以下部分概述了从 DNS 活动服务发送到已配置的 HTTP 端点、Splunk 服务器、Kafka 集群或 Elasticsearch 服务器的示例事件消息。您可以将端点配置为从 DNS 事件消息检索特定信息,以便监控网络的运行状况。
DNS 消息类型
DNS 查询、DNS 响应、DNS 更新查询或 DNS 更新查询响应事件的
messageType 字段中可能会出现以下消息类型:AuthQuery— 从权威名称服务器的角度来看,权威名称服务器从解析器收到的查询消息。AuthResponse— 从权威名称服务器的角度来看,权威名称服务器发送到解析器的响应消息。ResolverQuery— 从解析器的角度来看,从解析器发送到权威名称服务器的查询消息。解析器通常在发送查询时清除 RD(recursion desired,期望递归)位。ResolverResponse— 从解析器的角度来看,解析器从权威名称服务器收到的响应消息。ClientQuery— 从 DNS 服务器的角度来看,从客户端发送到被期望执行进一步递归的 DNS 服务器的查询消息客户端可能是存根解析器、转发器或其他类型的软件,通常在查询 DNS 服务器时设置 RD(期望递归)位。DNS 服务器可能是简单转发代理或完全递归解析器。ClientResponse— 从 DNS 服务器的角度来看,从 DNS 服务器发送到客户端的响应消息。DNS 服务器通常在发送查询时设置 RD(期望递归)位。ForwarderQuery— 从下游 DNS 服务器的角度来看,从客户端发送到下游 DNS 服务器,再发送到被期望执行进一步递归的上游 DNS 服务器的查询消息。ForwarderResponse— 从下游 DNS 服务器的角度来看,从执行递归的上游 DNS 服务器发送到下游 DNS 服务器的响应消息。UpdateQuery— 从权威名称服务器的角度来看,权威名称服务器从解析器收到的更新查询消息。UpdateResponse— 从权威名称服务器的角度来看,权威名称服务器发送到解析器的更新响应消息。
有关 DNS 消息类型的更多信息,请参阅 dnstap protobuf 模式。
递归环境中的示例事件消息
以下情形概要介绍在具有一个权威服务器和一个递归服务器且这两个服务器均已启用 DNS 活动的递归环境中所出现的示例事件消息。
当请求发送到递归服务器时,递归服务器将捕获一条 ResolverResponse 消息、一条 ResolverQuery 消息、一条 ClientQuery 消息和一条 ClientResponse 消息。在权威服务器上,服务器将捕获一条 AuthQuery 消息和一条 AuthResponse 消息。如果递归服务器已在本地缓存权威答案,则以后的查询将仅生成 ClientQuery 和 ClientResponse 消息。如果在权威服务器上发出 DNS 请求,将捕获一条 AuthQuery 消息和一条 ClientResponse 消息。