4.10. dnstap을 사용하여 DNS 쿼리 기록

프로세스

1. options 블록에서 /etc/named.conf 파일을 편집하여 dnstap 및 대상 파일을 활성화합니다.

   options
   {
   # ...
   dnstap { all; }; # Configure filter
   dnstap-output file "/var/named/data/dnstap.bin";
   # ...
   };
   # end of options

2. 로깅할 DNS 트래픽 유형을 지정하려면 /etc/named.conf 파일의 dnstap 블록에 dnstap 필터를 추가합니다. 다음 필터를 사용할 수 있습니다.

   • auth - 권한 있는 영역 응답 또는 응답.
   • 클라이언트 - 내부 클라이언트 쿼리 또는 응답.
   • Forwarder - 쿼리 또는 응답에서 전달합니다.
   • 해결자 - 반복적 해결 쿼리 또는 응답.
   • 업데이트 - 동적 영역 업데이트 요청.
   • All - 위 옵션 중 모두 입니다.

   • 쿼리 또는 응답 - 쿼리 또는 응답 키워드를 지정하지 않으면 dnstap 이 둘 다 기록합니다.

     참고

     dnstap 필터는 로 구분된 여러 정의가 포함되어 있습니다. dnstap {} 블록의 구문은 dnstap {(모든 | auth | client | forwardr | update ) [( query | response ) ] ; …​ };

3. 변경 사항을 적용하려면 named 서비스를 다시 시작하십시오.

   # systemctl restart named.service

4. 활성 로그에 대한 주기적인 롤아웃 구성

   다음 예에서 cron 스케줄러는 사용자가 편집한 스크립트의 콘텐츠를 하루에 한 번 실행합니다. 값이 3 인 roll 옵션은 dnstap 에서 최대 3개의 백업 로그 파일을 생성할 수 있음을 지정합니다. value 3 은 dnstap-output 변수의 version 매개 변수를 재정의하고 백업 로그 파일 수를 3으로 제한합니다. 또한 바이너리 로그 파일이 다른 디렉터리로 이동하여 이름이 변경되고 3개의 백업 로그 파일이 이미 존재하는 경우에도 .2 접미사에 도달하지 않습니다. 크기 제한에 따라 바이너리 로그를 자동으로 롤링하는 경우 이 단계를 건너뛸 수 있습니다.

   Example:
   
   sudoedit /etc/cron.daily/dnstap
   
   #!/bin/sh
   rndc dnstap -roll 3
   mv /var/named/data/dnstap.bin.1 /var/log/named/dnstap/dnstap-$(date -I).bin
   
   # use dnstap-read to analyze saved logs
   sudo chmod a+x /etc/cron.daily/dnstap

5. dnstap-read 유틸리티를 사용하여 사람이 읽을 수 있는 형식으로 로그를 처리하고 분석합니다.

   다음 예에서 dnstap-read 유틸리티는 YAML 파일 형식으로 출력을 출력합니다.

   Example:
   
   dnstap-read  -p /var/named/data/dnstap.bin