У нас есть несвязанный кэширующий сервер, который был настроен другой внутренней командой. Однако ведение журнала не включено. Я хочу, чтобы это было включено не только для устранения проблем с внутренним разрешением имен, но и для передачи данных в SIEM и выполнения другого анализа трафика.
Мои вопросы (и я знаю, что все окружения разные)
Есть ли «руководство по размеру», чтобы можно было определить, сколько дискового пространства следует выделить хосту кэширования DNS?
Я полагаю, это может быть определено многословием журнала, поэтому с многословием: 1 или многословием: 3 и т. Д. Как это влияет на игру?
Есть ли что-то еще, что нужно учитывать, кроме простого добавления директивы #logfile в файл .conf?
чтобы передать несвязанные журналы в syslog / SIEM, я подозреваю, что мне нужно будет использовать что-то вроде rsyslog - правильно?
Заранее благодарим за любую помощь или совет
DNS-серверы обычно не регистрируют много данных. Для кэширующего сервера имен не должно быть много журналов. Я буду использовать свой сервер привязки, который разделен на мозг и обслуживает запросы из Интернета.
Обычно вам не нужно регистрировать запросы, особенно на кэширующем сервере.
Требования к памяти будут различаться в зависимости от того, сколько разных доменов вы кешируете. Однако на современном сервере это вряд ли будет проблемой.