Как получить предыдущий IP/информацию DNS от журналов Контроллера домена?
У меня, к сожалению, есть очистка DNS на; информацией, которую я должен получить, возможно, были в Event Viewer журналы DNS, но это не там больше, или возможно я не ищу его правильно.
История: Я должен сообщить относительно машины, кто бросал подозрительное действие по нашей сети. Действие произошло между определенным окном времени. DNS/IP с тех пор изменился. Всей информацией, которую я получил от службы безопасности, является IP и окно времени.
Вопрос: Есть ли какое-либо другое место, я могу получить ту информацию журнала и разыскать, какая машина имела определенный IP в определенное время? Я буду также спрашивать, сети для наблюдения стороны переключателя/шлюза вещей (возможно, закрепляют его к MAC-адресу или чему-то), но я надеюсь, что могу найти способ проверить с системной стороны. Какие-либо идеи?
Вы говорите, что IP-адрес изменился, что похоже на то, что вы используете DHCP для назначения адресов? Проверьте лог-файлы DHCP C:\Windows\system32\dhcp. Используйте время и IP, чтобы найти MAC-адрес, а затем используйте вашу систему инвентаризации, чтобы отследить этот актив. https://technet.microsoft.com/en-us/library/dd183591%28v=ws.10%29.aspx
Резолюцией был доступ к системным журналам машины, которая в настоящее время имеет этот IP. Это была машина OSX, и я смог grep 'IP ADDRESS' /var/log/* /dev/null найти лог-файл, содержащий историческую IP-информацию. Я обнаружил, что он находится в /var/log/daily.out, и смог подтвердить машину, которая в настоящее время хранит этот IP также в течение 3 предыдущих дней, ответив на мой вопрос и получив нужную мне информацию.
NOTE: DHCP был бы местом для проверки, и ответ @Craig620 был бы очень уместен, если бы я запускал DHCP с сервера Windows. У меня был сетевой взгляд на DHCP, и, к сожалению, они не могли получить никаких журналов, а arp сбрасывался каждые 4 часа. Поэтому журналы с клиентской стороны давали мне то, что мне нужно, без необходимости полагаться на журналы сервера/сети
.