簡単な説明

Amazon Route 53 をドメインの DNS ホスティングサービスとして設定すると、パブリック DNS クエリをすべてログに記録できます。

デフォルトでは、Amazon Virtual Private Cloud (Amazon VPC) は Amazon Route 53 Resolverを使用して VPC リソースから発信される DNS クエリを解決します。Route 53 リゾルバーは、リゾルバークエリロギングを使用してすべての DNS クエリをログに記録します。

解決方法

パブリック DNS クエリロギング

各パブリックホストゾーンで Route 53パブリッククエリロギングを有効にする必要があります。Amazon Route 53 はログを Amazon CloudWatch ログに公開します。パブリッククエリロギングは、すべての DNS クエリについて次の情報を記録します：

• ログフォーマットバージョン
• クエリタイムスタンプ
• ホストゾーン ID
• クエリ名
• クエリタイプ
• DNS レスポンスコード
• レイヤ 4 プロトコル
• Route53 エッジロケーション
• リゾルバー IP アドレス
• EDNS クライアントサブネット

パブリック DNS クエリロギングを有効にする

DNS をホストする AWS アカウントでパブリック DNS クエリロギングを有効にする必要があります。詳細については、「DNS クエリのロギングの設定」を参照してください。

リゾルバークエリロギング

Route 53 リゾルバーのクエリロギングは、リゾルバーが処理するすべての DNS クエリを記録します。これらのクエリログは、次の DNS クエリのトラブルシューティングに役立ちます。

• VPC から生成される DNS クエリ
• インバウンドとアウトバウンドのリゾルバーエンドポイントが処理するDNSクエリ
• Route 53 Resolver DNS ファイアウォールアクション

CloudWatch ログ、Amazon Simple Strage Service (Amazon S3) バケット、または Amazon Kinesis Data Firehose をログの宛先として使用できます。

リゾルバークエリログは、すべての DNS クエリについて次の詳細を収集します。

• クエリログバージョン

• アカウント ID

• リージョン

• VPC（Virtual Private Cloud ） ID

• クエリタイムスタンプ

• クエリ名

• クエリタイプ

• クエリクラス

• レスポンスコード

• 回答タイプ

• RDATA

• 回答クラス

• 送信元アドレス

• トランスポート層プロトコル

• ソース ID

• インスタンス ID

• リゾルバーエンドポイント

• ファイアウォールルールグループ ID

• ファイアウォールルールアクション

• ファイアウォールドメインリスト ID

リゾルバークエリロギングを有効にする

リゾルバークエリロギングを有効にする方法については、「リゾルバークエリロギング設定の管理」を参照してください。

関連情報

Amazon route 53 のモニタリング