Вопрос: как на сервере настроить протоколирование запросов к определённым доменам? Нужно найти, какие компьютеры пытаются ресолвить определённые сетевые имена

Пытался в параметрах службы DNS включить запись в файл всех запросов - очень быстро получается огромное файло, которое служба периодически обрезает.
А мне не нужно протоколировать всё - мне нужно только записать куда-нибудь запросы на определённые имена и домены (кто когда обращался по этим адресам)

Аудит DNS запросов клиентов в Windows Server, логи DNS (https://winitpro.ru/index.php/2021/04/29/audit-dns-zaprosov-klientov-v-windows-server-logi-dns/)

Оно?

Аудит DNS запросов клиентов в Windows Server, логи DNS »

Пытался в параметрах службы DNS включить запись в файл всех запросов - очень быстро получается огромное файло, которое служба периодически обрезает.
Как логировать запросы ТОЛЬКО на определённые имена или домены?

Как логировать запросы ТОЛЬКО на определённые имена или домены? »

По моему вы пытаетесь приспособить то что не предназначено под Вашу задачу. Которая до сих пор загадка для всех, возможно даже и для Вас тоже.
Собирать DNS запросы к сайтам нужно на прокси сервере, у него как раз есть все возможности по этому поводу.

Где-то в сети сидит троян, который пытается лезть на нехорошие сайты. DNS провайдера фиксирует запросы из нашей сети к этим сайтам, глушит их и присылает уведомление, а мне надо знать, какой именно компьютер их отправляет.

Прокси сервер в локальной сети не настраивал. Да и не факт, что он запишет обращение к нехорошему сайту, если нет ответа на запрос DNS.

Прокси сервер в локальной сети не настраивал. Да и не факт, что он запишет обращение к нехорошему сайту, если нет ответа на запрос DNS. »
А может и запишет.

В Своей практике, когда поднимал первый прокси в сети, именно таки образом и ловил зловреда, который не обнаруживал NOD32 (если смогу поднять архив тех лет, процитирою обращение).

Где-то в сети сидит троян, который пытается лезть на нехорошие сайты. DNS провайдера фиксирует запросы из нашей сети к этим сайтам, глушит их и присылает уведомление, а мне надо знать, какой именно компьютер их отправляет. »

Проще простого. Адрес сайта на который лезет Вам известен, следовательно прописать в локальном DNS с перенаправлением на любой внутренний IP адрес, а на этом внутреннем IP поставить ловушку которая и будет записывать IP обращающегося. Если ловушку Вам стоить не по феншую, то банально TCPView (https://learn.microsoft.com/ru-ru/sysinternals/downloads/tcpview) Вам в руки и в перёд в режиме реального времени отслеживайте.

Да и не факт, что он запишет обращение к нехорошему сайту, если нет ответа на запрос DNS. »

Запишет, можете не сомневаться.

В Своей практике, когда поднимал первый прокси в сети, именно таки образом и ловил зловреда, который не обнаруживал NOD32 (если смогу поднять архив тех лет, процитирую обращение). »
Если не накажут за офф-топ, то вот, откопал:
https://imgsh.net/i/JHhL3kk.png

Нынче этот зловред "KLAB" детектится как "Trojan.Win32.Patched.au" и лечится, но возможно не совсем корректно, т.к. повторная проверка этих файлов показывает такую картину:

https://imgsh.net/i/TuJ8fBM.png

Натравить Zabbix или что-то аналогичное на логи DNS и настроить триггер.