2019년 9월 25일 수요일

윈도우 DNS 이벤트 3008

윈도우 8.1부터 DNS 조회 요청 및 응답 이벤트 로그를 기록한다.


3006 이벤트는 DNS 조회 요청.


3008 이벤트는 DNS 조회에 대한 응답.


그런데 8월 29일 이후로 3008 이벤트에 응답 정보가 없다?


다음은 3006, 3008 이벤트를 처리하는 로그스태시 파이프라인 설정. 쿼리 타입 28은 삭제한다.
if [event_id] == 3006 and [event_data][QueryType] == "28" {
 drop {} 
}

if [event_id] == 3008 and [event_data][QueryType] == "28" { 
 drop {}
}

DNS 쿼리 타입 28은 AAAA 레코드(IPv6)인데, 윈도우는 DNS 요청 조회 시 타입 1(A 레코드)과 28이 거의 항상 동시에 발생한다. 같은 정보라 하나는 삭제.


그런데 최근 데이터를 조회해보니 타입 1일 때 DNS 조회 응답 결과가 거의 없다.


타입이 28일 때는 계속 기록 중.


8월 29일에 무슨 일이 있었나 찾아보니 1903 업데이트(..) 중복되는 데이터라 하나 빼버린 모양.


DNS 조회 응답 정보가 없는 3008 이벤트를 삭제하는 걸로 로그스태시 설정 변경.
if [event_id] == 3008 and ![event_data][QueryResult] { 
 drop {}
}

관련 글

댓글 없음:

댓글 쓰기

크리에이티브 커먼즈 라이선스