如何從域控制器日誌中檢索以前的 IP/DNS 資訊？

不幸的是，我開啟了 DNS 清理；我需要檢索的資訊可能在事件查看器 DNS 日誌中，但不再存在，或者我沒有正確查找它。

**故事：**我需要報告一台在我們的網路上進行可疑活動的機器。活動發生在特定的時間視窗之間。DNS/IP 此後發生了變化。我從安全團隊獲得的所有資訊都是一個 IP 和一個時間視窗。

**問題：**有沒有其他地方可以讓我獲得該日誌資訊並追踪在特定時間哪台機器具有特定 IP？我還將要求網路查看事物的交換機/網關端（可能將其確定為 Mac 地址或其他東西），但我希望我能找到一種從系統端進行驗證的方法。有任何想法嗎？

你說IP變了，聽起來你可能是用DHCP來分配地址？檢查 DHCP 日誌文件 C:\Windows\system32\dhcp。使用時間和 IP 來查找 MAC 地址，然後使用您的庫存系統來追踪該資產。https://technet.microsoft.com/en-us/library/dd183591%28v=ws.10%29.aspx

解決方案是訪問目前具有該 IP 的機器的系統日誌。這是一台 OSX 機器，我能夠grep 'IP ADDRESS' /var/log/* /dev/null找到一個包含歷史 IP 資訊的日誌文件。我發現它被保存了/var/log/daily.out，我能夠確認目前持有IP的機器在前3天也有相同的IP，回答了我的問題並獲得了我需要的資訊。

注意：DHCP 將是檢查的地方，如果我從 Windows 伺服器執行 DHCP，@Craig620 的答案非常合適。我在 DHCP 方面進行了網路查看，不幸的是他們無法檢索任何日誌，並且每 4 小時轉儲一次 arp。因此，來自客戶端的日誌給了我我需要的東西，而不需要依賴伺服器/網路日誌。

引用自：https://serverfault.com/questions/703151