<div style="font-size: 12pt;">Hello!</div>
<div style="font-size: 12pt;"> </div>
<div style="font-size: 12pt;">I want to find out the response time from clients request up to dnsmasq's response</div>
<div style="font-size: 12pt;">(including the external answer!) to the client. But a look into the logfile - thought, easy</div>
<div style="font-size: 12pt;">to make a wrapper, because I am missing dnstap support - wonders me.</div>
<div style="font-size: 12pt;">For example, here a short excerpt, omitting the date, I cut out of a contueing block:</div>
<div style="font-size: 12pt;"> </div>
<div style="font-size: 12pt;">dnsmasq[315]: 86114 192.120.33.206/55020 query[PTR] 155.33.120.192.in-addr.arpa from 192.120.33.206<br>dnsmasq[315]: 86114 192.120.33.206/55020 /etc/dnsmasq.d/hosts 192.120.33.155 is proxy.lan.local<br><br>dnsmasq[315]: 86115 192.120.33.206/55020 query[A] stackoverflow.com from 192.120.33206<br>dnsmasq[315]: 86115 192.120.33.206/55020 forwarded stackoverflow.com to 208.67.222.222<br>dnsmasq[315]: 86115 192.120.33.206/55020 reply stackoverflow.com is 151.101.193.69<br>dnsmasq[315]: 86115 192.120.33.206/55020 reply stackoverflow.com is 151.101.65.69<br>dnsmasq[315]: 86115 192.120.33.206/55020 reply stackoverflow.com is 151.101.129.69<br>dnsmasq[315]: 86115 192.120.33.206/55020 reply stackoverflow.com is 151.101.1.69<br><br>dnsmasq[315]: 86116 192.120.33.206/55020 query[A] alive.github.com from 192.120.33.206<br>dnsmasq[315]: 86116 192.120.33.206/55020 forwarded alive.github.com to 77.88.8.8<br>dnsmasq[315]: 86116 192.120.33.206/55020 reply alive.github.com is <CNAME><br>dnsmasq[315]: 86116 192.120.33.206/55020 reply live.github.com is 140.82.113.25</div>
<div style="font-size: 12pt;"> </div>
<div style="font-size: 12pt;">Am I right, that in the second column, is just a sequence number?</div>
<div style="font-size: 12pt;">Then, the first block would be easy to understand and I could use the timedifference (the</div>
<div style="font-size: 12pt;">time, were the loglines arrive in my warapper).</div>
<div style="font-size: 12pt;">The second block looks like dnsmasq is sending four responses, because of</div>
<div style="font-size: 12pt;">stackoverflow has four ip-addresses? Or does this mean, the query (of this second</div>
<div style="font-size: 12pt;">block) started at it's first line and was complete(!) at the sixt line and the answer to</div>
<div style="font-size: 12pt;">the client was one response packet? At least, the following "sequence" number then</div>
<div style="font-size: 12pt;">is logically different.</div>
<div style="font-size: 12pt;">The same pattern then is visible in the third block.</div>
<div style="font-size: 12pt;"> </div>
<div style="font-size: 12pt;">Some comments would help me!</div>
<div style="font-size: 12pt;"> </div>
<div style="font-size: 12pt;">Thanks so far,</div>
<div style="font-size: 12pt;">Manfred</div>
<div style="font-size: 12pt;"> </div>
<div style="font-size: 12pt;"> </div>