我不幸有DNS清除; 我需要检索的信息可能已经在事件查看器的DNS日志中,但这不再存在,或者我可能没有正确地寻找它。
故事:我需要报告在我们的networking上投掷可疑活动的机器。 活动发生在特定的时间窗口之间。 DNS / IP已经改变了。 我从安全团队获得的所有信息都是知识产权和时间窗口。
问题:有没有其他地方可以获取日志信息,并在特定时间追踪哪台机器具有特定IP? 我也会问networking在交换机/网关方面的东西(也许钉到Mac地址或东西),但我希望我能find一种方法来validation从系统端。 有任何想法吗?
你说IP已经改变了,这听起来像你可能使用DHCP来分配地址? 检查DHCP日志文件C:\ Windows \ system32 \ dhcp。 使用时间和IP来查找MAC地址,然后使用您的库存系统来追踪该资产。 https://technet.microsoft.com/en-us/library/dd183591%28v=ws.10%29.aspx
解决方法是访问当前拥有该IP的计算机的系统日志。 这是一个OSX机器,我可以通过grep 'IP ADDRESS' /var/log/* /dev/nullfind一个包含历史IP信息的日志文件。 我发现它被保存在/var/log/daily.out ,我能够确认当前拥有IP的计算机在前3天也具有相同的IP,回答我的问题并获取信息I需要。
注意:DHCP将是检查的地方,如果我从Windows服务器上运行DHCP,Craig620的答案是非常合适的。 我有networking看DHCP的一面,不幸的是,他们无法检索任何日志和ARP每4小时倾倒。 因此,来自客户端的日志给了我所需要的东西,而不需要依靠服务器/networking日志。