Лучшая практика для несвязанного кэширования DNS-сервера
У нас есть несвязанный сервер кэширования, который был настроен другой внутренней группой. Однако ведение журнала не включено. Я хочу, чтобы это было включено не только для устранения проблем с внутренним разрешением имен, но и для передачи данных в SIEM и выполнения другого анализа трафика.
Мои вопросы (и я знаю, что все среды разные)
Есть ли "руководство по определению размеров" "чтобы можно было определить, сколько места на диске должно быть выделено кэширующему хосту DNS?
Я полагаю, это может определяться степенью детализации журнала, то есть подробностью: 1 или подробностью: 3 и т. д. как это вступает в игру?
Есть ли что-нибудь еще, что следует учитывать, кроме простого добавления директивы #logfile в файл .conf?
, чтобы передать несвязанные журналы в syslog / SIEM, я подозреваю, что мне понадобится использовать что-то вроде rsyslog - правильно?
Заранее благодарим за любую помощь или совет
DNS-серверы обычно не регистрируют много данных. Для кэширующего сервера имен не должно быть много журналов. Я буду использовать свой сервер привязки, который является разделенным мозгом и обслуживает запросы из Интернета.
- журналы привязки 200k охватывают данные за более чем шесть месяцев.
- журналы безопасности 100k охватывают более полутора месяцев.
- 10 миллионов журналов запросов охватывают большую часть недели. (Это осталось включенным после отладки некоторых странных результатов, когда вышестоящий сервер отправлял неверные данные.)
Обычно вам не нужно регистрировать запросы, особенно на кэширующем сервере.
Требования к памяти зависят от того, сколько разных доменов вы кэшируете. Однако на современном сервере это вряд ли будет проблемой.