通过DHCP日志查询发现资产

此连接通过暴露可能没有明显的资产来扩展您的资产库存的可见性。扫描引擎查询DHCP服务器日志，每隔五秒钟使用新的资产信息动态更新。引擎将这些查询的结果传递给安全控制台。对于每个DHCP连接，您可以分配特定的扫描引擎。

在第一次连接时，该方法将生成当前DHCP租约表。初始建立时，连接会在当前DHCP租约表中发现资产。当连接保持活动状态时，它会不断发现DHCP服务器检测到的新资产和更新其IP地址的现有资产。

您可以利用分布式扫描引擎的数量与多个DHCP服务器通信，并在不易访问的位置（如防火墙后面或网络外围）与这些服务器连接。

DHCP方法仅通过不同的方法或通过扫描发现安全控制台尚未发现的资产。

可以使用两个DHCP集合选项：

目录观察员监视DHCP服务器主机上的指定目录，并每隔10秒上载添加到该目录中的新DHCP条目。对于滚动到新文件的日志文件，如Microsoft DHCP或Internet信息服务（IIS）文件，请使用此方法。
系统日志操作类似于系统日志服务器，在TCP或UDP端口上侦听以接收系统日志消息。如果使用Infoblox Trinzic设备管理DHCP信息，请使用此方法。

通过DHCP目录观察器方法准备动态发现的目标环境

目前关于DHCP发现的实施目录观察员方法支持Microsoft Server 2008和2012。

确保您的Microsoft DHCP配置启用了日志记录。您还必须将日志文件移动到与DHCP数据库文件分开的目录。Microsoft DHCP将每天的日志数据存储在一个单独的文件中，并每周覆盖每个文件。

提示：DHCP日志文件的默认目录路径在Windows 2008中是％Windir％\ System32 \ DHCP. Windows 2012中的路径是％systemroot％\ system32 \ DHCP。

在跨站点上具有重复主机名的环境中，可以通过IP地址而不是通过主机名关联DHCP资产。

需要将以下内容添加到nsc/CustomEnvironment.properties文件:

         
          
           
          
         

          
           
            1
           com.rapid7.eso.sites.prefer.ip = true

资产现在应该作为IP地址而不是主机名添加到站点。

确保首先删除通过DHCP发现的所有资产，并从站点中删除相关资产定义。需要将以下内容添加到nsc/CustomEnvironment.properties文件:

         
          
           
          
         

          
           
            1
           com.rapid7.nsc.dhcp.preference.ip=true

完成此操作后，通过DHCP重新发现所有已删除的资产。DHCP发现的资产现在应该与IP地址的首选项正确关联。

这页对你有帮助吗？