
<html>


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>


</head>


<body dir="ltr">


<div class="elementToProof" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


Initially, DnsStream forwarded DNS data as ISC BIND style querylog style messages over Syslog (with a similar response format created -


<a href="https://telemity.com/dnsstream/docs/administration/event-and-output-formats.html#client-response-event" id="anchor-2970456a-2a4a-531f-01ee-af0ad4ad5c8f" class="OWAAutoLink">


https://telemity.com/dnsstream/docs/administration/event-and-output-formats.html#client-response-event</a>) or new-line delimited JSON.  The aim is high-fidelity data and operational safety - no detection, no analytics, etc., just accessing and moving the data


 without demanding huge amounts of CPU, memory or any disk IO.</div>


<div class="elementToProof" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


<br>


</div>


<div class="elementToProof" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


The next component in the suite of tools is going to process dnstap data over TCP/TLS (at least that's the plan) which is why I added dnstap - it was remarkably easy to add dnstap over fstrm.  This allows for receiving data to all the DNS servers which support


 dnstap, and for Windows DNS, DnsStream covers that off.</div>


<div class="elementToProof" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


<br>


</div>


<div class="elementToProof" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


I've experienced the BIND UNIX file only dnstap issue myself, used socat to get it to a TCP destination. 🙂  I am looking to implement Linux support with UNIX file based dnstap in a very near release for this exact reason, not sure if you would be interested


 in taking a look at this when it's available?</div>


<div class="elementToProof" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


<br>


</div>


<div class="elementToProof" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


So, the main consumer of this dnstap implementation was the next tool, which I don't want to talk about here, yet (things change and it may never materialize 🙂), and the side-effect of this allows data from Windows DNS servers to feed directly into an existing


 dnstap based system.</div>


<div class="elementToProof" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


<br>


</div>


<div class="elementToProof" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


Many thanks</div>


<div class="elementToProof" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


Steve</div>


<div class="elementToProof" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


<br>


</div>


<hr style="display: inline-block; width: 98%;">


<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


<b>From:</b> Fred Morris <m3047@m3047.net><br>


<b>Sent:</b> Monday, May 25, 2026 21:01<br>


<b>To:</b> Stephen Vickers <stephen.vickers@telemity.com><br>


<b>Cc:</b> dnstap@lists.redbarn.org <dnstap@lists.redbarn.org><br>


<b>Subject:</b> Re: [dnstap] Windows DNS ETW to dnstap interoperability </div>


<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


<br>


</div>


<div style="font-size: 11pt;">I'd love to know more! "I don't do windows", and what I personally use is<br>


BIND, and it only writes to a file or a unix socket. That's a problem for<br>


containerization, especially microkernels which only run one image. I've<br>


wished since the beginning that it supported TCP. I don't view this as a<br>


replacement, what I'm interested in is who / what are the consumers for<br>


this (already built to consume fstrm over TLS)? I am familiar with SIE.<br>


;-)<br>


<br>


I don't know why you put fstrm in front of it. I seem to extract what I<br>


need and then send that as multicast datagrams (JSONified in what I give<br>


away publicly).<br>


<br>


Feel free to contact me offlist (I'll give you a Trualias) or to hunt me<br>


down on LinkedIn.<br>


<br>


--<br>


<br>


Fred Morris, internet plumber<br>


<br>


On Mon, 25 May 2026, Stephen Vickers via dnstap wrote:<br>


><br>


> Hi all,<br>


> I’ve been working on a Windows DNS telemetry collector called DnsStream which captures DNS telemetry directly from the native<br>


> Windows DNS server ETW provider and now emits standards-compatible dnstap over TCP/TLS using fstrm.<br>


> [...]<br>


<br>


</div>


</body>


</html>