К сожалению, у меня включена очистка DNS; информация, которую мне нужно получить, могла быть в журналах DNS средства просмотра событий, но ее там больше нет, или, возможно, я не ищу ее должным образом.
История: Мне нужно сообщить о машине, которая проявляла подозрительную активность в нашей сети. Действие происходило между определенным промежутком времени. DNS / IP с тех пор изменились. Вся информация, которую я получил от службы безопасности, - это IP-адрес и временное окно.
Вопрос: Есть ли другое место, где я могу получить эту информацию журнала и отследить, какая машина имела определенный IP-адрес в определенное время? Я также буду просить сеть посмотреть на коммутатор / шлюз (возможно, привязать его к адресу Mac или чему-то еще), но я надеюсь, что смогу найти способ проверки со стороны системы. Любые идеи?
Вы говорите, что IP-адрес изменился, что похоже на то, что вы можете использовать DHCP для назначения адресов? Проверьте файлы журнала DHCP C: \ Windows \ system32 \ dhcp. Используйте время и IP, чтобы найти MAC-адрес, а затем используйте свою систему инвентаризации, чтобы отследить этот актив. https://technet.microsoft.com/en-us/library/dd183591%28v=ws.10%29.aspx
Решение состояло в том, чтобы получить доступ к системным журналам машины, у которой в настоящее время был этот IP. Это была машина OSX, и я смог grep 'IP ADDRESS' /var/log/* /dev/null найти файл журнала, в котором хранится историческая информация об IP. Я обнаружил, что это было /var/log/daily.out и я смог подтвердить, что машина, которая в настоящее время считала этот IP-адрес, также имела тот же IP-адрес в течение 3 предыдущих дней, отвечая на мой вопрос и получая необходимую мне информацию.
ПРИМЕЧАНИЕ: DHCP было бы местом для проверки, и ответ @ Craig620 очень уместен, если бы я запускал DHCP с сервера Windows. Я посмотрел на сеть со стороны DHCP, и, к сожалению, они не смогли получить никаких журналов, и arp сбрасывался каждые 4 часа. Таким образом, журналы со стороны клиента дали мне то, что мне было нужно, без необходимости полагаться на журналы сервера / сети.