Windows dns解析日志记录到远程目标

Question

完全公开，我不是一个Windows管理员，也不是一个Windows专家。从Windows2012 r2开始，支持在Windows服务器中记录DNS分析日志。我的任务是将这些日志发送到远程服务器(最好使用NXLog)，但这似乎并不像我希望的那样简单。不过，我对windows中的Analytic还不太熟悉，因此我可能错过了一种简单的方法。

我找到了微软的一篇文章，描述了如何启用这种日志记录，以及另一篇描述如何在网络取证中使用这种日志的文章。然而，我无法读取日志，除非我禁用分析源，如果我使用日志旋转。但是，如果我不启用对日志的覆盖，并在日志满后删除，我可以读取日志，但除非重新启动分析源，否则无法清除日志。

我知道将这个Analytic日志发送到一个操作目的地是一种选择，但我一直无法弄清楚如何做到这一点。这有可能吗？我知道，一旦我在DNS服务器上达到100 K以上的QPS，就会出现性能下降。

总之，我想要做的是，和上面的网络法医文章一样，以这样或那样的方式链接。我当前的“解决方案”由一个脚本组成，它停止源代码，将hte日志转储到csv文件，然后再次启动源，因此我能够获得数据。不过，我希望有一个更精简的解决办法。任何链接到帮助我实现上述目标的文章的链接都是非常感谢的。

Answer 1

我同意阅读ETL通道来获取DNS日志将是最好的解决方案，但前提是这些日志将被持续地写入和访问--然而，情况并不像您所提到的那样。因此，我可以为您提供几种收集Windows DNS服务器日志的解决方案：

• 布尔廷：启用Windows日志记录。日志将保存到一个可由NXLog读取的文本文件中。这个解决方案是最简单的。但是，它没有文件旋转，我们仍然需要解析txt文件。

• NXLOG：使用NXLog读取分析日志(*.ETL)。此特性由NXLog (来源)提供，并包含在模块"im_msvistalog“中。
• 波沃斯尔：我找到了一个脚本(来源)，它可以读取ETL通道并将其写入标准通道(EVTX文件)。然后由您使用WEF或NXLog读取和转发日志(如果前面的点不起作用)
• ETW包装器：微软在"O365.Security.Native.ETW“(来源)中提供了自己的ETW包装器，但在我看来，实现起来很复杂
• 自定义供应商：像EventTracker或Splunk这样的供应商实现了他们自己的解决方案和脚本来获取DNS日志。也许看看他们是如何管理的会很有趣。我发现Stream可以通过集成脚本(来源)来解决这个问题

最后，我建议您阅读来自EventTracker (来源)和Netwrix (来源)的PDF文档，这对我完全收集所有DNS相关日志非常有帮助。最后，我还可以为您提供我创建的这个表，以便更好地了解在Windows上收集DNS日志的位置。

Answer 2

我想我们已经在reddit上讨论过这一点了，所以我只是在这里放置链接，以供进一步参考。