Назад | Перейти на главную страницу

Записать категорию RPZ в системный журнал в BIND 9

Я использую chrooted сервер BIND 9.11 на FreeBSD 11.2, на котором настроен RPZ. В настоящее время он регистрирует попадания RPZ в файл, но я хотел бы (также) отправить их на syslog.

Я вижу другие записи журнала (не RPZ) из BIND в /var/log/messages (который является местом назначения по умолчанию для syslog), так что в целом ведение журнала в syslog работает (также из среды chrooted).

Кажется, что каждый пример или учебник в Интернете - это запись обращений RPZ в файл ... Так что мне даже интересно, является ли RPZ каким-то особенным, и журналы не могут быть записаны в syslog?

Вот соответствующая часть моей конфигурации в ее нынешнем виде:

logging{
  channel normal-log {
    // Without a 'file' statement, logs go to syslog
    syslog daemon;
    severity warning;
  };
  [...]
  channel named-rpz-file {
     file "/var/log/rpz.log" versions 3 size 250k;
     severity info;
     print-time yes;
  };
  channel named-rpz-syslog {
     syslog security;
     severity info;
     print-time yes;
  };
  category rpz {
    named-rpz-file;
    default_syslog;
  };
  // everything else
  category default {
    normal-log;
  };
};

Как я вижу записи журнала в /var/log/rpz.log и записи BIND по умолчанию syslog место назначения (/var/log/messagesЯ предполагаю, что оба в основном работают: syslog и РПЗ. Но по какой-то странной причине записи RPZ не отображаются в системном журнале.

Кто-нибудь успешно регистрирует попадания RPZ в syslog с (хромированной) BIND 9? Или у кого-нибудь есть подсказка, как это можно отладить (BIND ничего не отправляет в syslog или syslog "теряет" сообщение)?

Я думаю, что к настоящему времени я смог понять это.

По всей видимости, BIND не знает о security средство системного журнала! Из-за этого он продолжал вести журнал со значением по умолчанию daemon средство и моя конфигурация системного журнала подавляли эти сообщения.

См. «7.5.1. Заявление о ведении журнала» на https://docstore.mik.ua/orelly/networking_2ndEd/dns/ch07_05.htm где security является не упомянутый после syslog:

logging {
  [ channel channel_name {
    ( file path_name
       [ versions ( number | unlimited ) ]
       [ size size_spec ]
     | syslog ( kern | user | mail | daemon | auth | syslog | lpr |
                news | uucp | cron | authpriv | ftp |
                local0 | local1 | local2 | local3 |
                local4 | local5 | local6 | local7 )
     | stderr
     | null );

    [ severity ( critical | error | warning | notice |
                 info  | debug [ level ] | dynamic ); ]
    [ print-category yes_or_no; ]
    [ print-severity yes_or_no; ]
    [ print-time yes_or_no; ]
  }; ]

  [ category category_name {
    channel_name; [ channel_name; ... ]
  }; ]
  ...
};

После изменения

channel named-rpz-syslog {
    syslog security;
    severity info;
    print-time yes;
};

к

channel named-rpz-syslog {
    syslog local5;
    severity info;
    print-time yes;
};

внезапно появились строки журнала.