Свяжите требуемый журнал IP DNS-сервера
Получил его, благодаря wireshark. Имя сервера testtech.etat-ge.ch было определено в DNS как псевдоним для bleutest.ceti.etat-ge.ch. Кажется, что имя, используемое kerberos, получено обратным поиском.
Параметры ведения журнала в Bind 9 довольно обширны, вам нужно будет настроить такой канал:
channel resolving {
file "data/named.resolve" versions 10 size 5m;
severity info;
print-time yes;
};
Затем категория для принудительного ввода запросов в канал
category queries {
resolving;
};
Все это входит в раздел logging {}; .
Предостережения, если вы регистрируете все запросы, вы будете много тратить времени на запись их на диск, и они станут большими. Варианты версии 10, размер 5м - это способ, которым я держу журналы под контролем, в нем хранится 10 версий с максимальным размером 5 МБ. Затем у меня есть задание cron, которое анализирует информацию перед тем, как она будет удалена связыванием.
Это такая информация, которую я записываю в этот журнал:
15 апреля 2014 г. 16: 15: 15.041 клиент 192.168.xxx .xxx # 40978: view That-one: query: XXXXX IN A + (192.168.xxx.xx)
IP-адрес внутри () - это IP-адрес сервера BIND, который ответил.