使用Windows事件跟踪跟踪DNS查询/应答_Windows_Etw

使用Windows事件跟踪跟踪DNS查询/应答

windows

使用Windows事件跟踪跟踪DNS查询/应答,windows,etw,Windows,Etw,哪个ETW提供商可用于跟踪DNS查询/答案？我已尝试使用Microsoft Windows DNS客户端，但它不提供任何数据。该提供程序已在Windows中可用。可通过以下方式访问和启动： 1）事件查看器\查看菜单\显示分析和调试日志 2）遍历事件查看器树：。\applications and services logs\microsoft\windows\dns客户端事件\operational 通过创建一个事件跟踪会话，您可以对此进行更精细的控制： 1） compmgmt.msc\per

哪个ETW提供商可用于跟踪DNS查询/答案？我已尝试使用Microsoft Windows DNS客户端，但它不提供任何数据。

该提供程序已在Windows中可用。可通过以下方式访问和启动：

1）事件查看器\查看菜单\显示分析和调试日志

2）遍历事件查看器树：。\applications and services logs\microsoft\windows\dns客户端事件\operational

通过创建一个事件跟踪会话，您可以对此进行更精细的控制：

1） compmgmt.msc\performance\data collector set\event trace sessions\right-click>new

2）添加提供程序>

Microsoft Windows DNS客户端

3）属性>关键字（任意）>编辑>检查配置中的全部和OK

4）右键单击新创建的跟踪会话>属性>根据需要调整。尝试设置停止条件，然后返回文件选项卡并检查循环

我已确认此提供商包含DNS问题和答案，这两个问题和答案都是通过本地缓存和服务器响应返回的。

只是在寻找相同的问题时遇到的。Sysmon似乎很有趣，但并不专门保存这些信息。我将进行更多的研究，如果找到答案，我会回来。目前我已经发布了。这只捕获DNS查询，但没有DNS答案。使用第一种方法：DNS答案包含在事件ID

和

中。问题包含在事件ID中：

和

。DNS缓存响应包含在事件ID中：

。对于第二种方法：使用xml的

tracerpt-查看结果，并查找QueryResults
（某些结果可能为空，但您将获得数据）。您还可以使用旧的ETL客户端查看结果：