RHEL 6.4 DNS服务详解

DNS 是计算机域名系统或域名解析服务器(Domain Name System 或Domain Name Service)的缩写,它是由解析器以及域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。


Tips:

资源记录类型:

SOA:指定区域的起点,包含有区域名,区域管理员邮件地址以及指示辅助DNS如何更新区域数据文件的设置等。

NS:指定负责此域的权威名称服务器

MX:邮件交换器(MX):用于将DNS域名映射为交换或转发邮件的计算机的名称。它由电子邮件应用程序使用,用以根据在目标地址中使用的DNS域名为电子邮件接收定位邮件服务器

A:记录标明了IP地址和域名之间的对应关系

CNAME:别名资源记录,有时也称为规范名称,使用多个名称指向单个主机

PTR:用于映射基于指向正向DNS域名的计算机的IP地址反向DNS域名,支持在in-addr.arpa域中创建和确立的区域的反向搜索过程。这些记录用于通过IP地址定位计算机并为该计算机信息解析为DNS域名。


   区域传送:将一个区域文件复制到多个DNS服务器上的过程叫做“区域传送”。是通过将主服务器上将区域文件的信息复制到辅助服务器上来实现的。

   迭代查询:对一个服务器而言,当接受到客户端请求某个域名的IP时,如果没有记录,那么它会向根服务器询问,根服务器返回顶级域的服务器地址,然后服务器再向顶级域服务器查询,顶级域服务器向它返回二级域服务器的IP,一般情况下这个二级域名服务器就是所请求的域的权威服务器了。此二级域服务器向查询者返回它所请求的IP。

   递归查询:客户端向服务器发出请求,服务器必须回应结果,结果包括IP或未知,这个过程称为递归查询。


图解DNS解析过程:



首先客户端将DNS请求发送到DNS服务器8.8.8.8上,(DNS服务器可以是内网自己建立的,也可以是运营商的,也可以是其他机构的可以允许递归查询的服务器,这里以谷歌DNS服务器为例),如果8.8.8.8上有关于www.baidu.com的A缓存记录,那么就会直接把结果给客户端,如果没有缓存,就会根据根提示查找根域服务器,根域服务器没有www.baidu.com的A记录,但是有com.的授权信息,所以根DNS服务器会把负责com域的主域名服务器的IP回送给8.8.8.8;8.8.8.8就向负责com域的主DNS查询www.baidu.com的A记录,com域的服务器同样没有此A记录,com域服务器就把负责baidu.com.的主域名服务器发给8.8.8.8;8.8.8.8向baidu.com的域名服务器发起查询,baidu.com能够查找到自己域内有www.baidu.com的A记录,就把此A记录发给了8.8.8.8;最后8.8.8.8把此A记录缓存在本地,并回应客户端;客户机上网请求IP的过程中既有递归查询,也有迭代查询。


配置部分:


一、系统默认安装了dns客户端工具,现只需安装服务包


[root@stu01 ~]# rpm -qa | grep "^bind"
bind-utils-9.8.2-0.17.rc1.el6.x86_64
bind-libs-9.8.2-0.17.rc1.el6.x86_64
[root@stu01 ~]# yum install bind


二、安装完成后,bind的主配置文件是/etc/named.conf;区域类型配置文件是/etc/named.rfc1912.zones;区域配置文件在/var/named/下;


1、vim /etc/named.conf
options {
//      listen-on port 53 { 127.0.0.1; };默认监听IP为127.0.0.1,用//需注释掉
//      listen-on-v6 port 53 { ::1; };      注释掉
        directory       "/var/named";       存放区域配置文件的目录
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
//      allow-query     { localhost; };  允许查询的客户端的IP,默认为本机,注释掉。
        recursion yes;      是否开启迭代查询功能
        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;
        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";
        managed-keys-directory "/var/named/dynamic";
};
2、vim /etc/named.rfc1912.zones
添加一个区域描述信息,以a.com为例
zone "a.com" IN {
        type master;    类型为主DNS服务器
        file "a.com.zone";  DNS数据库文件是相对于/var/named/
        allow-transfer { 172.16.1.2; }; 只允许从服务器172.16.1.2进行区域复制,如果无从DNS服务器,就可以省略
};
3、新建一个区域文件,以a.com.zone为例:
vim /var/named/a.com.zone
$TTL 3600
@   IN  SOA a.com.  admin.a.com. (
                2013081201 ;
                1H ;
                10M ;
                7D ;
                1D )
        IN      NS      ns
        IN      MX  10  mail
ns      IN      A       172.16.1.1
ns2     IN      A       172.16.1.2
mail    IN      A       172.16.1.3
www     IN      A       172.16.1.4
www     IN      A       172.16.1.5
ftp     IN      CNAME     news



三、建立反向解析区域:


vim /etc/named.rfc1912.zones
添加反向解析域的描述文件:
zone "1.16.172.in-addr.arpa." IN {
        type master;
        file "172.16.1.zone";
        allow-transfer { 172.16.1.2; } ;
};
创建区域解析文件:
vi /var/named/172.16.1.zone
注:MX记录不须PTR
$TTL 3600
@   IN  SOA ns.a.com.   admin.a.com. (
            2013081303
            1H
            10M
            7D
            1D )
    IN  NS  ns.a.com.
    IN  NS  ns2.a.com.
1   IN  PTR ns.a.com.
2   IN  PTR ns2.a.com.
3   IN  PTR mail.a.com.
4   IN  PTR www.a.com.
5   IN  PTR www.a.com.
6   IN  PTR news.a.com.


四、检查配置:


检查配置文件:
[root@test1 named]# named-checkconf ;
检查区域配置文件:
[root@test1 named]# named-checkzone a.com /var/named/a.com.zone ;
zone a.com/IN: loaded serial 2013081304
OK
或者
[root@test1 named]# service named configtest
zone localhost.localdomain/IN: loaded serial 0
zone localhost/IN: loaded serial 0
zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0
zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
zone 0.in-addr.arpa/IN: loaded serial 0
zone a.com/IN: loaded serial 2013081304
zone 1.16.172.in-addr.arpa/IN: loaded serial 2013081303
设置完成后,启动named服务:
[root@test2 ~]# service named start


容易出现的意外:

有时在执行[root@test2 ~]# rndc reload出错
rndc: connect failed: 127.0.0.1#953: connection refused
[root@test2 slaves]# rndc-confgen > /etc/rndc.conf
[root@test2 slaves]# cat /etc/rndc.conf
# Start of rndc.conf
key "rndc-key" {
    algorithm hmac-md5;
    secret "+Y2QK567dFVa8kYOnR/5IA==";
};
options {
    default-key "rndc-key";
    default-server 127.0.0.1;
    default-port 953;
};
# End of rndc.conf
# Use with the following in named.conf, adjusting the allow list as needed:
# key "rndc-key" {
#   algorithm hmac-md5;
#   secret "+Y2QK567dFVa8kYOnR/5IA==";
# };
#
# controls {
#   inet 127.0.0.1 port 953
#       allow { 127.0.0.1; } keys { "rndc-key"; };
# };
# End of named.conf
[root@test2 slaves]# vi /etc/named.conf
添加:上个文件的注释行内容,去掉注释
key "rndc-key" {
    algorithm hmac-md5;
    secret "+Y2QK567dFVa8kYOnR/5IA==";
};
                                                                                                                                                                                          
 controls {
    inet 127.0.0.1 port 953
        allow { 127.0.0.1; } keys { "rndc-key"; };
};
[root@stu01 etc]# service named restart


命令行工具的基本使用方法:

检查工具有nslookup 、host 、dig命令:
#
nslookup使用:
[root@test1 ~]# nslookup
> set q=MX
> magedu.com
Server:     172.16.1.1
Address:    172.16.1.1#53
magedu.com  mail exchanger = 10 mail.magedu.com.
> set q=PTR
> 172.16.1.1
Server:     172.16.1.1
Address:    172.16.1.1#53
1.1.16.172.in-addr.arpa name = ns.magedu.com.
> set q=A
> www.magedu.com
Server:     172.16.1.1
Address:    172.16.1.1#53
Name:   www.magedu.com
Address: 172.16.1.10
> mail.magedu.com
Server:     172.16.1.1
Address:    172.16.1.1#53
Name:   mail.magedu.com
Address: 172.16.1.13
> server 202.106.0.20
Default server: 202.106.0.20
Address: 202.106.0.20#53
> set q=NS
> baidu.com
Server:     202.106.0.20
Address:    202.106.0.20#53
Non-authoritative answer:
baidu.com   nameserver = ns4.baidu.com.
baidu.com   nameserver = ns3.baidu.com.
baidu.com   nameserver = ns2.baidu.com.
baidu.com   nameserver = dns.baidu.com.
Authoritative answers can be found from:
dns.baidu.com   internet address = 202.108.22.220
ns2.baidu.com   internet address = 61.135.165.235
ns3.baidu.com   internet address = 220.181.37.10
ns4.baidu.com   internet address = 220.181.38.10
#
dig常用选项:
dig
    -t          资源记录类型 ;
    -xIPADDR    查询某个IP的PTR记录;
    +trace      记录解析过程;
    @IPADDR     指定使用某个DNS服务器解析;
# dig -t A www.baidu.com 查询www.baidu.com的A记录;
# dig -x 172.16.1.1     查询172.16.1.1的PTR记录;
# dig -t A military.china.com +trace  查询military.china.com的A记录,并显示过程;
# dig -t A www.baidu.com @202.106.0.20  使用202.106.0.20查询www.baidu.com的A记录;
#
host常用选项:
host
    -t      资源记录类型 ;
    -v      显示详细信息,类似dig输出;
# host -t A www.baidu.com
# host -v -t A www.baidu.com


五、设置从DNS服务器:


1、首先安装bind,同第一步,安装完成后,需要修改/etc/named.conf和/etc/named.rfc1912.zones
[root@test2 ~]# rndc-confgen > /etc/rndc.conf
[root@test2 ~]# vim /etc/named.conf
options {
//  listen-on port 53 { 127.0.0.1; };
//  listen-on-v6 port 53 { ::1; };
    directory   "/var/named";
    dump-file   "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
//  allow-query     { localhost; };
    recursion yes;
//  dnssec-enable yes;
//  dnssec-validation yes;
//  dnssec-lookaside auto;
    /* Path to ISC DLV key */
    bindkeys-file "/etc/named.iscdlv.key";
    managed-keys-directory "/var/named/dynamic";
};
logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};
zone "." IN {
    type hint;
    file "named.ca";
};
include "/etc/named.rfc1912.zones";
//include "/etc/named.root.key";
# Use with the following in named.conf, adjusting the allow list as needed:
 key "rndc-key" {
    algorithm hmac-md5;
    secret "+Y2QK567dFVa8kYOnR/5IA==";
 };
                                                                                                                                                             
 controls {
    inet 127.0.0.1 port 953
        allow { 127.0.0.1; } keys { "rndc-key"; };
 };
                                                                                                                                                             
2、 vim /etc/named.rfc1912.zones
添加区域配置文件:
zone "a.com" IN {
    type slave;
    file "slaves/a.com.zone";
    masters { 172.16.1.1; };
};
zone "1.16.172.in-addr.arpa" IN {
    type slave;
    file "slaves/172.16.1.zone";
    masters { 172.16.1.1; };
};
3、[root@test1 named]# rndc reload
检查/var/named/slaves/下面生成2个文件。
[root@test2 ~]# cat /var/named/slaves/a.com.zone
$ORIGIN .
$TTL 3600   ; 1 hour
a.com           IN SOA  ns.a.com. admin.a.com. (
                2013081305 ; serial
                3600       ; refresh (1 hour)
                600        ; retry (10 minutes)
                604800     ; expire (1 week)
                86400      ; minimum (1 day)
                )
            NS  ns.a.com.
            NS  ns2.a.com.
            MX  10 mail.a.com.
$ORIGIN a.com.
ftp         CNAME   news
mail            A   172.16.1.3
news            A   172.16.1.6
ns              A   172.16.1.1
ns2             A   172.16.1.2
www             A   172.16.1.4
                A   172.16.1.5
                                                                                                                                                                        
[root@test2 ~]# cat /var/named/slaves/172.16.1.zone
$ORIGIN .
$TTL 3600   ; 1 hour
1.16.172.in-addr.arpa   IN SOA  ns.a.com. admin.a.com. (
                2013081303 ; serial
                3600       ; refresh (1 hour)
                600        ; retry (10 minutes)
                604800     ; expire (1 week)
                86400      ; minimum (1 day)
                )
            NS  ns.a.com.
            NS  ns2.a.com.
$ORIGIN 1.16.172.in-addr.arpa.
1           PTR     ns.a.com.
2           PTR     ns2.a.com.
3           PTR     mail.a.com.
4           PTR     www.a.com.
5           PTR     www.a.com.
6           PTR     news.a.com.



六、正向子域授权:


1、在主DNS的区域配置文件里添加子域的NS和A记录,以dp1.a.com为例
dp1                 IN      NS      ns1.dp1
ns1.dp1             IN      A           172.16.1.3
2、在子域服务器上新建区域配置文件,以dp1.a.com为例:
在/etc/named.rfc1912.zones里添加子域信息:
zone "dp1.a.com" IN {
        type master;
        file "dp1.a.com.zone";
      allow-transfer { 172.16.1.4; };
};
新建区域配置文件:
[root@root-server named]# cat /var/named/dp1.a.com.zone
$TTL 3600
@   IN  SOA     ns.dp1.a.com.   admin.dep1.a.com. (
            2013081401
            1D
            10M
            7D
            1H )
        IN      NS  ns1
ns1     IN      A   172.16.1.3
mail    IN      A   172.16.1.5
ftp     IN      A   172.16.1.6
www     IN      A   172.16.1.7
3、在父DNS上解析子域成功
[root@localhost ~]# dig -t A www.a.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6 <<>> -t A www.a.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41320
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; QUESTION SECTION:
;www.a.com.         IN  A
;; ANSWER SECTION:
www.a.com.      1200    IN  A   172.16.1.6
;; AUTHORITY SECTION:
a.com.          1200    IN  NS  ns.a.com.
;; ADDITIONAL SECTION:
ns.a.com.       1200    IN  A   172.16.1.4
;; Query time: 0 msec
;; SERVER: 172.16.1.4#53(172.16.1.4)
;; WHEN: Wed Aug 14 12:32:20 2013
;; MSG SIZE  rcvd: 76
[root@localhost ~]# dig -t A www.dp1.a.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6 <<>> -t A www.dp1.a.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 314
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; QUESTION SECTION:
;www.dp1.a.com.         IN  A
;; ANSWER SECTION:
www.dp1.a.com.      3600    IN  A   172.16.1.7
;; AUTHORITY SECTION:
dp1.a.com.      3210    IN  NS  ns2.dp1.a.com.
;; ADDITIONAL SECTION:
ns2.dp1.a.com.      3600    IN  A   172.16.1.3
;; Query time: 5 msec
;; SERVER: 172.16.1.4#53(172.16.1.4)
;; WHEN: Wed Aug 14 12:32:28 2013
;; MSG SIZE  rcvd: 81
在子域解析父域不成功,可以通过设置转发器来解析父域,转发器看下一个题目
[root@root-server ~]# dig -t A www.a.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6 <<>> -t A www.a.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 38912
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;www.a.com.         IN  A
;; AUTHORITY SECTION:
com.            873 IN  SOA a.gtld-servers.net. nstld.verisign-grs.com. 1376454783 1800 900 604800 86400
;; Query time: 0 msec
;; SERVER: 172.16.1.3#53(172.16.1.3)
;; WHEN: Wed Aug 14 12:33:56 2013
;; MSG SIZE  rcvd: 100
[root@root-server ~]# dig -t A www.dp1.a.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6 <<>> -t A www.dp1.a.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21081
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; QUESTION SECTION:
;www.dp1.a.com.         IN  A
;; ANSWER SECTION:
www.dp1.a.com.      3600    IN  A   172.16.1.7
;; AUTHORITY SECTION:
dp1.a.com.      3600    IN  NS  ns2.dp1.a.com.
;; ADDITIONAL SECTION:
ns2.dp1.a.com.      3600    IN  A   172.16.1.3
;; Query time: 1 msec
;; SERVER: 172.16.1.3#53(172.16.1.3)
;; WHEN: Wed Aug 14 12:34:05 2013
;; MSG SIZE  rcvd: 81


七、转发器:

对自己解析不了的域名可以指向能为自己迭代查询的服务器;

另一种特殊情况就是直接指向某个域的主域名服务器;

对于子域不能解析父域可以通过设置转发器来解决。


1、首先在/etc/named.conf里另外再注释掉以下内容:
//      dnssec-enable yes;
//      dnssec-validation yes;
//      dnssec-lookaside auto;
                                                                                                                                             
//include "/etc/named.root.key";
2、在/etc/named.rfc1912.zones添加以下内容:
zone "a.com" IN {
        type forward;
        forwarders { 172.16.1.4; };
        forward only;
};
或者在/etc/named.conf修改全局转发:
options {
//      listen-on port 53 { 127.0.0.1; };
//      listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        forward
        forwarders { 172.16.1.3; };
        memstatistics-file "/var/named/data/named_mem_stats.txt";
//      allow-query     { localhost; };
        recursion yes;
                                                                                                                                                 
    };
[root@root-server named]# rndc flush
[root@root-server named]# rndc reload


八、利用view实现智能DNS解析:

注意:所有区域都要在view中,使用match-client设定所匹配的IP地址进行解析。同时不要忘了区域配置文件。


[root@test1 named]# more /etc/named.rfc1912.zones
// named.rfc1912.zones:
//
// Provided by Red Hat caching-nameserver package
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
view localhost {
    match-clients { 127.0.0.0/8; };
zone "localhost.localdomain" IN {
    type master;
    file "named.localhost";
    allow-update { none; };
};
zone "localhost" IN {
    type master;
    file "named.localhost";
    allow-update { none; };
};
zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
    type master;
    file "named.loopback";
    allow-update { none; };
};
zone "1.0.0.127.in-addr.arpa" IN {
    type master;
    file "named.loopback";
    allow-update { none; };
};
zone "0.in-addr.arpa" IN {
    type master;
    file "named.empty";
    allow-update { none; };
};
zone "." IN {
    type hint;
    file "named.ca";
};
};
view External {
    match-clients { 192.168.1.0/24; };
zone "magedu.com" IN {
    type master;
    file "magedu.com.ex.zone";
};
zone "1.168.192.in-addr.arpa" IN {
    type master;
    file "192.168.1.ex.zone";
};
};
view Internal {
    match-clients { 172.16.0.0/16; };
zone "magedu.com" IN {
    type master;
    file "magedu.com.in.zone";
};
zone "1.16.172.in-addr.arpa" IN {
    type master;
    file "172.16.1.in.zone";
};
};


九、性能测试之queryperf 、dnstop使用


1、下载源码bind,里面有queryperf工具;进行编译安装;

# tar -xf bind-9.9.2-P2.tar.gz
# cd bind-9.9.2-P2
# cd contrib/queryperf/
# ./configure
# make

基本用法:

./queryperf -d /path/to/file -s ServerName

   -d file格式:

www.baidu.com     A

baidu.com         NS

202.106.0.20      PTR


如;./queryperf -d /var/named/query.txt -s 172.16.1.1

在记录查询日志时,性能急剧下降,

rndc querylog on/off ; 打开或关闭查询日志

rndc status;查看当前状态

默认日志存放在/var/named/data/named.run


2、编译安装dnstop

# dnstop -Q -R eth0

在运行过程中可以输入1,显示顶级域的的查询数量;输入2,显示二级域名的查询数量,分别显示。


十、日志记录

在默认情况下,BIND9 把日志消息写到/var/log/messages文件中,而这些日志消息是非常少的,主要就是启动,关闭的日志记录和一些严重错误的消息;而将调试日志信息写入 BIND 服务器工作目录中的 named.run 文件。

BIND 9 的日志是可以灵活配置的,要详细记录服务器的运行状况,要在配置文件 named.conf 中使用 logging 语句来定制自己所需要的日志记录。


BIND 日志的常用术语

在讲述 logging 语句的语法之前,先要熟悉一些常用术语

术语 含义

channel(通道) 日志输出方式,如:syslog、文本文件、标准错误输出或 /dev/null

category(类别) 日志的消息类别,如:查询消息或动态更新消息等

module(模块) 产生消息的来源模块名称

facility(设备) syslog 设备名

severity(严重性) 消息的严重性等级

logging 语句的语法

logging 语句的语法为:

logging {

   channel channel_name {                // 定义通道

       file log_file [versions number | unlimited] [size sizespec]; | syslog optional_facility; | null; | stderr;      // 定义输出方式

       severity log_severity;           // 定义消息严重性

       [print-time boolean;]            // 是否在消息中添加时间前缀,仅用于 file 日志

       [print-severity boolean;]        // 是否在消息中添加消息严重性前缀

       [print-category boolean;]        // 是否在消息中添加消息类别名前缀

  };

  category category_name {              // 定义类别

       channel_name;

       ......

  };

};

配置日志时,首先要定义通道,然后将不同的日志类别的数据指派到指定的通道上输出。

BIND 9 的默认配置是:

logging {

   // 由于使用了默认通道,所以没有通道定义部分

   category "default" { "default_syslog"; "default_debug"; };

};


channel 语句

channel 语句用于定义通道。指定应该向哪里发送日志数据,需要在以下四种之间则其一:

file : 输出到纯文本文件

log_file 指定一个文件名

version 指定允许同时存在多少个版本的该文件,比如指定 3 个版本(version 3),就会保存 query.log、query.log0、query.log1 和query.log2。

   size 指定文件大小的上限,如果只设定了size 而没有设定 version,当文件达到指定的文件大小上限时,服务器停止写入该文件。如果设定了version,服务器会进行循环,如把 log_file 变成 log_file.log1,log_file.log1 变成 log_file.log2 等,然后建立一个新的 log_file.log 进行写入。


syslog optional_facility :输出到 syslog,其中 optional_facility 是 syslog 的设备名,通常为以下几个:

daemon

local0 到 local7

null :输出到空设备

stderr :输出到标准错误输出,默认为屏幕

severity 语句用于指定消息的严重性等级, log_severity 的取值为(按照严重性递减的顺序):

critical

error

warning

notice

info

debug [ level ]

dynamic 是一个特殊的值,它匹配服务器当前的调试级别

定义了某个严重性级别后,系统会记录包括该级别以及比该级别更严重的级别的所有消息。比如定义级别为 error,则会记录 critical 和error 两个级别的信息。

对于系统管理员来说,一般记录到 info 级别就可以了。

BIND 9 预制了如下四个默认通道;

channel "default_syslog" {

syslog daemon;     // 发送给 syslog 的 daemon 设备

severity info;     // 只发送此 info 及其更高优先级的信息

};

channel "default_debug" { // 只有当服务器的 debug 级别非 0 时,才产生输出。

file "named.run"; // 写入工作目录下的 named.run 文件

severity dynamic; // 按照服务器当前的debug 级别记录日志

};

channel "default_stderr" {

       stderr;           // 写到stderr

       severity info;    // 只发送此 info 及其更高优先级的信息

};

channel "null" {

       null;             // 丢弃所有发到此通道的信息

};


category 语句

category 语句是指定哪一种类别的信息使用哪个或者哪几个已经定义了的通道输出。

BIND 9 中可用的类别名(category_name)有:

类别 说明

client 处理客户端请求。

config 配置文件分析和处理。

database 同BIND内部数据库相关的消息,用来存储区数据和缓存记录。

default 匹配所有未明确指定通道的类别。

dnssec 处理 DNSSEC 签名的响应。

general 包括所有未明确分类的 BIND 消息。

lame-servers 发现错误授权,即残缺服务器。

network 网络操作。

notify 区更新通知消息。

queries 查询日志

resolver 名字解析,包括对来自解析器的递归查询信息。

security 批准/非批准的请求。

update 动态更新事件。

xfer-in 从远程名字服务器到本地名字服务器的区传送。

xfer-out 从本地名字服务器到远程名字服务器的区传送。


例如要记录查询消息,可以在 named.conf 中添加如下配置:

logging {
    channel query_log {
        file "query.log" versions 3 size 20m;
        severity info;
        print-time yes;
        print-category yes;
    };
    category queries {
        query_log;
    };
};

这样服务器会在工作目录(directory 语句所指定的目录,Ubuntu 为:/var/cache/bind)下创建 query.log 文件,并把运行过程产生的 queries 消息写如到此文件中。


你可能感兴趣的:(bind,dns,dns)