Oh my – das hatte ich nicht erwartet, dass mich ein so doofes Feature erwischt. Aber ich sollte wohl von Vorne anfangen:

Ich betreibe Graylog als meinen zentralen Log.Server, damit ich einfacher suchen und überhaupt in den Logs herumstochern kann. Eigentlich keine große Sache, bis ich mal ein Auge auf meinen DNS Traffic geschaut habe, welcher mit mehr als 3000 Anfragen auf 10 Minuten doch etwas viel zu hoch war. Am Ende waren es einfach Anfragen nach der IP des Log-Servers von zwei Access Points.

Ich hätte mir jetzt schon etwas wie Caching oder Ähnliches erwartet – aber offensichtlich wurde das nicht implementiert. Ich hab’s kapiert: Für Log-Server die IP verwenden.