查看域控 DNS 服务器上面的 dns 解析日志

一个实际场景,soc 上告警有挖矿连接事件,特征是访问到了矿池 dns,但是源 ip 却是域控 dns 的 ip,那得想办法定位 pc 记录

info

gpt给出的回答不是很靠谱,一开始按照方案做,日志文件都是空的

找了微软官方的文档里的解决方案才可以看到实际请求记录