Информация об источнике

Общая информация

Журналы DNS-сервера Windows (DNS Server Logs) фиксируют все запросы и ответы DNS-службы. Источник используется для мониторинга DNS-активности, анализа угроз и обнаружения подозрительных запросов.

• Документация: https://learn.microsoft.com/en-us/windows-server/networking/dns/dns-logging-and-diagnostics?tabs=desktop-experience

Типы собираемых событий

• Запросы и ответы DNS (Query/Response)
• Ошибки разрешения имён
• Изменения записей зон и параметров DNS
• Запуск и остановка службы DNS
• События безопасности DNS-сервера (Audit)

Способ интеграции

• На DNS-сервере включить журналирование DNS в Event Viewer.
• Сбор событий возможен несколькими способами
  • Через WEC (Windows Event Collector) — централизованный сбор событий с нескольких серверов по подписке
  • Через агент (Winlogbeat, NXLog, KUMA Agent и др.) — отправка событий напрямую на коллектор.

Примеры событий

Step by step

Настройка на стороне Windows

Настройка Event Viewer

1. Запустите Event viewer, выполнив команду:

   Win+R → eventvwr.msc

2. В открывшемся окне перейдите в директорию Application and Services Logs → Microsoft → Windows → DNS-Server.