<div dir="auto"><div>Hi Guys,</div><div dir="auto"><br></div><div dir="auto">Can anyone offer any advice based on their experience?</div><div dir="auto"><br></div><div dir="auto">Thanks</div><div dir="auto"><br></div><div dir="auto">Mick<br><div class="gmail_extra" dir="auto"><br><div class="gmail_quote">On 19 Jul 2017 2:16 p.m., "Mick Lee" <<a href="mailto:lmick5455@gmail.com">lmick5455@gmail.com</a>> wrote:<br type="attribution"><blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi All,<div><br></div><div>I wonder if I could get some advice and guidance based on everyones experience.</div><div><br></div><div>I have a mix of pre-compiled versions of BIND on Linux (can't change or re-compiled I'm afraid) and Windows DNS, and I have a need to log DNS queries from about 100 or so of these types of servers, to identify queries to specific domains, and to be able to go back through and search for queries to domains which we now know to be bad.</div><div><br></div><div>I am currently using query logging on Linux, and Syslog to move the data around, and simple regex matching to look for domains, but I need to get the data from Windows servers and the current tooling is not performant/scalable.</div><div><br></div><div>I could just enable Windows DNS logging and try to get the files from the servers somehow, but from what I remember there are issues around log file rotation and the potential for data loss there.  One of my colleagues suggested sending the DNS queries to the Windows event log, but I am not sure I can even do that, and I am worried about the impact too - there are approx. 10,000 DNS qps across all servers in total.</div><div><br></div><div>Should I be looking at some off the shelve software (although I don't have a lot of budget), what would even do this, or is there some open source tool that would do the job (I have some scripting ability) - I'm quite open to any ideas?</div><div><br></div><div>Any advice or guidance anyone can offer would be greatly appreciated.</div><div><br></div><div>(I know each environment is different, so apologies if I have left any important detail out, please point this out if so and I will try to fill in the gaps)</div><div><br></div><div>Many Thanks</div><font color="#888888"><div><br></div><div>Mick</div></font></div></blockquote></div><br></div></div></div>