<div dir="ltr">There is a conversation to be had sometime around what % of queries get logged. <div><br></div><div>We did some basic analysis, very crude, a few years back, and found that tcpdump and bind query logs don't agree as to a total query load. Given the traffic is UDP, its not that surprising but it does mean you have to bear in mind the log path may be recording queries completed and answered, not received.</div><div><br></div><div>Just because you don't serve it, doesn't mean its not load on your network card, CPU..<br><div><br></div><div><div>-G<br></div></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On 20 July 2016 at 02:22, Jim Reid <span dir="ltr"><<a href="mailto:jim@rfc1035.com" target="_blank">jim@rfc1035.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
> On 19 Jul 2016, at 11:02, Vithalprasad Gaitonde <<a href="mailto:gaitonde.vithalprasad@microsoft.com">gaitonde.vithalprasad@microsoft.com</a>> wrote:<br>
><br>
> We are trying to understand how query logging is typically deployed in BIND DNS server deployments.<br>
<br>
So is everyone else. :-)<br>
<br>
There probably isn't a typical deployment. Some don't log queries at all. Some log to a local file. Others log over the net -- watch for syslogd doing reverse lookups of the sending IP address => yet another DNS query to log. Sometimes these logs (via syslog or a local file) only get looked at after an incident. Others process the logs regularly and generate hourly/daily/weekly/whatever reports.<br>
<br>
Some organisations take pcap dumps of ALL their DNS traffic. Sometimes tools like DSC or hedgehog get used to tap the network interface(s), sample DNS traffic and put that sampling data into a database that just grows and grows. IIUC dnstap is getting used by those who want real-time response to DNS traffic of interest (amongst other things).<br>
<br>
There's no one-size-fits-all answer to your question. A documented "best practice" for DNS logging seems unlikely too. I've never come across one yet. This touches on lots of tricky areas that have different rules in different countries and settings: privacy, data protection/retention, regulatory requirements, corporate policy, etc, etc.<br>
<br>
<br>
_______________________________________________<br>
dns-operations mailing list<br>
<a href="mailto:dns-operations@lists.dns-oarc.net">dns-operations@lists.dns-oarc.net</a><br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations
dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations<br>
dns-operations</a> mailing list<br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>
</blockquote></div><br></div>