Post

Abilitare il debug logging in Windows DNS Server

Come abilitare il debug logging in Windows DNS Server per tracciare le richieste dei client dell'organizzazione

Postato Aggiornato
Preview Image
Da Daniele Longhi
2 min lettura

Il servizio DNS permette da decenni di convertire facilmente nomi di dominio in indirizzi IP e viceversa; lo troviamo alla base di molte infrastrutture tecnologiche ed è uno dei mattoni funzionali per le organizzazioni che utilizzano Microsoft Active Directory.

L’importanza dei log

La raccolta degli audit log è fondamentale per monitorare lo stato di salute dei sistemi informativi dell’organizzazione; raccogliere log delle richieste DNS risulta importante in molti programmi di cybersecurity perché queste possono contenere dati utili alle indagini forensi.
In questo articolo voglio illustrare come si può abilitare il registro delle richieste DNS in un sistema operativo Microsoft Windows Server che ricopre questa funzionalità.

Abilitare il debug logging

Ci sono diversi modi per tenere traccia delle query DNS, quello più semplice consiste nell’abilitare il debug logging del servizio DNS.
Per abilitare il debug logging andate in:

Start > Programs > Administrative Tools > e qui DNS Manager.

Tasto destro del mouse sul server dove volete abilitare il logging DNS e quindi Properties.

Tab Debug Logging con opzioni
Spostatevi nel tab Debug Logging e selezionate le opzioni di cui volete tenere traccia.
Windows DNS Server
Ci sono alcune considerazioni da fare sulle opzioni abilitabili nel debug logging:

  • Transport protocol: il servizio DNS potrebbe funzionare sia con protocollo UDP (il default) che TCP. Meglio che li selezionate entrambi.
  • Packet Type: in questo esempio ho voluto registrare solo le richieste perché mi interessa sapere il “chi” ha fatto la richiesta e non “cosa” gli è stato risposto. Nulla vieta di registrare anche le risposte.
  • Other Options: Per un log dettagliato potreste voler registrare anche i dettagli delle transazioni. Sappiate che in questo caso il log generato non sarà lineare e sarà più difficile metterlo in una tabella.
  • Maximum size: il file di log potrebbe crescere a dismisura se non controllato. Dategli un limite!

Il risultato sarà un file di testo leggibile in cui saranno contenute le query DNS e il client che le ha richieste.

Anatomia del Log file

Le prime 29 righe contengono la descrizione delle colonne che si trovano nelle righe sottostanti; le righe contengono tutte le transazioni tra il client che effettua la richiesta DNS e il server che risponde.
Log file
Tutte le colonne sono separate da spazio e facilmente “tabellabili” per una più facile analisi. Potete usare tool quali Excel o Log Parser scaricabile da questo link.

Bibliografia

blogging, tutorial
microsoft audit dns networking
Questo post è sotto licenza CC BY 4.0 a nome dell'autore.