Por padrão, o Unbound é silencioso. Não gera logs em arquivo, nem envia para o syslog automaticamente. Isso pode ser um problema quando você quer rastrear requisições DNS ou depurar algum comportamento estranho.
Unbound loga por padrão?
Não. Ele envia a saída para stdout/stderr e, se rodando como daemon (como é comum em sistemas Linux), você não verá nada a menos que configure manualmente.
Ativando Logs no Unbound
Você tem duas opções: gravar em arquivo ou enviar pro syslog (como o journalctl ou /var/log/syslog).
Exemplo completo de /etc/unbound/unbound.conf com log em arquivo:
server:
verbosity: 3
logfile: "/var/log/unbound.log"
use-syslog: no
interface: 0.0.0.0
port: 53
do-daemonize: yes
# Segurança básica
hide-identity: yes
hide-version: yes
harden-glue: yes
harden-dnssec-stripped: yes
unwanted-reply-threshold: 10000000
# Cache
msg-cache-size: 50m
rrset-cache-size: 100m
cache-max-ttl: 86400
cache-min-ttl: 3600
# Outras opções úteis
num-threads: 2
prefetch: yes
Passos após salvar o arquivo
- Crie o arquivo de log:
sudo touch /var/log/unbound.log
sudo chown unbound:unbound /var/log/unbound.log
- Reinicie o Unbound:
sudo systemctl restart unbound
- Acompanhe os logs:
tail -f /var/log/unbound.log
Quer logar no journal (systemd)?
Troque:
logfile: "/var/log/unbound.log"
use-syslog: no
Por:
use-syslog: yes
E rode:
journalctl -u unbound -f
Modo debugging direto no terminal
Para ver tudo em tempo real sem daemonizar:
unbound -d -v
Use -vv, -vvv até -vvvvv pra aumentar a verbosidade.
Conclusão
Unbound é rápido, seguro, mas discreto demais. Se você precisa saber o que está acontecendo com as requisições DNS no seu ambiente, ativar os logs é essencial.
#protocoloKemper #0xk3mp3r #dns #unbound #debug #infraestrutura #linux #log