因此,我定期记录与恶意软件相关的 DNS 请求的 Cisco OpenDNS Umbrella 拒绝记录。据我所知,这些拒绝来自我们的内部 AD DNS 服务器。它为基于 Internet 的域名的 DNS 解析定义了 Umbrella DNS。
当我查看 DNS 审核日志时,我没有看到初始事件 ID 256 - LOOK_UP QUERY_RECEIVED 表示这些拒绝。如果我这样做了,我会看到内部来源(即 - Source=xxxx)并可以进一步调查。我看到的第一个活动始终是事件 ID 260 - RECURSE_QUERY RECURSE_QUERY_OUT,这是本地 AD DNS 服务器向 Umbrella 查询以解析恶意 QNAME。
这是否意味着本地 AD DNS 服务器是初始请求者?我已经详细查看了该框,在查看 netstat -abn 命令行结果的结果时,没有看到任何奇怪的进程正在运行或任何其他异常。所以这就是我在这里问这个的原因:)
我在服务器上启用了 DNS 调试日志记录,现在可以更好地处理 DNS 查询/响应流。这应该为我提供我正在寻找的详细程度!
http://support.moonpoint.com/network/dns/windows/logging/srvr2012.php