通过DHCP日志查询发现资产

此连接将您的可见性扩展到您的资产清单中，以暴露在其他情况下可能不明显的资产。扫描引擎查询DHCP服务器的日志，这些日志每5秒动态更新一次。引擎将这些查询的结果传递给Security Console。对于每个DHCP连接，您将分配一个特定的扫描引擎。

在第一次连接时，该方法将生成当前的DHCP租约表。初次建立连接时，会在当前的DHCP租约表中发现资产。当连接保持活跃状态时，DHCP服务器会不断发现新的资产，并不断更新现有资产的IP地址。

您可以利用分布式扫描引擎的数量与多个DHCP服务器进行通信，并与不易访问的位置(如防火墙后面或网络外围)的这些服务器进行连接。

DHCP采集方式有两种:

• 目录中监控DHCP服务器主机上的指定目录，并每隔10秒上传添加到该目录的新DHCP项。对于切换到新文件的日志文件，如Microsoft DHCP或Internet Information Services (IIS)文件，请使用此方法。
• syslog.操作类似于syslog服务器，在TCP或UDP端口上监听以接收syslog消息。如果使用Infoblox Trinzic设备管理DHCP信息，请使用此方法。

通过DHCP目录监视器方法准备动态发现的目标环境

确保您的Microsoft DHCP配置启用日志记录。您还必须将日志文件移动到与DHCP数据库文件分开的目录。Microsoft DHCP将日志数据存储在一周中的每一天的单独文件中，并每周覆盖每个文件。

提示:Windows 2008环境下DHCP日志文件的默认路径为%列出% \ System32系统\ Dhcp．Windows 2012中的路径为% systemroot % \ System32系统\ Dhcp．

通过IP地址而不是主机名添加资产

在跨站点具有重复主机名的环境中，可以通过IP地址而不是主机名关联DHCP资产。

步骤1:将资产添加到站点时，首选IP地址而不是主机名

需要将以下内容添加到nsc / CustomEnvironment.properties文件：

         

          

           
          
         

          

           

            1
           com.rapid7.eso.sites.prefer.ip = true
          

现在应将资产添加到网站上作为IP地址而不是通过主机名。

步骤2:配置DHCP在资产关联时优先选择IP地址

请务必先删除所有通过DHCP发现的资产，并从站点中删除相关资产定义。需要将以下内容添加到nsc / CustomEnvironment.properties文件：

         

          

           
          
         

          

           

            1
           com.rapid7.nsc.dhcp.prefer.ip = true
          

完成后，通过DHCP重新发现所有被删除的资产。DHCP发现的资产现在应该与IP地址的首选项正确关联。