DHCP

DHCP是InsightIDR中的基本事件源之一，这意味着它对用户属性至关重要。DHCP服务器将IP地址租给网络中的端点;InsightIDR监视这些租约事件，允许该工具将IP地址映射回您的环境中的主机名。理解这些关系是至关重要的，因为许多其他事件源的日志中只包含IP地址。通过DHCP数据，InsightIDR将自动将IP地址与端点关联起来。

InsightIDR将通过Insight Agent加强主机名到IP的映射。必威体育app登录

在您的环境中使用Azure ?点击这里了解更多信息．

在你开始之前

在开始收集DHCP日志之前，必须做几件事情。

首先，决定如何收集你的DHCP日志:

• DHCP服务器日志通过监视目录
• 通过syslog记录DHCP日志

然后，决定如何解决以下问题:

• 全面的DHCP覆盖
• 未知的IP地址

做出这些决定后，您可以配置一个InsightIDR DHCP事件源:

• 微软DHCP
• 长鳍叉尾
• 思科Meraki
• 思科IOS
• Infoblox Trinzic
• ISC了dhcpd
• Sophos UTM
• MikroTik
• 阿尔卡特-朗讯VitalQIP
• Dnsmasq DHCP

通过监视目录的DHCP服务器日志

Insidota2必威联赛ght平台支持收集DHCP审计日志。为准备收集DHCP审计跟踪信息，需要将DHCP日志写入采集器可以以网络共享方式连接的文件夹中。这个文件夹应该从默认位置更改，并且应该只包含DHCP日志。

Rapid7建议DHCP日志文件夹驻留在主机的根(C)驱动器上。例如,C: \ dhcplogs

开始收集DHCP服务器日志。

1. 新建一个存放DHCP日志的文件夹。推荐使用“C:\dhcplogs”路径存放DHCP日志。
2. 右键单击文件夹并选择属性从下拉菜单。
3. 在“属性”对话框中，单击分享选项卡，然后单击先进的共享按钮。
4. 在“高级共享”对话框中，选择共享此文件夹然后点击权限按钮。5在弹出的“共享权限”对话框中，单击添加按钮并提供访问此文件的凭据。在建立DNS事件源时，需要在InsightIDR中包含此证书的用户名和密码。
5. 启动DHCP控制台。
6. 右击IPv4,并选择属性从下拉菜单。

8. 单击先进的选项卡。2 .在“审计日志文件路径”中，将目标文件夹修改为DHCP日志所在的文件夹。

如何配置此事件源与监视目录

在InsightIDR中，您可以通过UNC标记(通用命名约定)和提供在设置共享文件夹时使用的凭据来配置DHCP事件源读取共享文件夹。

1. 从仪表板中选择数据收集在左边的菜单上。
2. 当出现“数据采集”页面时，单击设置事件源下拉选择添加事件源．
3. 从“安全数据”部分，单击DHCP图标。出现“添加事件源”面板。
4. 选择收集器和事件源。如果需要，还可以命名事件源。
5. 选择一个时区，并可选择只显示美国时区。
6. 选择发送未经过滤的日志．
7. 配置任何高级事件源设置．
8. 选择看目录作为您的收集方法。
9. 请指定之前配置的文件夹路径，并输入扫描间隔。
10. 可选的文件模式和监视共享远程目录，如DhcpSrvLog * . log．
11. 点击保存．

通过Syslog发送的DHCP日志

在设置DHCP事件源为“网口监听”之前，请确保DHCP主机正在记录所有的DHCP活动。

另外，请确保您将DHCP主机配置为以唯一的UDP或TCP端口(1024以上)向采集器发送日志，并将其指定为syslog服务器。

如何配置带有Syslog日志的事件源

1. 从仪表板中选择数据收集在左边的菜单上。
2. 当出现“数据采集”页面时，单击设置事件源下拉选择添加事件源．
3. 从“安全数据”部分，单击DHCP图标。出现“添加事件源”面板。
4. 选择收集器和事件源。如果需要，还可以命名事件源。
5. 选择一个时区，并可选择只显示美国时区。
6. 选择发送未经过滤的日志．
7. 配置任何高级事件源设置．
8. 选择监听网络端口并指定端口和协议。
   • 可以选择加密事件源，如果选择TCP通过下载Rapid7证书．
9. 点击保存．

DHCP的报道

在完全部署中，您需要为环境中的所有DHCP服务器配置DHCP事件源。如果您在日志搜索中注意到资产或用户的未知值(例如下面的截图)，这通常是由于缺乏DHCP数据。

未知的IP地址

如果可能的话，配置额外的DHCP事件源和/或端点监控，以便InsightIDR能够将这些IP地址与主机名关联起来。

看到IP地址为更多的信息。

Azure和DHCP

对于InsightIDR，用户属性依赖于准确且最新的主机名到IP的映射，这通常是由DHCP服务器提供的。虽然Azure确实有一个API来提供所有Azure主机和相应的IP地址列表，但该API不能实时更新，因此不能用于InsightIDR的属性。

为了在Azure环境中设置资产属性，必须安装了解代理必威体育app登录，并在Azure网络中提供一个Collector来将代理日志交付给InsightIDR(不需要在该Collector上安装事件源来支持Insight agent)。必威体育app登录代理将为安装它的资产提供最新的IP主机名信息。

故障排除配置问题

当DHCP或DNS事件源出现错误时，事件源图标将变为黄色警告或红色失败。将鼠标移到图标上将显示错误的详细信息。这类典型错误是无法连接到服务器、凭据错误或无法找到事件源中配置的文件或文件夹。

有时，DHCP和DNS事件源可能不会读取任何日志，即使它们没有显示警告或错误。在这种情况下，请尝试以下测试。

• 当您登录到运行InsightIDR采集器的机器时，是否可以连接到DHCP或DNS服务器文件共享?
• DHCP配置中的文件模式中是否有输入错误?如果文件模式错误，则目录中的所有文件都不匹配。
• 深水救生艇。系统被设置为在服务器上按需启动?深水救生艇。Sys应该设置为按需启动。欲了解更多信息，请阅读Srv.sys。