Weitere Dienste / Domain-Name-Service (DNS)
Übergeordnetes Thema: Domain-Name-Service (DNS)

Protokollierung von DNS-Anfragen über SYSLOG

Um Anfragen von Clients an den DNS-Server zu dokumentieren, besteht die Möglichkeit, dass der DNS-Server im Gerät die Antworten an den Client auch laufend in Form einer SYSLOG-Meldung an einen SYSLOG-Server sendet.

Anmerkung: Bitte beachten Sie, dass eine Aufzeichnung der DNS-Anfragen nur gemäß der in ihrem Land gültigen Datenschutzbestimmungen erfolgen darf.

In LANconfig konfigurieren Sie die Dokumentation von DNS-Anfragen unter DNS > Allgemein im Abschnitt SYSLOG.





DNS-Auflösungen auf einem externen SYSLOG-Server protokollieren
Diese Option aktiviert oder deaktiviert (Default-Einstellung) den Versand von SYSLOG-Meldungen bei DNS-Anfragen.
Anmerkung: Dieser Schalter ist unabhängig vom globalen Schalter im Syslog-Modul unter Meldungen > Allgemein > SYSLOG. D. h., wenn Sie hier die Option zur Aufzeichnung der DNS-Anfragen aktivieren, sendet der DNS-Server auch bei global deaktiviertem SYSLOG-Modul die entsprechenden SYSLOG-Meldungen an einen SYSLOG-Server.
Jede DNS-Auflösung (ANSWER-Record oder ADDITIONAL-Record) erzeugt jeweils eine SYSLOG-Meldung mit dem Aufbau PACKET_INFO: DNS for IP-Address, TID {Hostname}: Ressource-Record. Dabei haben die Parameter die folgenden Bedeutungen:
  • Die TID (Transaction-ID) enthält einen 4-stelligen Hexadezimal-Code.
  • Der {Hostname} ist nur dann Bestandteil der Meldung, wenn der DNS-Server ihn ohne DNS-Anfrage auflösen kann (wie auch im Firewall-Log).
  • Die Ressource-Record besteht aus drei Teilen: Der Anfrage, dem Typ bzw. der Klasse und der IP-Auflösung (z. B. www.mydomain.com STD A resolved to 193.99.144.32)
Adresse des Servers
Geben Sie hier die Adresse des SYSLOG-Servers ein. Die Eingabe als IPv4-/IPv6-Adresse oder als DNS-Name ist möglich.
Anmerkung: Die Angabe der IP-Adressen 127.0.0.1 und ::1 ist generell nicht erlaubt, um so die Nutzung eines externen Servers zu erzwingen.

Um die SYSLOG-Meldung zu konfigurieren, klicken Sie auf Erweitert.





Quelle
Wählen Sie hier aus, welche Quelle in den SYSLOG-Meldungen eingetragen ist.
Priorität
Wählen Sie hier aus, welche Priorität in den SYSLOG-Meldungen eingetragen ist.
Absende-Adresse (optional)
Geben Sie hier optional eine andere Adresse (Name oder IP) an, mit der Ihr Gerät gegenüber dem SYSLOG-Server als Absender auftritt. Standardmäßig verwendet Ihr Gerät seine Adresse aus dem jeweiligen ARF-Kontext, ohne dass Sie diese hier angeben müssen. Durch Angabe einer optionalen Loopback-Adresse verändern Sie die Quelladresse bzw. Route, mit der Ihr Gerät die Gegenstelle anspricht. Dies kann z. B. dann sinnvoll sein, falls Ihr Gerät über verschiedene Wege erreichbar ist und die Gegenstelle einen bestimmten Weg für ihre Antwort-Nachrichten wählen soll.
Anmerkung: Sofern die hier eingestellte Absende-Adresse eine Loopback-Adresse ist, wird diese auch auf maskiert arbeitenden Gegenstellen unmaskiert verwendet.
Anmerkung: Mehr Informationen über SYSLOG und die zur Verfügung stehenden Einstellungen finden Sie im Abschnitt Das SYSLOG-Modul.
Übergeordnetes Thema: Domain-Name-Service (DNS)

www.lancom-systems.de

LANCOM Systems GmbH | A Rohde & Schwarz Company | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E‑Mail info@lancom.de

LANCOM Logo