Windows DNSサーバー-誰がクエリを行ったかを知る方法は?
私たちの環境には、既知のシンクホールアドレスのDNSルックアップを取得しようとしているホストがあります。 DNSサーバーはWindows Server 2012を実行しています。
私たちの環境でホストを見つけることができません。
GoogleとStack Exchangeを調べましたが、このリクエストを行っているホスト(IPまたはMACアドレス)を追跡するために有効にする必要がある正確なログまたは監査に関する情報が見つかりません。
このために、DNSサーバーでデバッグログを有効にします。
- サーバーマネージャーのToolsメニューからDNS Managerを開きます
- 左側のペインでDNSサーバーを右クリックし、プロパティをクリックします
- デバッグロギングタブをクリックし、デバッグ用のログパケットチェックボックスをオンにします
- ログに記録されるデータの量を最小限に抑えるには、次のチェックボックスをオフにします。
- パケットの方向-発信
- トランスポートプロトコル-TCP
- パケットの内容-アップデート
- パケットタイプ-応答
- Log fileセクションで、ログのパスとファイル名を入力します。必要に応じて、最大サイズ(バイト)の値を変更します。
- [〜#〜] ok [〜#〜]をクリックします。
クライアントがDNSサーバーにクエリを実行すると、ログファイルに次のような行が表示されます(この場合、クライアントはsuperuser.comのクエリを実行しました)。
16-07-2017 19:51:55 0DB4 PACKET 000000FA30FDFB60 UDP Rcv 10.10.10.100 000a Q [0001 D NOERROR] A (9)superuser(3)com(0)
Rcv(10.10.10.100)の後のIPアドレスは、クエリを実行したクライアントのIPアドレスです。
[〜#〜] remember [〜#〜]パフォーマンスに影響する可能性があるため、不要になったDNSサーバーでデバッグログを無効にするサーバーの。