Извлечение ответов из аналитических журналов Microsoft DNS Server

Question

Извлечение ответов из аналитических журналов Microsoft DNS Server

Можно ли извлечь ответы DNS из аналитических журналов Microsoft DNS Server (Microsoft-Windows-DNS-Server/Analytical)? Журналы содержат поле с именем "PacketData" в разделе EventData события, но до сих пор я не смог извлечь что-либо полезное из поля PacketData.

0

windows logging dns-server parsing

Источник

treiman 26 мар '19 в 12:43

1 ответ

Другие вопросы по тегам windows logging dns-server parsing

NASAhorse 12 апр '19 в 10:48 2019-04-12 10:48 · Answer 1 · 2019-04-12 10:48

Журналы DNS-сервера Windows можно найти в двух местах. Во-первых, как вы упомянули, это файл журнала отладки DNS. Есть также данные, доступные через провайдеров Windows ETW (Microsoft-Windows-DNS-Server-Service, Microsoft-Windows-DNSServer). Я использовал что-то вроде Microsoft Message Analyzer для проведения сеанса трассировки событий, а также сборщик журналов NXLog (примечание: я участвую в этом проекте) для сбора данных трассировки событий от провайдера ETW и их записи в JSON.

Я точно знаю, что поле PacketData найдено, когда вы выполняете трассировку ETW провайдера ETW Microsoft-Windows-DNSServer. Ниже приведена выдержка из модуля NXLog im_etw с выводом JSON.

    {
"EventTime": "2017-03-10 09:51:03",
"Provider": "Microsoft-Windows-DNSServer",
"TCP": "0",
"InterfaceIP": "10.2.0.162",
"Source": "10.2.0.198",
"RD": "1",
"QNAME": "nickelfreesolutions.com.",
"QTYPE": "1",
"XID": "11675",
"Port": "22416",
"Flags": "256",
"BufferSize": "41",
"PacketData":
"0x2D9B01000001000000000000136E69636B656C66726565736F6C7574696F6E7303636F6D0000010001",
"EventReceivedTime": "2017-03-10 09:51:04",
"SourceModuleName": "etw_in",
"SourceModuleType": "im_etw"
}