<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On 13 April 2018 at 13:59, Tony Finch <span dir="ltr"><<a href="mailto:dot@dotat.at" target="_blank">dot@dotat.at</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
The dnstap implementation in BIND only supports one output stream, so if<br>
we are going to satisfy these consumers, we would need to split the dnstap<br>
feed downstream of BIND before feeding the distributaries onwards.<br></blockquote><div><br></div><div>Maybe have a look at Jerry's luadns (somewhere on the <a href="http://dns-oarc.net">dns-oarc.net</a> web site, which isn't responding to me at the moment).  I had a chat with him after the last OARC meeting about a problem I had been trying to solve in a past life where we had three or four different things all attached to the same bpf on our measurement machines.  He seemed to think his tool would be well suited to taking a single feed of DNS packet info and branching out into processing it in multiple ways.</div><div><br></div><div>I don't recall how pcap-specific his sample code is, and can't go check right now, but I'm hoping it'd be pretty easily adapted to dnstap messages.</div><div><br></div><div><br></div></div></div></div>