Je souhaite savoir quelles options de journalisation sont prises en charge dans Amazon Route 53 et comment je peux enregistrer différentes requêtes DNS.
Brève description
Si vous configurez Amazon Route 53 en tant que service d'hébergement DNS pour votre domaine, vous pouvez enregistrer toutes les requêtes DNS publiques.
Par défaut, Amazon Virtual Private Cloud (Amazon VPC) utilise Amazon Route 53 Resolver pour résoudre les requêtes DNS qui proviennent de vos ressources VPC. Route 53 Resolver utilise la journalisation des requêtes de Resolver pour enregistrer toutes les requêtes DNS.
Résolution
Journalisation des requêtes DNS publiques
Vous devez activer la journalisation des requêtes publiques de Route 53 dans chaque zone hébergée publique. Amazon Route 53 publie les journaux sur Amazon CloudWatch Logs. La journalisation des requêtes publiques enregistre les informations suivantes pour toutes les requêtes DNS :
- Version du format du journal
- Horodatage de la requête
- Identifiant de la zone hébergée
- Nom de la requête
- Type de requête
- Code de réponse DNS
- Protocole de couche 4
- Emplacement périphérique de Route 53
- Adresse IP de Resolver
- Sous-réseau du client EDNS
Activer la journalisation des requêtes DNS publiques
Vous devez activer la journalisation des requêtes DNS publiques dans le compte AWS qui héberge votre DNS. Pour plus d'informations, consultez la section Configuration de la journalisation des requêtes DNS.
Journalisation des requêtes de Resolver
La journalisation des requêtes de Route 53 Resolver enregistre toutes les requêtes DNS gérées par votre résolveur. Ces journaux de requêtes sont utiles pour résoudre les requêtes DNS suivantes :
- Requêtes DNS générées à partir de vos VPC
- Requêtes DNS traitées par les terminaux Resolver entrants et sortants
- Actions du pare-feu DNS Route 53 Resolver
Vous pouvez utiliser CloudWatch Logs, un compartiment Amazon Simple Storage Service (Amazon S3) ou Amazon Kinesis Data Firehose comme destination pour vos journaux.
Les journaux de requêtes de Resolver collectent les informations suivantes pour toutes les requêtes DNS :
- Version du journal des requêtes
- Identifiant de compte
- Région
- Identifiant VPC
- Horodatage de la requête
- Nom de la requête
- Type de requête
- Classe de requête
- Code de réponse
- Type de réponse
- RDATA
- Classe de réponses
- Adresse source
- Protocole de couche de transport
- Identifiants des sources
- Identifiant d'instance
- Point de terminaison de Resolver
- Identifiant du groupe de règles de pare-feu
- Action relative à la règle de pare-feu
- Identifiant de liste de domaines du pare-feu
Activer la journalisation des requêtes de Resolver
Pour plus d'informations sur l'activation de la journalisation des requêtes de Resolver, consultez la section Gestion des configurations de journalisation des requêtes de Resolver.
Informations connexes
Surveillance d'Amazon Route 53