4.10. 使用 dnstap 记录 DNS 查询

流程

1. 通过编辑 options 块中的 /etc/named.conf 文件来启用 dnstap 和目标文件：

   options
   {
   # ...
   dnstap { all; }; # Configure filter
   dnstap-output file "/var/named/data/dnstap.bin";
   # ...
   };
   # end of options

   Copy to Clipboard Toggle word wrap

2. 要指定您要记录的 DNS 流量类型，请将 dnstap 过滤器添加到 /etc/named.conf 文件中的 dnstap 块中。您可以使用以下过滤器：

   • auth - 权威区域响应或回答。
   • client - 内部客户端查询或回答。
   • forwarder - 转发的查询或来自它的响应。
   • resolver - 迭代的解析查询或响应。
   • update - 动态区域更新请求。
   • all - 以上选项中的任何一个。

   • query 或 response - 如果您没有指定 query 或 response 关键字，则 dnstap 两个都记录。

     注意

     dnstap 过滤器包含多个由 ; 分隔的定义，dnstap {} 块的语法如下：dnstap{(all | auth | client | forwarder | resolver | update)[(query | response)]; …​ };

3. 要应用您的更改，请重启 named 服务：

   # systemctl restart named.service

   Copy to Clipboard Toggle word wrap

4. 为活跃日志配置定期回滚

   在以下示例中，cron 调度程序每天运行一次用户编辑的脚本的内容。值为 3 的 roll 选项指定 dnstap 最多可以创建三个备份日志文件。值 3 覆盖 dnstap-output 变量的 version 参数，并将备份日志文件数限制为三个。此外，二进制日志文件被移到另一个目录并被重命名，并且永远不会达到 .2 后缀，即使三个备份文件已存在。如果根据大小限制自动回滚二进制日志足够了，则您可以跳过这一步。

   Example:
   
   sudoedit /etc/cron.daily/dnstap
   
   #!/bin/sh
   rndc dnstap -roll 3
   mv /var/named/data/dnstap.bin.1 /var/log/named/dnstap/dnstap-$(date -I).bin
   
   # use dnstap-read to analyze saved logs
   sudo chmod a+x /etc/cron.daily/dnstap

   Copy to Clipboard Toggle word wrap

5. 使用 dnstap-read 工具以人类可读的格式处理和分析日志：

   在以下示例中，dnstap-read 工具以 YAML 文件格式打印输出。

   Example:
   
   dnstap-read  -p /var/named/data/dnstap.bin

   Copy to Clipboard Toggle word wrap