У нас есть несвязанный сервер кэширования, который был настроен другой внутренней группой. Однако ведение журнала не включено. Я хочу, чтобы это было включено не только для устранения проблем с внутренним разрешением имен, но и для передачи данных в SIEM и выполнения другого анализа трафика.
Мои вопросы (и я знаю, что все среды разные)
Есть ли "руководство по определению размеров" "чтобы можно было определить, сколько места на диске должно быть выделено кэширующему хосту DNS?
Я полагаю, это может определяться степенью детализации журнала, то есть подробностью: 1 или подробностью: 3 и т. д. как это вступает в игру?
Есть ли что-нибудь еще, что следует учитывать, кроме простого добавления директивы #logfile в файл .conf?
, чтобы передать несвязанные журналы в syslog / SIEM, я подозреваю, что мне понадобится использовать что-то вроде rsyslog - правильно?
Заранее благодарим за любую помощь или совет
DNS-серверы обычно не регистрируют много данных. Для кэширующего сервера имен не должно быть много журналов. Я буду использовать свой сервер привязки, который является разделенным мозгом и обслуживает запросы из Интернета.
Обычно вам не нужно регистрировать запросы, особенно на кэширующем сервере.
Требования к памяти зависят от того, сколько разных доменов вы кэшируете. Однако на современном сервере это вряд ли будет проблемой.