Abilitare il debug logging in Windows DNS Server
Come abilitare il debug logging in Windows DNS Server per tracciare le richieste dei client dell'organizzazione
Il servizio DNS permette da decenni di convertire facilmente nomi di dominio in indirizzi IP e viceversa; lo troviamo alla base di molte infrastrutture tecnologiche ed è uno dei mattoni funzionali per le organizzazioni che utilizzano Microsoft Active Directory.
L’importanza dei log
La raccolta degli audit log è fondamentale per monitorare lo stato di salute dei sistemi informativi dell’organizzazione; raccogliere log delle richieste DNS risulta importante in molti programmi di cybersecurity perché queste possono contenere dati utili alle indagini forensi.
In questo articolo voglio illustrare come si può abilitare il registro delle richieste DNS in un sistema operativo Microsoft Windows Server che ricopre questa funzionalità.
Abilitare il debug logging
Ci sono diversi modi per tenere traccia delle query DNS, quello più semplice consiste nell’abilitare il debug logging del servizio DNS.
Per abilitare il debug logging spostati in:
Start > Programs > Administrative Tools > e qui DNS Manager.
Tasto destro del mouse sul server dove vuoi abilitare il logging DNS e quindi Properties.
Spostati nel tab Debug Logging e seleziona le opzioni di cui vuoi tenere traccia.
Ci sono alcune considerazioni da fare sulle opzioni abilitabili nel debug logging:
- Transport protocol: il servizio DNS potrebbe funzionare sia con protocollo UDP (il default) che TCP. Meglio che li selezioni entrambi.
- Packet Type: in questo esempio ho voluto registrare solo le richieste perché mi interessa sapere il “chi” ha fatto la richiesta e non “cosa” gli è stato risposto. Nulla vieta di registrare anche le risposte.
- Other Options: Per un log dettagliato potresti voler registrare anche i dettagli delle transazioni. Sappi che in questo caso il log generato non sarà lineare e sarà più difficile metterlo in una tabella.
- Maximum size: il file di log potrebbe crescere a dismisura se non controllato. Dagli un limite!
Il risultato sarà un file di testo leggibile in cui saranno contenute le query DNS e il client che le ha richieste.
Anatomia del Log file
Le prime 29 righe contengono la descrizione delle colonne che si trovano nelle righe sottostanti; le righe contengono tutte le transazioni tra il client che effettua la richiesta DNS e il server che risponde.
Tutte le colonne sono separate da spazio e facilmente “tabellabili” per una più facile analisi. Puoi usare tool quali Excel o Log Parser scaricabile da questo link.