<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=GB2312" http-equiv=Content-Type>
<STYLE>
BLOCKQUOTE {
        MARGIN-TOP: 0px; MARGIN-BOTTOM: 0px; MARGIN-LEFT: 2em
}
OL {
        MARGIN-TOP: 0px; MARGIN-BOTTOM: 0px
}
UL {
        MARGIN-TOP: 0px; MARGIN-BOTTOM: 0px
}
P {
        MARGIN-TOP: 0px; MARGIN-BOTTOM: 0px
}
BODY {
        LINE-HEIGHT: 1.5; FONT-FAMILY: Î¢ÈíÑźÚ; COLOR: #000080; FONT-SIZE: 10.5pt
}
</STYLE>

<META name=GENERATOR content="MSHTML 8.00.6001.19393"></HEAD>
<BODY style="MARGIN: 10px">
<DIV>
<DIV>Ok, next time I will post questions to <A 
href="mailto:bind-users@isc.org">bind-users@isc.org</A>.</DIV>
<DIV>Yes,  BIND maybe consilidate answers just like you said when receiving 
large amount of requests for the same records.</DIV>
<DIV>I will capture inbound and outbound traffic and compare it to 
querylog.</DIV>
<DIV>Thanks. </DIV></DIV>
<DIV> </DIV>
<HR style="WIDTH: 210px; HEIGHT: 1px" align=left color=#b5c4df SIZE=1>

<DIV><SPAN>Liu Mingxing</SPAN></DIV>
<DIV> </DIV>
<DIV 
style="BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0cm; PADDING-LEFT: 0cm; PADDING-RIGHT: 0cm; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<DIV 
style="PADDING-BOTTOM: 8px; PADDING-LEFT: 8px; PADDING-RIGHT: 8px; BACKGROUND: #efefef; COLOR: #000000; FONT-SIZE: 12px; PADDING-TOP: 8px">
<DIV><B>From:</B> <A href="mailto:dougb@dougbarton.us">Doug 
Barton</A></DIV>
<DIV><B>Date:</B> 2013-01-26 03:15</DIV>
<DIV><B>To:</B> <A 
href="mailto:dns-operations@lists.dns-oarc.net">dns-operations</A></DIV>
<DIV><B>Subject:</B> Re: [dns-operations] All requests are logged by 
BIND?</DIV></DIV></DIV>
<DIV>
<DIV>On 01/25/2013 01:11 PM, Liu Mingxing wrote:</DIV>
<DIV>> All requests are logged by BIND?</DIV>
<DIV>> By a rrdtool, I found that DNS traffic of router before an authoritative</DIV>
<DIV>> nameserver is larger than those seen from querylog. For example, cacti</DIV>
<DIV>> tells us qps is 2k while querylog shows a smaller qps.</DIV>
<DIV>> Is it just because BIND could not records all requests when</DIV>
<DIV>> large traffic of queries come to it? </DIV>
<DIV> </DIV>
<DIV>FYI, this question would be better on bind-users@isc.org, but it's</DIV>
<DIV>arguably on-topic here, so ...</DIV>
<DIV> </DIV>
<DIV>What is likely happening is that you are receiving a percentage of</DIV>
<DIV>repeat requests from the same remote servers for the same records. BIND</DIV>
<DIV>is fairly intelligent about consolidating the answers to such requests.</DIV>
<DIV>I'm not sure if that would affect the logging in the way you describe,</DIV>
<DIV>but I imagine it probably does.</DIV>
<DIV> </DIV>
<DIV>The way that you can determine this for sure would be to actually</DIV>
<DIV>capture the packets going in and out, and compare number of identical</DIV>
<DIV>questions to the number of answers.</DIV>
<DIV> </DIV>
<DIV>hope this helps,</DIV>
<DIV> </DIV>
<DIV>Doug</DIV>
<DIV> </DIV>
<DIV>_______________________________________________</DIV>
<DIV>dns-operations mailing list</DIV>
<DIV>dns-operations@lists.dns-oarc.net</DIV>
<DIV>https://lists.dns-oarc.net/mailman/listinfo/dns-operations</DIV>
<DIV>dns-jobs mailing list</DIV>
<DIV>https://lists.dns-oarc.net/mailman/listinfo/dns-jobs</DIV></DIV></BODY></HTML>