So aktivieren Sie die DNS-Abfrageprotokollierung und analysieren Protokolldateien auf einem Windows Server

So aktivieren und analysieren Sie die DNS-Protokollierung auf einem Windows Server

Dieser ganze Prozess kann ziemlich knifflig sein, wenn man herausfinden will, welche Geräte noch den DNS-Server anpingen oder ob verdächtige Aktivitäten unbemerkt durchkommen. Manchmal braucht man einfach eine Möglichkeit, die DNS-Anfragen in Echtzeit einzusehen, ohne sich in Wireshark-Aufzeichnungen zu verlieren oder auf Tools von Drittanbietern angewiesen zu sein. Das Aktivieren des DNS-Debug-Loggings und das Auswerten dieser Protokolle können viel Ärger ersparen, insbesondere bei der Außerbetriebnahme alter Server oder der Suche nach verdächtigen Geräten. Dieser Ansatz ist eigentlich recht einfach – zumindest, sobald die anfängliche Einrichtung abgeschlossen ist.

So aktivieren Sie die DNS-Debug-Protokollierung

Die meisten vergessen, dass die DNS-Protokollierung nicht standardmäßig aktiviert ist, was den Zweck der Nachverfolgung von Anfragen etwas zunichtemacht. Der Vorteil liegt darin, dass man ein detailliertes Protokoll aller DNS-Transaktionen erhält – wer wann welche Anfrage gestellt hat. Dies ist hilfreich bei der Fehlerbehebung von DNS-Problemen, der Verfolgung unautorisierter DNS-Aktivitäten oder der Vorbereitung der Serverstilllegung. Sie erhalten übersichtliche, textbasierte Protokolle, die Sie später schnell durchsuchen und analysieren können. Seltsamerweise kann die Aktivierung der Protokollierung auf manchen Servern die CPU-Auslastung leicht erhöhen. Behalten Sie dies daher im Auge, wenn Ihr Server bereits stark ausgelastet ist.

• Öffnen Sie den DNS-Manager durch Ausführen des Servers dnsmgmt.mscoder über Server-Manager > Tools > DNS.
• Klicken Sie mit der rechten Maustaste auf Ihren DNS-Server und wählen Sie Eigenschaften.
• Wechseln Sie zur Registerkarte „Debug-Protokollierung“.
• Überprüfen Sie die Protokollpakete zur Fehlersuche. Dies ist der Schalter, der die Protokollierung aktiviert.
• Konfigurieren Sie Ihre Präferenzen: Wählen Sie das DNS-Protokoll (UDP/TCP) und die Pakettypen (z. B.einfache Abfragen, Aktualisierungen, Benachrichtigungen).
• Wenn Sie die Protokollierung auf bestimmte Clients beschränken möchten, verwenden Sie die Option „Pakete nach IP-Adresse filtern“.
• Legen Sie den Speicherort der Protokolldatei unter „ Pfad und Name der Protokolldatei“ fest. Typischerweise sieht das etwa so aus C:\DNSLogs\dns_debug.log: [Beispielpfad].Beachten Sie, dass Protokolldateien sehr groß werden können – Windows verwendet standardmäßig ein Limit von 500 MB – planen Sie daher ausreichend Speicherplatz ein.

Überprüfung und Verwaltung von DNS-Protokolldateien

Nach der Aktivierung können Sie DNS-Abfragen von jedem beliebigen Rechner aus generieren – beispielsweise mit `nds –get` nslookupoder PowerShellResolve-DnsName. Angenommen, die IP-Adresse Ihres DNS-Servers lautet 192.168.13.10. Die Ausführung von `nds –get` nslookup woshub.com 192.168.13.10oder ` Resolve-DnsName -Name woshub.com -Server 192.168.13.10nds –get` sollte einige Protokolleinträge liefern, die die Abfrage in der Protokolldatei anzeigen.

Um zu überprüfen, ob es protokolliert wurde, suchen Sie einfach in der Protokolldatei. Zum Beispiel mit PowerShell:

get-content "C:\DNSLogs\dns_debug.log" | Out-String | Select-String "192.168.13.130"

Dies sollte die Client-IP-Adresse erkennen und die Anfragedetails wie Zeit, Anfragetyp usw.anzeigen. Bei manchen Konfigurationen erfolgt dies nicht sofort – es hängt von der Protokollgröße, der Serverlast usw.ab. Die Protokolleinträge sehen üblicherweise wie folgt aus:

11/17/2021 6:00:00 AM 0D0C PACKET 00000272D98DD0B0 UDP Rcv 192.168.13.130 0002 Q [0001 D NOERROR] A (8)woshub(2)com(0)

Sieht zwar etwas technisch aus, enthält aber genau die benötigten Informationen: Wer hat die Anfrage gestellt, was wurde angefragt und wie ist der Antwortstatus? Falls Ihnen das manuelle Lesen zu umständlich ist, gibt es Skripte, die diese Protokolle analysieren oder in ein übersichtlicheres Format umwandeln.

Transformation und Analyse von DNS-Protokollen

Hier wird es etwas kompliziert. Die Protokolldateien sind schwer lesbar, wenn man nach Mustern oder Fehlern sucht. Skripte wie Get-DNSDebugLog.ps1 helfen dabei. Dieses Skript wandelt die Rohdaten in eine strukturierte Tabelle oder CSV-Datei um, um die Analyse zu vereinfachen. Kopieren Sie das Skript auf Ihren Rechner, aktivieren Sie Set-ExecutionPolicy -Scope Process Unrestricteddie Skriptausführung .C:\ps\Get-DNSDebugLog.ps1und importieren Sie es anschließend. Leiten Sie Ihre Protokolldateien wie folgt an das Skript weiter:

Get-DNSDebugLog -DNSLog C:\DNSLogs\dns_debug.log | format-table

Sie können die Ausgabe auch als CSV-Datei exportieren und in Excel analysieren, was deutlich benutzerfreundlicher ist. Verwenden Sie dazu einfach `src` Export-Csvanstelle von `src` format-table. So erhalten Sie schnell einen Überblick darüber, wer Ihren DNS-Server abfragt, wie oft und welche Hostnamen angefragt werden. Das ist überraschend hilfreich, um ungewöhnliche Aktivitäten oder ältere Geräte zu erkennen, die noch Verbindungen zum Server herstellen.

Eine weitere, recht zuverlässige Option ist die Verwendung von Log Parser 2.2. Dieser kann DNS-Logs analysieren und detaillierte Statistiken liefern, beispielsweise welche Clients am häufigsten Anfragen stellen oder welche Domains am beliebtesten sind. In einer Konfiguration funktionierte er einwandfrei – allerdings ist die Bedienung etwas umständlich, daher ist mit etwas Ausprobieren zu rechnen.