dig - как вернуть NS только из полномочий

Как я могу разобрать NS от авторитетного источника - нет от дочерних NS серверов? Мне нужно проверить NS-серверы примерно из 30 000 доменов с разными TLD.

Я могу использовать

dig google.cz + trace

Но вывод длинный, и я не знаю, как я анализирую только записи из органа TLD.

Сокращенный пример:

cz.                     86400   IN      DS      20237 13 2 CFF0F3ECDBC529C1F0031BA1840BFB835853B9209ED1E508FFF48451 D7B778E2
cz.                     86400   IN      RRSIG   DS 8 1 86400 20181230050000 20181217040000 2134 . ijhIVdbr1fUXUBAG2566vWghRwm3xgdw+WlHT9tL95OELg0IvLR4RHrZ EKUekwm9uH5L4ZxhLbRKnjhgb6zbbgk4r7wXp60VpazhfXJyiNmpW2ln ngK8S+cMdeS/0TnGzswTNbHvWeb53q4AjMn2N34NMe5WdHxORkq2XUi5 zKS7RCMiCYNGblkuiWYxw3Szg4wn4NJEw6nf7spRNTj0nT/HWMXv1c87 q7Mns+gL6OhM0P8391KFHTiZUb5JFytRoRPsQdM2OM03nbzWpG7tKx8V tDRrcSpg4VWM1BRDkhiaaByCih5nTL9vZzALPhF+pxt1DS8c3IyNsoGH WsSOdQ==
;; Received 620 bytes from 199.7.91.13#53(d.root-servers.net) in 116 ms
----------------- THIS I NEED ---- >>>>>>
google.cz.              3600    IN      NS      ns1.google.com.
google.cz.              3600    IN      NS      ns2.google.com.
google.cz.              3600    IN      NS      ns3.google.com.
google.cz.              3600    IN      NS      ns4.google.com.
<<<<<<<<<<<<------------------------
65s261n1o1m7tkpt4dsmh9me00pulrj5.cz. 900 IN NSEC3 1 0 10 30DDC81B8AA815FC 65S2BI628602CT807L61QVBG9K045QH4 NS
65s261n1o1m7tkpt4dsmh9me00pulrj5.cz. 900 IN RRSIG NSEC3 13 2 900 20181228112151 20181215083556 42928 cz. WlKs6sILJMF3A1Ra1u3ILxFFYAz8USfnybOkO6n2Md5O5ME3WlGaXuFr BjiuKUxsGmTxCQNRLEasC3DglTwnZQ==
;; Received 300 bytes from 194.0.13.1#53(b.ns.nic.cz) in 114 ms

google.cz.              300     IN      A       216.58.201.67
;; Received 43 bytes from 216.239.38.10#53(ns4.google.com) in 39 ms