[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Bestimmte DNS-Queries loggen mit BIND?

On Tuesday 29 November 2005 21:44, Christian Schmidt wrote:
> nach der Umbenennung eines Servers haben wir den alten Namen als CNAME
> im DNS eingetragen, wuerden aber gerne erfahren, wer den Server noch
> ueber den alten Namen (also den jetzigen CNAME) anspricht.
>
> Da kam uns die Idee, das ueber eine Auswertung der DNS-Anfragen zu
> erledigen.
> Dass das prinzipielle Loggen der Queries mit dem BIND moeglich ist,
> wissen wir, und auch das Extrahieren der benoetigten Informationen aus
> dem Log ist kein Problem.

Das habe ich zwar noch nicht probiert, aber ich nehme mal an, das Logging 
geht in Richtung Syslog.

> Allerdings frage ich mich, ob man das Loggen schon via
> BIND-Konfiguration auf die gewuenschten Queries reduzieren kann.

In diesem Fall würde ich nämlich den syslog-ng einsetzen. Dort kannst du 
mittels match()-Kriterien bestimmte Log-Zeilen besonders behandeln. Diese 
Behandlung kann eine gesonderte Logdatei sein oder auch - für dich 
vielleicht interessant - ein externes Programm. Wir benutzen das momentan, 
um uns bei sicherheitsproblematischen Log-Meldungen eine Mail schicken zu 
lassen.

Tipp: das externe Programm erwartet Eingaben von STDIN und muss in einer 
Endlosschleife laufen! Das Program wird als program("...") definiert.

Gruß,
 Christoph
-- 
~
~
".signature" [Modified] 1 line --100%--                1,48         All
Reply to: