Infelizmente, tenho a eliminação de DNS ativada; as informações que preciso recuperar podem estar nos logs DNS do Visualizador de Eventos, mas não estão mais lá ou talvez eu não esteja procurando por elas corretamente.
História: preciso relatar uma máquina que estava lançando atividades suspeitas em nossa rede. A atividade ocorreu entre uma janela de tempo específica. DNS/IP mudou desde então. Todas as informações que obtive da equipe de segurança são um IP e uma janela de tempo.
Pergunta: Existe algum outro lugar onde eu possa obter essas informações de log e rastrear qual máquina tinha um IP específico em um horário específico? Também pedirei à rede que verifique o lado do switch / gateway (talvez prenda-o ao endereço Mac ou algo assim), mas espero encontrar uma maneira de verificar do lado do sistema. Alguma ideia?
Você diz que o IP mudou, o que parece que você pode estar usando DHCP para atribuir endereços? Verifique os arquivos de log do DHCP C:\Windows\system32\dhcp. Use o tempo e o IP para encontrar o endereço MAC e, em seguida, use seu sistema de inventário para rastrear esse ativo. https://technet.microsoft.com/en-us/library/dd183591%28v=ws.10%29.aspx
A resolução foi acessar os logs do sistema da máquina que atualmente possuía aquele IP. Era uma máquina OSX e consegui
grep 'IP ADDRESS' /var/log/* /dev/nullencontrar um arquivo de log que continha informações históricas de IP. Descobri que estava retido/var/log/daily.oute pude confirmar que a máquina que atualmente detinha aquele IP também tinha o mesmo IP nos 3 dias anteriores, respondendo à minha pergunta e obtendo as informações de que precisava.NOTA: DHCP seria o local para verificar e a resposta de @Craig620 é muito apropriada se eu estivesse executando o DHCP de um servidor Windows. Eu verifiquei a rede no lado do DHCP e, infelizmente, eles não conseguiram recuperar nenhum log e o arp foi despejado a cada 4 horas. Portanto, os logs do lado do cliente me forneceram o que eu precisava, sem precisar depender dos logs do servidor/rede.