背景

内网DNS日志（Intranet DNS Log) 记录了指定阿里云uid下所有VPC网络内终端产生的DNS域名解析请求和应答，终端请求的这些域名既包含了配置在PrivateZone上的内网权威域名，也包含了外部公网域名。为了满足用户可以快速、简单实现多账号、多地域场景下内网DNS日志的采集、管理、中心化查询分析等需求，DNS与SLS联合开发，在SLS日志审计应用中发布一键开启内网DNS日志的功能。

什么是内网DNS日志

内网DNS日志是指在企业私有网络（如阿里云VPC）内部署的DNS服务进行域名解析所产生的日志记录。出于合规和安全性的考虑，公司通常要求对网络日志进行存储和分析。内网DNS日志是网络日志收集中重要的一环。内网DNS日志，会自动记录企业内网终端的域名解析请求和应答记录，包括请求的地域、请求的VPC ID、源IP地址、目的IP地址（DNS服务地址）、查询的域名、记录类型、应答的结果等。通过内网DNS日志，可以清晰了解企业内网域名的使用情况，帮助企业对内网用户行为进行审计，及时发现潜在的安全问题。

内网DNS日志记录的是内网终端的域名解析请求和应答记录，请求的域名主要来自于以下4类：

1. 配置在云解析PrivateZone上的内网权威域名。云解析 PrivateZone，是基于阿里云专有网络VPC（Virtual Private Cloud）环境的私有DNS服务。该服务允许您在一个或多个VPC中将自定义私有域名映射到IP地址。通过PrivateZone，您可以方便地使用自定义私有域名来管理VPC中的ECS主机名、SLB、OSS等阿里云资源，而这些私有域名在VPC之外将无法访问。此外，您还可以通过专线或VPN等连接方式，将您的VPC与传统数据中心相连，实现传统数据中心与阿里云VPC之间通过私有域名进行资源互相访问。
2. 配置在飞天云平台DNS（云底座DNS）上的云产品实例域名。云底座DNS，是内置于阿里云飞天平台的底层DNS，阿里云的所有云产品提供的实例域名，都是通过云底座DNS进行解析的。
3. 转发到外部DNS上的外部域名。外部DNS，通常指的是您数据中心的内网DNS系统，通过PrivateZone解析器的功能，将来自VPC的域名解析请求，转发到您数据中心的DNS系统进行解析，从而实现阿里云VPC的ECS主机可以访问您数据中心的应用域名。
4. 递归到外部公网权威DNS上的公网域名。公网权威DNS，是特定公网域名（例如“example.com”）在域名注册局或者域名注册商处所设置的DNS服务器。公网权威DNS可以为根域名、顶级域名和其他各级域名提供域名权威数据的管理和解析服务。公网权威DNS服务器只对自己所拥有的域名进行域名解析，对于不是自己的域名则拒绝访问。

内网DNS日志提供的字段信息如下所示，请求日志和响应日志分开存储：

(1) 请求日志示例

(2) 应答日志示例

什么是日志审计

日志审计服务是阿里云日志服务SLS平台下的一款应用，它在继承了日志服务SLS的全部功能以外，还有强大的多账号管理及跨地域采集阿里云各种云产品日志的功能，并且支持通过资源目录(Resource Directory)的方式有组织性地统一地管理和记录多账号下云产品实例的日志信息。日志审计具有以下功能和优势：

• 实例的自动发现和日志的自动采集，打开云产品日志采集开关后，后续如果新增云产品实例，只要满足采集条件（如用户自定义采集策略限制）日志审计将会自动地将云产品实例对应的日志采集进来，无需用户手动操作。
• 跨区域中心化能力，日志审计支持日志按Region进行区域化存储，更支持通过自动创建数据加工将日志存储到同一中心区域，在该中心project下进行统一查询分析，报表展示、告警配置等。
• 日志审计支持跨账号采集云产品日志，对于多账号用户来说，可以将不同账号下的日志采集到同一中心账号下，其他账号作为该中心账号的成员账号，实现跨账号的日志汇总和管理。
• 日志审计支持通过Terraform的方式进行采集编排和管理，具体参见使用Terraform的方式进行日志审计采集管理

日志审计一键开启

用户在SLS下开启内网DNS日志的采集，仅需要进入SLS控制台，在日志应用中找到日志审计服务，即可一键开启内网DNS日志的采集， 用户可以自定义日志存储的天数，是否开启冷热分层存储等功能。详细操作步骤参见开启日志采集功能。

多账号配置

日志审计强大的跨账号采集能力可以满足用户多账号场景下将成员账号的内网DNS日志统一采集到中心账号的需求。日志审计支持两种多账号管理配置：（1）资源目录管理模式（2）自定义鉴权管理模式。详细配置步骤请参见配置多账号采集。下图是多账号配置下内网DNS日志采集的示例：

Terraform配置

Terraform是一种开源工具，其命令行接口（CLI）提供了一种简单机制，用于将配置文件部署到阿里云或其他任意支持的云上，并对其进行版本控制。通过Terraform配置日志审计下云产品日志采集的详细步骤可以参考使用Terraform配置日志审计服务。

下面是一个通过Terraform配置内网DNS日志采集的配置示例：

resource "alicloud_log_audit" "dns_example" {

display_name = "tf-audit-test-dns"

aliuid       = "1480************"  //中心账号

variable_map = {

"dns_intranet_enabled" = "true", //开启内网DNS日志的采集

"dns_sync_enabled" = "true",     //开启区域化日志同步到中心project

"dns_intranet_ttl" = "3",        //日志区域化存储天数3天

"dns_sync_ttl" = "185"      //日志中心化存储天数185天

"dns_intranet_collection_policy" = "accept tag.env == \\\"test\\\"\\ndrop \\\"*\\\"" //仅开启标签健为env下标签值为prod的VPC实例下的内网DNS日志

  }  

multi_account = ["1039************"] //多账号配置

 }

采集策略

内网DNS日志可以通过采集策略进行精细化的采集管理。内网DNS日志最小采集粒度为VPC实例，可以根据VPC实例的信息进行DNS日志的采集控制。

控制台配置采集策略

用户可以在日志审计控制台进行采集策略的管理配置，下图是一个“仅开启标签健为env下标签值为prod的所有VPC实例下的内网DNS日志”的策略配置示例。通过采集策略的配置，可以帮助用户实现精细化采集管理，减少不必要的日志采集。

查询分析最佳实践

下面列举几类常见的内网DNS日志的查询分析场景，用户也可以根据实际需求自定义查询分析语句。此外，用户还可以将SQL语句查询结果添加到仪表盘、或者另存为快速查询、另存为告警等进行后续分析处理。

DNS解析结果

查询某时间段内，指定ECS，指定域名的完整DNS应答

* and query_name: "metrichub-cn-beijing.aliyun.com." and dst_addr: "10.0.xx.xx" and answer_rrset

not null  |select user_id, vpc_id, query_type, answer_rrset

DNS解析量

某时间段内，指定VPC下，不同查询域名的DNS请求量分布

* and vpc_id: vpc-2ze9dduxxxxxxsb3 |select count(*) as total_req, query_name group by  query_name

DNS解析RT

某时间段内，指定VPC，指定域名，指定queryType的DNS解析RT统计分析

* and vpc_id: vpc-2ze9dduxxxxsb3 and query_name: "metrichub-cn-beijing.aliyun.com." and query_type: A | select stddev(__time__) as RT, dns_msg_id GROUP  by dns_msg_id

总结