不幸的是,我开启了 DNS 清理;我需要检索的信息可能在事件查看器 DNS 日志中,但不再存在,或者我没有正确查找它。
故事:我需要报告一台在我们的网络上进行可疑活动的机器。活动发生在特定的时间窗口之间。DNS/IP 此后发生了变化。我从安全团队获得的所有信息都是一个 IP 和一个时间窗口。
问题:有没有其他地方可以让我获得该日志信息并追踪在特定时间哪台机器具有特定 IP?我还将要求网络查看事物的交换机/网关端(可能将其确定为 Mac 地址或其他东西),但我希望我能找到一种从系统端进行验证的方法。有任何想法吗?
你说IP变了,听起来你可能是用DHCP来分配地址?检查 DHCP 日志文件 C:\Windows\system32\dhcp。使用时间和 IP 来查找 MAC 地址,然后使用您的库存系统来追踪该资产。https://technet.microsoft.com/en-us/library/dd183591%28v=ws.10%29.aspx
解决方案是访问当前具有该 IP 的机器的系统日志。这是一台 OSX 机器,我能够
grep 'IP ADDRESS' /var/log/* /dev/null找到一个包含历史 IP 信息的日志文件。我发现它被保存了/var/log/daily.out,我能够确认当前持有IP的机器在前3天也有相同的IP,回答了我的问题并获得了我需要的信息。注意:DHCP 将是检查的地方,如果我从 Windows 服务器运行 DHCP,@Craig620 的答案非常合适。我在 DHCP 方面进行了网络查看,不幸的是他们无法检索任何日志,并且每 4 小时转储一次 arp。因此,来自客户端的日志给了我我需要的东西,而不需要依赖服务器/网络日志。