BIND9 Query Log

BIND9 Query Log

BIND9는 DNS 서버의 동작 상태 및 질의(Query) 정보를 기록하기 위해 다양한 로그 기능을 제공한다.

그 중 Query Log는 클라이언트가 DNS 서버에 요청한 질의 정보를 기록하는 로그로 다음과 같은 목적에 활용된다.

• DNS 질의 트래픽 분석
• 비정상적인 DNS 요청 탐지
• DNS 서비스 문제 분석
• 보안 및 감사(Audit) 목적

BIND9 Query Log는 DNS Log 분석 도구인 Logreport에서도 지원되는 표준 로그 포맷 중 하나이다.

1. BIND9 Query Log 형식

BIND9 Query Log는 일반적으로 다음과 같은 형식으로 기록된다.

timestamp client-ip#port: query: domain query-type flags

23-Aug-2010 10:15:23.123 client 192.168.1.10#42315: query: www.example.com IN A + (192.168.1.1)

항목 설명

• timestamp: 로그가 기록된 시간
• client-ip: DNS 질의를 요청한 클라이언트 IP
• port: 클라이언트의 Source Port
• domain: 질의한 도메인 이름
• query-type: DNS 레코드 유형 (A, AAAA, MX, NS 등)
• flags: 질의 옵션 정보

2. Query Type 종류

DNS Query에서 사용되는 대표적인 레코드 타입은 다음과 같다.

 

Query Type 설명

• A: IPv4 주소 조회
• AAAA: IPv6 주소 조회
• MX: 메일 서버 조회
• NS: 네임서버 조회
• CNAME: 별칭 레코드 조회
• PTR: Reverse DNS 조회
• TXT: 텍스트 정보 조회
• SOA: Zone 권한 정보 조회

728x90

3. Query Log 활성화 방법

BIND9에서 Query Log를 활성화하는 방법은 다음과 같다.

 

1) named.conf 설정

logging {
    channel query_log {
        file "/var/log/named/query.log" versions 5 size 100m;
        severity info;
        print-time yes;
    };

    category queries { query_log; };
};

2) named 재시작

rndc reload

또는

service named restart

4. Logreport와의 연동

Logreport는 DNS 로그를 분석하여 다양한 통계 정보를 제공하는 도구이다.

 

지원 기능

• Query 통계 분석
• Top Domain 조회
• Client IP 통계
• Query Type 통계

Logreport는 BIND9 Query Log 포맷을 지원하며 로그를 기반으로 웹 기반 리포트를 생성할 수 있다.

 

참고URL

- http://download.logreport.org/pub/current/doc/user-manual/ch07s02.html

- Logreport User Manual : http://download.logreport.org/pub/current/doc/user-manual/ch07s02.html