Hallo Christoph, Christoph Haas, 29.11.2005 (d.m.y):
> On Tuesday 29 November 2005 21:44, Christian Schmidt wrote: > > nach der Umbenennung eines Servers haben wir den alten Namen als CNAME > > im DNS eingetragen, wuerden aber gerne erfahren, wer den Server noch > > ueber den alten Namen (also den jetzigen CNAME) anspricht. > > > > Da kam uns die Idee, das ueber eine Auswertung der DNS-Anfragen zu > > erledigen. > > Dass das prinzipielle Loggen der Queries mit dem BIND moeglich ist, > > wissen wir, und auch das Extrahieren der benoetigten Informationen aus > > dem Log ist kein Problem. > > Das habe ich zwar noch nicht probiert, aber ich nehme mal an, das Logging > geht in Richtung Syslog. Das ist Einstellungssache: Momentan loggen wir in eine Datei, wobei der BIND die sogar nach Erreichen einer bestimmten Dateigroesse "rotieren" kann. > > Allerdings frage ich mich, ob man das Loggen schon via > > BIND-Konfiguration auf die gewuenschten Queries reduzieren kann. > > In diesem Fall würde ich nämlich den syslog-ng einsetzen. Dort kannst du > mittels match()-Kriterien bestimmte Log-Zeilen besonders behandeln. Diese > Behandlung kann eine gesonderte Logdatei sein oder auch - für dich > vielleicht interessant - ein externes Programm. Wir benutzen das momentan, > um uns bei sicherheitsproblematischen Log-Meldungen eine Mail schicken zu > lassen. > > Tipp: das externe Programm erwartet Eingaben von STDIN und muss in einer > Endlosschleife laufen! Das Program wird als program("...") definiert. Danke. Aber wir extrahieren die gewuenschten Eintraege jetzt aus den "kompletten" Query-Logs. Sooo gigantische Datenmengen kommen da nicht zusammen... Gruss, Christian Schmidt -- Christian Schmidt | Germany No HTML Mails, please!