<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"></div>hi team. We have an Unbound caching server that was setup by another internal team. However, there is no logging enabled. I not only want this enabled for troubleshooting internal name resolution issues, but also to feed into a SIEM, and do other traffic analysis.<div><br></div><div>My questions (and I know every environment is different)</div><div><br></div><div>- Is there a "sizing guide" so one can ascertain how much disk space should be allocated to the DNS caching host?</div><div><br></div><div>- I suppose this might be determined by the log verbosity, so with verbosity: 1 or verbosity: 3, etc..  how does this come into play?</div><div><br></div><div>- Is there anything else to consider other than just adding the #logfile directive to the .conf file?</div><div><br></div><div>- to get the unbound logs over to a syslog/SIEM, I suspect I will need to use something like rsyslog - correct?</div><div><br></div><div>Thanks in advance for any help or advice</div>
</div></div>