AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页

公网权威DNS日志转存SLS

更新时间:
复制为 MD 格式
产品详情
我的收藏

应用场景

出于合规和安全性的考虑,公司通常要求对网络日志进行存储和分析。通过公网权威DNS日志,可以清晰了解企业公网域名的使用情况,帮助企业对域名解析情况进行审计,及时发现潜在的安全问题。

什么是公网权威DNS解析日志

公网DNS解析日志记录了指定主域名的所有子域名解析应答日志(包括请求的协议类型、域名所在UID、源IP地址、目的IP地址(DNS服务地址)、查询的域名、记录类型、应答的结果等)。DNSSLS联合开发,在SLS日志审计应用中可以一键开启公网DNS解析日志转存功能。

公网权威DNS解析日志审计开通

重要

SLS日志转存的前提是云解析产品控制台已经将对应域名DNS流量分析开启,具体操作方法请参考域名开启/关闭流量分析。如果关闭DNS流量分析服务,会导致日志转存服务没有日志数据。

  1. 登录SLS产品控制台

  2. 日志应用栏选择审计与安全页签,然后单击日志审计服务

  3. 全局配置页面,将公网DNS解析日志审计开关打开并选择中心项目Project所在区域,例如cn-hangzhou;详细操作步骤参见开启和管理日志采集功能。在日志审计服务页面,选择左侧导航栏云产品接入 > 全局配置,在云产品审计日志配置列表中找到DNS,将公网DNS解析日志的采集策略开关设为开启状态。

如何查看公网权威DNS解析日志转存明细

  1. 登录日志服务控制台

  2. Project列表中选择之前创建的Project;在 Project 列表页面,找到并单击日志审计中心 Project(名称前缀为 slsaudit-center)进入该 Project。

  3. 在左侧日志库列表,单击dns_log,即可查看解析日志明细。

公网权威DNS解析日志字段说明

日志字段

说明

示例数据(仅做格式参考)

additional_rrset

其他资源记录集,是指除了直接回答查询的问题外,DNS服务器还可以提供的一些附加信息。这些信息通常是帮助解析过程更加高效地进行的辅助数据。

Json array:

["mail.example.com. 3600 IN A 93.184.XX.XX"]

answer_rrset

应答资源记录集,当DNS服务器接收到查询请求后,会根据查询的内容返回相应的信息,这些信息就包含在这个 answer_rrset 里。

Json array:

["cloud-example.com. 600 MX 15 mx3.qiye.aliyun.com.", "cloud-example.com. 600 MX 10 mx2.qiye.aliyun.com."]

authority_rrset

权威资源记录集,指的是当请求的域名信息无法直接由响应服务器提供时,该字段会包含能够对该查询给出权威答案的其他DNS服务器的信息。

Json array:

["example.com. 172800 IN NS ns1.example.com. example.com. 172800 IN NS ns2.example.com." ]

dns_msg_flags

  • QR:0表示客户端请求包,1表示服务端响应包;

  • RD:0表示不期望进行递归查询,1表示期望进行递归查询;

  • AA:0表示应答服务器不是该域名的权威服务器,1表示是权威服务器;

  • TC:0表示报文未截断,1表示报文过长被截断;

QR RD AA

dns_msg_id

DNS信息ID,表示本次DNS查询的唯一识别码

55346

dst_addr

应答报文目的IP地址,一般为LocalDNS出口IP

61.240.XX.XX

dst_port

应答报文目的端口,一般为LocalDNS端口

52322

edns

EDNS(Extension mechanisms for DNS)是DNS协议的一种扩展,它允许在DNS请求和响应中携带额外的信息。通过使用EDNS,DNS可以支持更大的数据包、更丰富的错误代码以及其他扩展功能。

UDP:指示发送者能够处理的最大UDP数据包大小(以字节为单位)。这有助于解决传统DNS限制于512字节的问题,允许客户端和服务端协商一个更大的值来传输更多数据。

flag:是指位于OPT资源记录里的一个8位标志字段,是专门为EDNS设计的特殊类型RR,它允许DNS服务器与解析器之间交换额外的信息或选项。DO (DNSSEC OK): 这是最常见的flag之一,用以指示发送方能够处理并请求DNSSEC签名的数据。

CLIENT_SUBNET:客户端子网信息。

UDP: 1400 flags: DO CLIENT_SUBNET: 124.163.XX.XX/24/24

query_name

查询域名名称

www.example.com.

query_type

查询记录类型,例如A,AAAA,CNAME,TXT,MX

A

rcode

响应状态码:

  • 0: NOERROR,没有错误查询域名成功

  • 1: FORMERR,格式错误,DNS 无法解析该请求

  • 2: SERVFAIL,DNS 服务器遇到内部错误或者超时引起的解析失败

  • 3: NXDOMAIN,域名未找到

  • 4: NOTIMP,服务器不支持指定的操作代码

  • 5: REFUSED,DNS服务器因为策略或者安全原因拒绝应答

  • 8:NXRRSET,请求的域名存在,但是请求的解析类型不存在

0

region_id

收集日志所在机器的地域ID。

cn-shanghai

rt

响应时延,是指权威DNS接收到请求到应答的时间,不是指终端查询域名解析的整体时间。

0ms

src_addr

应答报文源IP地址,即应答权威DNS服务器地址

8.212.XX.XX

src_port

应答报文源端口,即应答权威DNS服务器端口

53

transport

传输协议

UDP

user_id

阿里云账号ID

139749398683****

value

answer_rrset字段RRsetvalue部分

Json array:

["mx3.qiye.aliyun.com." ,"mx2.qiye.aliyun.com."]

view_name

域名查询请求命中的线路

DEFAULT

wild_len

命中泛域名时候泛域名长度

25

z_name

查询域名所属的权威ZONE名称

cloud-example.com