网络中心发来了实验室内挖矿的记录,要求排查。看记录的日志是通过dns查询来判断是否有挖矿行为的。
我们有自建DNS服务器。开启日志记录,就可以查到是哪一台内网机器在挖矿了。
在named.conf添加如下信息开启日志记录。
logging {
channel query_log { #这段是对日志文件的定义
file “query.log” versions 5 size 20m; #定义文件名,文件大小
severity info; #日志级别
print-time yes; #是否输出日期
print-category yes; #是否输出日志类型
};
category queries {
query_log;
};
};
修改后保存,重启一下bind服务。
systemctl restart bind9
query_log默认会保存在/var/cache/bind下。