hiro protagonist

Haciendo que BIND registre las consultas

seajob | 23 Enero, 2006 12:10

[Disclaimer: uno de los motivos por los que empecé con esto fue para usarlo a modo de neuronas de reserva, y que no me vuelva a pasar aquello "yo esto lo he hecho pero ahora no me acuerdo de cómo..."; así que irán callendo de vez en cuando minirecetas de cosillas nuevas que voy haciendo]

Aunque no suele ser interesante -más allá de objetivos estadísticos-, BIND puede guardar un registro de las preguntas que recibe, y de las ip's de origen. En mi caso concreto, tenemos que quitar un servidor que teóricamente nadie debería usar como servidor DNS hace años, pero ya se sabe que del dicho al hecho... así que, por si acaso, lo ponemos a loguear durante un par de días y vemos qué nos cuenta.

El asunto se soluciona añadiendo las siguientes lineas en /etc/named.conf (o named.conf.local, según gustos):

// Para que logee las queries

logging {

channel syslog_errors {

syslog daemon;

severity info;

};

channel debug_file {

file "/var/log/namedlog";

severity dynamic;

};

category queries {

debug_file;

};

};

Hay que tener un mínimo de cuidado, crear el fichero con un touch, y si tenemos bind corriendo dentro de una jaula hay que tener en cuenta que las rutas son referidas a la raíz del chroot. Una vez hecho esto, con

$ rndc querylog

activamos y desactivamos los logs según nos convenga.

En mi caso, en menos de una semana hemos recibido más de ¡700.000 queries! Así que sí, si se estaba usando...

Comentarios

Añadir comentario
 authimage
 
Accessible and Valid XHTML 1.0 Strict and CSS
Powered by LifeType - Design by BalearWeb