DNS Bind日志详述

简介

在默认情况下，BIND9 把日志消息写到 /var/log/messages 文件中，而这些日志消息是非常少的，主要就是启动，关闭的日志记录和一些严重错误的消息；而将调试日志信息写入 BIND 服务器工作目录中的 named.run 文件。

BIND 9 的日志是可以灵活配置的，要详细记录服务器的运行状况，要在配置文件 named.conf 中使用 logging 语句来定制自己所需要的日志记录。

BIND 日志的常用术语

在讲述 logging 语句的语法之前，先要熟悉一些常用术语

术语	含义
channel（通道）	日志输出方式，如：syslog、文本文件、标准错误输出或 /dev/null
category（类别）	日志的消息类别，如：查询消息或动态更新消息等
module（模块）	产生消息的来源模块名称
facility（设备）	syslog 设备名
severity（严重性）	消息的严重性等级

logging 语句的语法

logging 语句的语法为：

logging {
    channel channel_name {                // 定义通道
        file log_file [versions number | unlimited] [size sizespec]; | syslog optional_facility; | null; | stderr;      // 定义输出方式
        severity log_severity;           // 定义消息严重性
        [print-time boolean;]            // 是否在消息中添加时间前缀，仅用于 file 日志
        [print-severity boolean;]        // 是否在消息中添加消息严重性前缀
        [print-category boolean;]        // 是否在消息中添加消息类别名前缀
   };
   category category_name {              // 定义类别
        channel_name;
        ......
   };
};

channel 语句

配置日志时，首先要定义通道，然后将不同的日志类别的数据指派到指定的通道上输出。

BIND 9 的默认配置是：

logging {
    // 由于使用了默认通道，所以没有通道定义部分
    category "default" { "default_syslog"; "default_debug"; };
};

channel 语句用于定义通道。指定应该向哪里发送日志数据，需要在以下四种之间则其一：

• file: 输出到纯文本文件
• log_file: 指定一个文件名
• version: 指定允许同时存在多少个版本的该文件，比如指定 3 个版本（version 3），就会保存 query.log、query.log0、query.log1 和query.log2。
• size: 指定文件大小的上限，如果只设定了size 而没有设定 version，当文件达到指定的文件大小上限时，服务器停止写入该文件。如果设定了version，服务器会进行循环，如把 log_file 变成 log_file.log1，log_file.log1 变成 log_file.log2 等，然后建立一个新log_file.log 进行写入。

syslog optional_facility ：输出到 syslog，其中 optional_facility 是 syslog 的设备名，通常为以下几个：

• daemon
• local0 到 local7
• null ：输出到空设备
• stderr ：输出到标准错误输出，默认为屏幕

severity 语句用于指定消息的严重性等级， log_severity 的取值为（按照严重性递减的顺序）：

• critical
• error
• warning
• notice
• info
• debug [ level ]

dynamic 是一个特殊的值，它匹配服务器当前的调试级别。定义了某个严重性级别后，系统会记录包括该级别以及比该级别更严重的级别的所有消息。比如定义级别为 error，则会记录 critical 和error 两个级别的信息。

对于系统管理员来说，一般记录到 info 级别就可以了。

BIND 9 预制了如下四个默认通道；

channel "default_syslog" {
syslog daemon;     // 发送给 syslog 的 daemon 设备
severity info;     // 只发送此 info 及其更高优先级的信息
};
channel "default_debug" { // 只有当服务器的 debug 级别非 0 时，才产生输出。
file "named.run"; // 写入工作目录下的 named.run 文件
severity dynamic; // 按照服务器当前的debug 级别记录日志
};
channel "default_stderr" {
        stderr;           // 写到stderr
        severity info;    // 只发送此 info 及其更高优先级的信息
};
channel "null" {
        null;             // 丢弃所有发到此通道的信息
};

category 语句

category 语句是指定哪一种类别的信息使用哪个或者哪几个已经定义了的通道输出。

BIND 9 中可用的类别名（category_name）有：

类别	说明
client	处理客户端请求。
config	配置文件分析和处理。
database	同BIND内部数据库相关的消息，用来存储区数据和缓存记录。
default	匹配所有未明确指定通道的类别。
dnssec	处理 DNSSEC 签名的响应。
general	包括所有未明确分类的 BIND 消息。
lame-servers	发现错误授权，即残缺服务器。
network	网络操作。
notify	区更新通知消息。
queries	查询日志
resolver	名字解析，包括对来自解析器的递归查询信息。
security	批准/非批准的请求。
update	动态更新事件。
xfer-in	从远程名字服务器到本地名字服务器的区传送。
xfer-out	从本地名字服务器到远程名字服务器的区传送。

例如要记录查询消息，可以在 named.conf 中添加如下配置：

logging {
    channel query_log {
        file "query.log" versions 3 size 20m;
        severity info;
        print-time yes;
        print-category yes;
    };
    category queries {
        query_log;
    };
};

这样服务器会在工作目录（directory 语句所指定的目录，Ubuntu 为：/var/cache/bind）下创建 query.log 文件，并把运行过程产生的 queries 消息写如到此文件中。