问在Windows2008DNS上审计Sysmon 10个DNS事件
EN

Security用户

提问于 2019-10-10 13:28:31

回答 1查看 190关注 0票数 0

我已经在Windows2008DNS盒上安装了Sysmon 10，希望能够捕获R2请求。

Sysmon似乎正在捕获除22以外的所有其他事件ID。我已经将它安装在一个具有相同.xml配置文件的2012年框上，22正在愉快地进行日志记录。

有没有其他人在Windows 2008的盒子上注意到同样的情况？

发布于 2020-02-27 09:03:33

根据Sysmon的文件，

事件ID 22: DNSEvent (DNS查询)此事件在进程执行DNS查询时生成，无论结果是成功还是失败，缓存与否。此事件的遥测是为Windows8.1添加的，因此它在Windows 7和更早版本中不可用。

这解释了为什么您看不到事件22: Windows 2008 R2和Windows 7共享相同的版本号6.1，而Windows8.1的等效版本是Windows 2012 R2 (Version6.3)。

票数 1

页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://security.stackexchange.com/questions/219399

复制

相似问题

问在Windows2008DNS上审计Sysmon 10个DNS事件EN