On Mon, Feb 25, 2013 at 5:09 AM, Robert Moskowitz <span dir="ltr"><<a href="mailto:rgm@htt-consult.com" target="_blank">rgm@htt-consult.com</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Yes, I know lots of places don't have DNSSEC signed zones.  **I** have not done mine yet, but I turned on DNSSEC checking on my server and I am getting all too many messages like:<br>
<br>
      validating @0xb4247b50: 117.in-addr.arpa NSEC: no valid signature found: 1 Time(s)<br>
      validating @0xb4247b50: 117.in-addr.arpa SOA: no valid signature found: 1 Time(s)<br></blockquote><div><br>Yes, but 117.in-addr.arpa *is* signed [1], so if you're not getting signatures, that's problematic.<br>
 <br></div><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
How can I stop the logging of only " no valid signature found"?  So I can watch for more meaningful events and not so quickly grow /var/log/messages?<br></blockquote><div><br>Logging can be tuned on a per-category (e.g., DNSSEC) basis, including the location to which log messages are sent (e.g., file, syslog, etc.).  See the section on logging in the BIND 9 Configuration Reference for more information on how to do this [2].<br>
<br>Casey<br></div><div><br>[1]  <a href="http://dnsviz.net/d/117.in-addr.arpa/USuy_w/dnssec/">http://dnsviz.net/d/117.in-addr.arpa/USuy_w/dnssec/</a><br>[2]  <a href="http://ftp.isc.org/isc/bind9/cur/9.9/doc/arm/Bv9ARM.ch06.html">http://ftp.isc.org/isc/bind9/cur/9.9/doc/arm/Bv9ARM.ch06.html</a><br>
</div></div>