Я использую chrooted сервер BIND 9.11 на FreeBSD 11.2, на котором настроен RPZ. В настоящее время он регистрирует попадания RPZ в файл, но я хотел бы (также) отправить их на syslog
.
Я вижу другие записи журнала (не RPZ) из BIND в /var/log/messages
(который является местом назначения по умолчанию для syslog
), так что в целом ведение журнала в syslog работает (также из среды chrooted).
Кажется, что каждый пример или учебник в Интернете - это запись обращений RPZ в файл ... Так что мне даже интересно, является ли RPZ каким-то особенным, и журналы не могут быть записаны в syslog
?
Вот соответствующая часть моей конфигурации в ее нынешнем виде:
logging{
channel normal-log {
// Without a 'file' statement, logs go to syslog
syslog daemon;
severity warning;
};
[...]
channel named-rpz-file {
file "/var/log/rpz.log" versions 3 size 250k;
severity info;
print-time yes;
};
channel named-rpz-syslog {
syslog security;
severity info;
print-time yes;
};
category rpz {
named-rpz-file;
default_syslog;
};
// everything else
category default {
normal-log;
};
};
Как я вижу записи журнала в /var/log/rpz.log
и записи BIND по умолчанию syslog
место назначения (/var/log/messages
Я предполагаю, что оба в основном работают: syslog
и РПЗ. Но по какой-то странной причине записи RPZ не отображаются в системном журнале.
Кто-нибудь успешно регистрирует попадания RPZ в syslog
с (хромированной) BIND 9? Или у кого-нибудь есть подсказка, как это можно отладить (BIND ничего не отправляет в syslog или syslog "теряет" сообщение)?
Я думаю, что к настоящему времени я смог понять это.
По всей видимости, BIND не знает о security
средство системного журнала! Из-за этого он продолжал вести журнал со значением по умолчанию daemon
средство и моя конфигурация системного журнала подавляли эти сообщения.
См. «7.5.1. Заявление о ведении журнала» на https://docstore.mik.ua/orelly/networking_2ndEd/dns/ch07_05.htm где security
является не упомянутый после syslog
:
logging {
[ channel channel_name {
( file path_name
[ versions ( number | unlimited ) ]
[ size size_spec ]
| syslog ( kern | user | mail | daemon | auth | syslog | lpr |
news | uucp | cron | authpriv | ftp |
local0 | local1 | local2 | local3 |
local4 | local5 | local6 | local7 )
| stderr
| null );
[ severity ( critical | error | warning | notice |
info | debug [ level ] | dynamic ); ]
[ print-category yes_or_no; ]
[ print-severity yes_or_no; ]
[ print-time yes_or_no; ]
}; ]
[ category category_name {
channel_name; [ channel_name; ... ]
}; ]
...
};
После изменения
channel named-rpz-syslog {
syslog security;
severity info;
print-time yes;
};
к
channel named-rpz-syslog {
syslog local5;
severity info;
print-time yes;
};
внезапно появились строки журнала.