト(IPまたはMACアドレス)を追跡するために有効にする必要がある正確なログまたは監査に関する情報が見つかりません。

5
SeanClt

このために、DNSサーバーでデバッグログを有効にします。

  1. サーバーマネージャーのToolsメニューからDNS Managerを開きます
  2. 左側のペインでDNSサーバーを右クリックし、プロパティをクリックします
  3. デバッグロギングタブをクリックし、デバッグ用のログパケットチェックボックスをオンにします
  4. ログに記録されるデータの量を最小限に抑えるには、次のチェックボックスをオフにします。
    • パケットの方向-発信
    • トランスポートプロトコル-TCP
    • パケットの内容-アップデート
    • パケットタイプ-応答
  5. Log fileセクションで、ログのパスとファイル名を入力します。必要に応じて、最大サイズ(バイト)の値を変更します。
  6. [〜#〜] ok [〜#〜]をクリックします。

enter image description here

クライアントがDNSサーバーにクエリを実行すると、ログファイルに次のような行が表示されます(この場合、クライアントはsuperuser.comのクエリを実行しました)。

16-07-2017 19:51:55 0DB4 PACKET  000000FA30FDFB60 UDP Rcv 10.10.10.100    000a   Q [0001   D   NOERROR] A      (9)superuser(3)com(0)

Rcv(10.10.10.100)の後のIPアドレスは、クエリを実行したクライアントのIPアドレスです。

[〜#〜] remember [〜#〜]パフォーマンスに影響する可能性があるため、不要になったDNSサーバーでデバッグログを無効にするサーバーの。


DNSロギングと診断

6
FastEthernet