公网权威DNS日志转存SLS

日志字段

说明

示例数据（仅做格式参考）

additional_rrset

其他资源记录集，是指除了直接回答查询的问题外，DNS服务器还可以提供的一些附加信息。这些信息通常是帮助解析过程更加高效地进行的辅助数据。

Json array:

["mail.example.com. 3600 IN A 93.184.XX.XX"]

answer_rrset

应答资源记录集，当DNS服务器接收到查询请求后，会根据查询的内容返回相应的信息，这些信息就包含在这个 answer_rrset 里。

Json array:

["cloud-example.com. 600 MX 15 mx3.qiye.aliyun.com.", "cloud-example.com. 600 MX 10 mx2.qiye.aliyun.com."]

authority_rrset

权威资源记录集，指的是当请求的域名信息无法直接由响应服务器提供时，该字段会包含能够对该查询给出权威答案的其他DNS服务器的信息。

Json array:

["example.com. 172800 IN NS ns1.example.com. example.com. 172800 IN NS ns2.example.com." ]

dns_msg_flags

• QR：0表示客户端请求包，1表示服务端响应包；

• RD：0表示不期望进行递归查询，1表示期望进行递归查询；

• AA：0表示应答服务器不是该域名的权威服务器，1表示是权威服务器；

• TC：0表示报文未截断，1表示报文过长被截断；

QR RD AA

dns_msg_id

DNS信息ID，表示本次DNS查询的唯一识别码

55346

dst_addr

应答报文目的IP地址，一般为LocalDNS出口IP

61.240.XX.XX

dst_port

应答报文目的端口，一般为LocalDNS端口

52322

edns

EDNS（Extension mechanisms for DNS）是DNS协议的一种扩展，它允许在DNS请求和响应中携带额外的信息。通过使用EDNS，DNS可以支持更大的数据包、更丰富的错误代码以及其他扩展功能。

UDP：指示发送者能够处理的最大UDP数据包大小（以字节为单位）。这有助于解决传统DNS限制于512字节的问题，允许客户端和服务端协商一个更大的值来传输更多数据。

flag：是指位于OPT资源记录里的一个8位标志字段，是专门为EDNS设计的特殊类型RR，它允许DNS服务器与解析器之间交换额外的信息或选项。DO (DNSSEC OK): 这是最常见的flag之一，用以指示发送方能够处理并请求DNSSEC签名的数据。

CLIENT_SUBNET：客户端子网信息。

UDP: 1400 flags: DO CLIENT_SUBNET: 124.163.XX.XX/24/24

query_name

查询域名名称

www.example.com.

query_type

查询记录类型，例如A，AAAA，CNAME，TXT，MX等

A

rcode

响应状态码：

• 0: NOERROR，没有错误查询域名成功

• 1: FORMERR，格式错误，DNS 无法解析该请求

• 2: SERVFAIL，DNS 服务器遇到内部错误或者超时引起的解析失败

• 3: NXDOMAIN，域名未找到

• 4: NOTIMP，服务器不支持指定的操作代码

• 5: REFUSED，DNS服务器因为策略或者安全原因拒绝应答

• 8：NXRRSET，请求的域名存在，但是请求的解析类型不存在

0

region_id

收集日志所在机器的地域ID。

cn-shanghai

rt

响应时延，是指权威DNS接收到请求到应答的时间，不是指终端查询域名解析的整体时间。

0ms

src_addr

应答报文源IP地址，即应答权威DNS服务器地址

8.212.XX.XX

src_port

应答报文源端口，即应答权威DNS服务器端口

53

transport

传输协议

UDP

user_id

阿里云账号ID

139749398683****

value

answer_rrset字段RRset中value部分

Json array:

["mx3.qiye.aliyun.com." ,"mx2.qiye.aliyun.com."]

view_name

域名查询请求命中的线路

DEFAULT

wild_len

命中泛域名时候泛域名长度

25

z_name

查询域名所属的权威ZONE名称

cloud-example.com