<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-NZ" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D;mso-fareast-language:EN-US">Not sure it would help but I have a current project where I  send bind raw data using packetbeat to elk stack allow me to see what
 individual user lookup at any given time and also how many …<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Thank You Once Again.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">ICT Team.<o:p></o:p></span></p>
</div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">From:</span></b><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif""> bind-users [mailto:bind-users-bounces@lists.isc.org]
<b>On Behalf Of </b>Bob Harold<br>
<b>Sent:</b> Thursday, 20 July 2017 2:27 a.m.<br>
<b>To:</b> Abi Askushi<br>
<b>Cc:</b> bind-users@lists.isc.org<br>
<b>Subject:</b> Re: DNS traffic accounting<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<div>
<div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</div>
<div>
<p class="MsoNormal">On Wed, Jul 19, 2017 at 6:20 AM, Abi Askushi <<a href="mailto:rightkicktech@gmail.com" target="_blank">rightkicktech@gmail.com</a>> wrote:<o:p></o:p></p>
<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">
<div>
<div>
<div>
<div>
<div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<p class="MsoNormal" style="margin-bottom:12.0pt">I enabled logging for the queries and am getting now queries from clients in the below form:
<br>
<br>
19-Jul-2017 10:11:29.310 client 192.168.200.102#27975: view auth: query: <a href="http://mobile.in.gr" target="_blank">
mobile.in.gr</a> IN A + (192.168.200.1)<br>
19-Jul-2017 10:11:29.794 client 192.168.200.102#32874: view auth: query: <a href="http://static.adman.gr" target="_blank">
static.adman.gr</a> IN A + (192.168.200.1)<br>
19-Jul-2017 10:11:31.564 client 192.168.200.102#36746: view auth: query: <a href="http://android.clients.google.com" target="_blank">
android.clients.google.com</a> IN A + (192.168.200.1)<br>
19-Jul-2017 10:11:32.721 client 192.168.200.102#60248: view auth: query: <a href="http://mobilefeed.in.gr" target="_blank">
mobilefeed.in.gr</a> IN A + (192.168.200.1)<br>
19-Jul-2017 10:11:39.440 client 192.168.200.102#53832: view auth: query: <a href="http://stats.g.doubleclick.net" target="_blank">
stats.g.doubleclick.net</a> IN A + (192.168.200.1)<br>
19-Jul-2017 10:11:44.523 client 192.168.200.102#22693: view auth: query: <a href="http://mqtt-mini.facebook.com" target="_blank">
mqtt-mini.facebook.com</a> IN A + (192.168.200.1)<br>
19-Jul-2017 10:11:51.429 client 192.168.200.102#37734: view auth: query: <a href="http://www.googleapis.com" target="_blank">
www.googleapis.com</a> IN A + (192.168.200.1)<br>
19-Jul-2017 10:11:55.603 client 192.168.200.102#62531: view auth: query: <a href="http://clients3.google.com" target="_blank">
clients3.google.com</a> IN A + (192.168.200.1)<br>
19-Jul-2017 10:11:57.352 client 192.168.200.102#11788: view auth: query: <a href="http://clients4.google.com" target="_blank">
clients4.google.com</a> IN A + (192.168.200.1)<br>
19-Jul-2017 10:11:57.353 client 192.168.200.102#19409: view auth: query: <a href="http://clients4.google.com" target="_blank">
clients4.google.com</a> IN A + (192.168.200.1)<br>
19-Jul-2017 10:12:06.365 client 192.168.200.102#51726: view auth: query: <a href="http://graph.instagram.com" target="_blank">
graph.instagram.com</a> IN A + (192.168.200.1)<o:p></o:p></p>
</div>
<p class="MsoNormal">I could count the queries by parsing the logs though this seems to be somehow inefficient.
<o:p></o:p></p>
</div>
<p class="MsoNormal" style="margin-bottom:12.0pt">Is there any way that bind9 could be queries otherwise to provide such info?<o:p></o:p></p>
</div>
</div>
</div>
</blockquote>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Read up on the statistics channel in the BIND manual.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">-- <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">Bob Harold<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">
<div>
<div>
<p class="MsoNormal">Many thanx, <o:p></o:p></p>
</div>
<p class="MsoNormal">Abi<o:p></o:p></p>
</div>
<div>
<div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal">On Wed, Jul 19, 2017 at 12:04 AM, Abi Askushi <<a href="mailto:rightkicktech@gmail.com" target="_blank">rightkicktech@gmail.com</a>> wrote:<o:p></o:p></p>
<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">
<div>
<div>
<p class="MsoNormal">This could do.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">I just have to get those counters.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Thanx,<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">Abi<o:p></o:p></p>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<div>
<div>
<p class="MsoNormal">On Jul 18, 2017 18:37, "Matthew Seaman" <<a href="mailto:m.seaman@infracaninophile.co.uk" target="_blank">m.seaman@infracaninophile.co.uk</a>> wrote:<o:p></o:p></p>
</div>
</div>
<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">
<div>
<div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt">On 07/18/17 16:09, Abi Askushi wrote:<br>
> I am trying to figure out how could I account the DNS traffic generated<br>
> from clients in terms of bytes. My setup is a simple caching DNS with<br>
> several clients querying the DNS server.  I can measure the DNS traffic<br>
> that is generated from the DNS server on the WAN side by using some<br>
> monitoring tool (pmacct) but I am not sure how could I account this traffic<br>
> to the clients that are generating this traffic. By simply monitoring the<br>
> internal DNS traffic from clients I expect to not be accurate since it will<br>
> include also cached responses which do not generate WAN traffic.<br>
><br>
> Any suggestion how to approach this problem?<o:p></o:p></p>
</div>
<p class="MsoNormal">The implication of what you're suggesting is that if client A looks up<br>
some address that isn't in the cache, then they will be charged for<br>
that. However, if client B then comes along and looks up the exact same<br>
address shortly afterwards, they'll get a response from cache and so not<br>
be charged.  That seems a bit arbitrary.<br>
<br>
Why not charge your clients based simply on the number of queries they<br>
make against your resolver?  You know or can easily find out how many<br>
queries your resolver is handling in total and how much the WAN traffic<br>
that generates is costing you so it should be fairly easy to come up<br>
with a charging scheme based on the average cost per DNS query.<br>
<br>
        Cheers,<br>
<br>
        Matthew<o:p></o:p></p>
</div>
</div>
</blockquote>
</div>
</div>
</div>
</div>
</blockquote>
</div>
</div>
</div>
</div>
</blockquote>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</div>
<p class="MsoNormal">Confidentiality Notice: This email (including any attachment) is intended for internal use only. Any unauthorized use, dissemination or copying of the content is prohibited. If you are not the intended recipient and have received this e-mail
 in error, please notify the sender by email and delete this email and any attachment.
<o:p></o:p></p>
</div>
Confidentiality Notice: This email (including any attachment) is intended for internal use only. Any unauthorized use, dissemination or copying of the content is prohibited. If you are not the intended recipient and have received this e-mail in error, please
 notify the sender by email and delete this email and any attachment.
</body>
</html>