Можно ли извлечь ответы DNS из аналитических журналов Microsoft DNS Server (Microsoft-Windows-DNS-Server / Analytical)? Журналы содержат поле под названием «PacketData» в разделе EventData события, но пока мне не удалось извлечь ничего полезного из поля PacketData.
Журналы DNS-сервера Windows можно найти в двух местах - во-первых, как вы упомянули, в файле журнала отладки DNS. Также данные доступны через поставщиков Windows ETW (Microsoft-Windows-DNS-сервер-Сервис, Microsoft-Windows-DNSServer). Я использовал что-то вроде Microsoft Message Analyzer для выполнения сеанса трассировки событий, а также сборщик журналов NXLog (примечание: я участвую в этом проекте) для сбора данных трассировки событий от поставщика ETW и записи их в JSON.
Я точно знаю, что PacketData поле обнаруживается, когда вы выполняете трассировку трассировки событий Windows для Microsoft-Windows-DNSServer Поставщик ETW. Ниже приведен отрывок с использованием NXLog im_etw модуль с выводом JSON.
{
"EventTime": "2017-03-10 09:51:03",
"Provider": "Microsoft-Windows-DNSServer",
"TCP": "0",
"InterfaceIP": "10.2.0.162",
"Source": "10.2.0.198",
"RD": "1",
"QNAME": "nickelfreesolutions.com.",
"QTYPE": "1",
"XID": "11675",
"Port": "22416",
"Flags": "256",
"BufferSize": "41",
"PacketData":
"0x2D9B01000001000000000000136E69636B656C66726565736F6C7574696F6E7303636F6D0000010001",
"EventReceivedTime": "2017-03-10 09:51:04",
"SourceModuleName": "etw_in",
"SourceModuleType": "im_etw"
}