我们有一个由另一个内部团队设置的 Unbound 缓存服务器。但是,没有启用日志记录。我不仅希望启用它来解决内部名称解析问题,还希望将其输入到 SIEM 并进行其他流量分析。
我的问题(我知道每个环境都是不同的)
是否有“大小指南”可以确定应为 DNS 缓存主机分配多少磁盘空间?
我认为这可能是由日志详细程度决定的,因此详细程度为:1 或详细程度:3 等等,这如何发挥作用?
除了将 #logfile 指令添加到 .conf 文件之外,还有其他需要考虑的吗?
为了将未绑定的日志发送到 syslog/SIEM,我怀疑我需要使用类似 rsyslog 的东西——对吗?
提前感谢任何帮助或建议
答案1
DNS 服务器通常不会记录大量数据。对于缓存名称服务器来说,应该不会记录大量数据。我将使用我的绑定服务器,它是裂脑服务器,可处理来自互联网的查询。
- 绑定日志200k涵盖六个月以上的数据。
- 安全日志10万覆盖一个半月以上。
- 10M 的查询日志覆盖了一周的大部分时间。(在调试上游服务器发送错误数据时产生的一些奇怪结果后,保留了此功能。)
通常,您不需要记录查询,尤其是在缓存服务器上。
内存需求将根据您缓存的不同域数量而有所不同。不过,在现代服务器上,这不太可能成为问题。