Включение ведения логов в BIND9

По умолчанию журналы named отправляются в /var/log/syslog через syslog, при этом не журналируя запросы. Данная статья поможет Сделать журнал BIND более полезным.

BIND9

Включение ведения журнала в BIND

Создайте каталог журналов и установите необходимые права доступа

Редактирование /etc/bind/named.conf.options

Теперь перейдите к нижней (конечной) части файла и добавьте следующую секцию протоколирования:

Сохраните и выйдите из файла и ПРОВЕРЬТЕ, что он работает:

Обратите внимание, что категория "query" закомментирована. Это сделано специально, так как этот файл журнала на многих серверах может быстро стать очень большим. Если они вам нужны, к примеру для SIEM системы, то просто раскоментируйте данную строку.

Обновление правил AppArmor (пропустите этот шаг, если AppArmor не установлен в вашей системе)

По умолчанию запись fies в /var/log/bind не будет разрешена системой безопасности AppArmor. Чтобы обойти это, мы обновим профиль Ubuntu AppArmor для named (bind9):

Найдите этот раздел:

И, сразу после последней строки в этом блоке (/var/cache/bind/ rw,), добавьте:

Сохраните файл и выйдите, затем перезагрузите AppArmor:

Теперь переконфигурируйте или перезапустите bind:

Загляните в /var/log/bind/ и посмотрите, создаются ли файлы. (например, ls -lt /var/log/bind/).

Если это не сработает, попробуйте

  1. проверить разрешения для /var/log/bind
  2. перезапустить named

Пример лога DNS BIND9

Понравилась статья? Поделиться с друзьями:
Добавить комментарий