Eu infelizmente tenho a eliminação de DNS ativada; As informações que preciso recuperar podem ter sido registradas nos registros DNS do Visualizador de Eventos, mas isso não está mais lá, ou talvez eu não esteja procurando corretamente.
História: preciso informar sobre uma máquina que estava lançando atividades suspeitas em nossa rede. A atividade ocorreu entre uma janela específica de tempo. DNS / IP mudou desde então. Toda a informação que recebi da equipe de segurança é um IP e uma janela de tempo.
Pergunta: Existe algum outro lugar onde eu possa obter essas informações de registro e rastrear qual máquina tinha um IP específico em um horário específico? Também estarei pedindo para a rede procurar no lado do switch / gateway das coisas (talvez fixe-a no endereço do Mac ou algo assim), mas espero encontrar uma maneira de verificar do lado do sistema. Alguma idéia?
Você diz que o IP mudou, o que parece que você pode estar usando DHCP para atribuir endereços? Verifique os arquivos de log do DHCP C: \ Windows \ system32 \ dhcp. Use o tempo e o IP para encontrar o endereço MAC e use seu sistema de inventário para rastrear esse ativo. link
A resolução foi para acessar os logs do sistema da máquina que atualmente tinha esse IP. Era uma máquina OSX e consegui grep 'IP ADDRESS' /var/log/* /dev/null encontrar um arquivo de log que continha informações históricas de IP. Descobri que estava em /var/log/daily.out e consegui confirmar que a máquina que detinha o IP também tinha o mesmo IP nos 3 dias anteriores, respondendo à minha pergunta e obtendo as informações de que precisava.
NOTA: O DHCP seria o local para verificar e a resposta do @ Craig620 é muito apropriada se eu estivesse executando o DHCP de um servidor Windows. Eu tive olhar de rede no lado do DHCP e, infelizmente, eles não podiam recuperar os logs e arp foi despejado a cada 4 horas. Portanto, os logs do lado do cliente me deram o que eu precisava, sem precisar depender de logs de servidor / rede.