[Solved] Bestimmte DNS-Queries loggen mit BIND?
Hallo Christoph,
Christoph Haas, 29.11.2005 (d.m.y):
> On Tuesday 29 November 2005 21:44, Christian Schmidt wrote:
> > nach der Umbenennung eines Servers haben wir den alten Namen als CNAME
> > im DNS eingetragen, wuerden aber gerne erfahren, wer den Server noch
> > ueber den alten Namen (also den jetzigen CNAME) anspricht.
> >
> > Da kam uns die Idee, das ueber eine Auswertung der DNS-Anfragen zu
> > erledigen.
> > Dass das prinzipielle Loggen der Queries mit dem BIND moeglich ist,
> > wissen wir, und auch das Extrahieren der benoetigten Informationen aus
> > dem Log ist kein Problem.
>
> Das habe ich zwar noch nicht probiert, aber ich nehme mal an, das Logging
> geht in Richtung Syslog.
Das ist Einstellungssache: Momentan loggen wir in eine Datei, wobei
der BIND die sogar nach Erreichen einer bestimmten Dateigroesse
"rotieren" kann.
> > Allerdings frage ich mich, ob man das Loggen schon via
> > BIND-Konfiguration auf die gewuenschten Queries reduzieren kann.
>
> In diesem Fall würde ich nämlich den syslog-ng einsetzen. Dort kannst du
> mittels match()-Kriterien bestimmte Log-Zeilen besonders behandeln. Diese
> Behandlung kann eine gesonderte Logdatei sein oder auch - für dich
> vielleicht interessant - ein externes Programm. Wir benutzen das momentan,
> um uns bei sicherheitsproblematischen Log-Meldungen eine Mail schicken zu
> lassen.
>
> Tipp: das externe Programm erwartet Eingaben von STDIN und muss in einer
> Endlosschleife laufen! Das Program wird als program("...") definiert.
Danke.
Aber wir extrahieren die gewuenschten Eintraege jetzt aus den
"kompletten" Query-Logs. Sooo gigantische Datenmengen kommen da nicht
zusammen...
Gruss,
Christian Schmidt
--
Christian Schmidt | Germany
No HTML Mails, please!
Reply to: