如何記錄 Amazon Route 53 的查詢?
1 分的閱讀內容
0
我想知道 Amazon Route 53 中支持哪些日誌記錄選項以及如何記錄不同的 DNS 查詢。
簡短描述
如果您將 Amazon Route 53 設定為網域的 DNS 託管服務,則可以記錄所有公開的 DNS 查詢。
根據預設, Amazon Virtual Private Cloud (Amazon VPC) 使用Amazon Route 53 Resolver 來解析源自 VPC 資源的 DNS 查詢。Route 53 Resolver 使用解析器查詢日誌記錄來記錄所有 DNS 查詢。
解決方案
公開 DNS 查詢記錄
您必須](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html)在每個公共託管區域中開啟 [Route 53 公共查詢記錄功能。Amazon Route 53 將日誌發佈到 Amazon CloudWatch Logs。公開查詢記錄會針對所有 DNS 查詢記錄下列資訊:
- 日誌格式版本
- 查詢時間戳
- 託管區域 ID
- 查詢名稱
- 查詢類型
- DNS 回應代碼
- 第 4 層通訊協定
- Route53 邊緣節點
- 解析器 IP 地址
- EDNS 用戶端子網路
開啟公開 DNS 查詢記錄
您必須在託管 DNS 的 AWS 帳戶中開啟公共 DNS 查詢記錄。如需詳細資訊,請參閱為 DNS 查詢設定記錄。
解析器查詢記錄
Route 53 Resolver 查詢記錄您的解析器處理的所有 DNS 查詢記錄。這些查詢日誌在疑難排解下列 DNS 查詢時很有用:
- 從您的 VPC 產生的 DNS 查詢
- 輸入和輸出解析器端點處理的 DNS 查詢
- Route 53 Resolver DNS 防火牆動作
您可以使用 CloudWatch 日誌、Amazon Simple Storage Service (Amazon S3) 儲存貯體或 Amazon Kinesis Data Firehose 做為您的日誌目的地。
解析程式查詢日誌會收集所有 DNS 查詢的下列詳細資料:
- 查詢日誌版本
- 帳號識別碼
- 地區
- VPC 識別碼
- 查詢時間戳
- 查詢名稱
- 查詢類型
- 查詢類別
- 回應碼
- 答案類型
- RDATA
- 答案類
- 來源地址
- 傳輸層協議
- 來源識別碼
- 執行個體識別碼
- 解析器端點
- 防火牆規則群組 ID
- 防火牆規則動作
- 防火牆網域清單 ID
開啟解析器查詢記錄
如需開啟解析器查詢記錄的相關資訊,請參閱管理解析器查詢記錄組態。
相關資訊
AWS 官方已更新 1 年前
沒有評論
相關內容
- 已提問 3 個月前
- AWS 官方已更新 1 年前
- AWS 官方已更新 1 年前
- AWS 官方已更新 1 年前
- AWS 官方已更新 10 個月前