Exploitation du fichier de logs de Unbound
10 juillet 2018
Je me sers de Unbound comme cache DNS. Ce logiciel Open Source qui s’exécute aussi bien sous Linux que sous Windows offre la possibilité de gérer une blacklist. Toutes les machines de mon réseau local passent par ce serveur DNS et, du coup, nous économisons beaucoup de notre bande passante !
Loguer l’activité de Unbound
Depuis plusieurs mois, j’ai décidé de loguer l’activité de Unbound, de manière à enrichir ma blacklist et gérer mes containers dans Firefox. J’ai ajouté à la section server du fichier de configuration unbound.conf les directives suivantes :
verbosity: 0 logfile: "E:\unbound.log" log-replies: yes log-time-ascii: yes log-queries: yes
Exploiter les logs de Unbound
Comme ma station de travail est sous Windows, j’ai fait un script PowerShell pour extraire les noms de domaines de ce fichier :
Clear
#Récupération du contenu du fichier de log
$fic=Get-Content -Path 'E:\unbound.log'|Select-String -Pattern 'A{1,4} IN NOERROR 0.[0-9]{6} 0 [0-9]{1,3}'
#Extraction des noms de domaines et chargement des données dans le tableau $res
$res=@()
ForEach($line in $fic)
{
If($line -match "[a-z0-9\.\-]+\.[a-z]+\.")
{
$tmp=$Matches[0]
$res+=[PSCustomObject] @{domaine=$tmp.Substring(0,$tmp.Length-1)}
}
}
$res=$res|Sort -Property domaine -Unique
$res|Out-GridView
