Amazon Route 53 のクエリをログに記録する方法を教えてください。

所要時間1分
0

Amazon Route 53 でサポートされているログオプションと、さまざまな DNS クエリをログに記録する方法を教えてください。

簡単な説明

Amazon Route 53 をドメインの DNS ホスティングサービスとして設定すると、パブリック DNS クエリをすべてログに記録できます。

デフォルトでは、Amazon Virtual Private Cloud (Amazon VPC) は Amazon Route 53 Resolverを使用して VPC リソースから発信される DNS クエリを解決します。Route 53 リゾルバーは、リゾルバークエリロギングを使用してすべての DNS クエリをログに記録します。

解決方法

パブリック DNS クエリロギング

各パブリックホストゾーンで Route 53パブリッククエリロギングを有効にする必要があります。Amazon Route 53 はログを Amazon CloudWatch ログに公開します。パブリッククエリロギングは、すべての DNS クエリについて次の情報を記録します:

  • ログフォーマットバージョン
  • クエリタイムスタンプ
  • ホストゾーン ID
  • クエリ名
  • クエリタイプ
  • DNS レスポンスコード
  • レイヤ 4 プロトコル
  • Route53 エッジロケーション
  • リゾルバー IP アドレス
  • EDNS クライアントサブネット

パブリック DNS クエリロギングを有効にする

DNS をホストする AWS アカウントでパブリック DNS クエリロギングを有効にする必要があります。詳細については、「DNS クエリのロギングの設定」を参照してください。

リゾルバークエリロギング

Route 53 リゾルバーのクエリロギングは、リゾルバーが処理するすべての DNS クエリを記録します。これらのクエリログは、次の DNS クエリのトラブルシューティングに役立ちます。

  • VPC から生成される DNS クエリ
  • インバウンドとアウトバウンドのリゾルバーエンドポイントが処理するDNSクエリ
  • Route 53 Resolver DNS ファイアウォールアクション

CloudWatch ログ、Amazon Simple Strage Service (Amazon S3) バケット、または Amazon Kinesis Data Firehose をログの宛先として使用できます。

リゾルバークエリログは、すべての DNS クエリについて次の詳細を収集します。

  • クエリログバージョン

  • アカウント ID

  • リージョン

  • VPC(Virtual Private Cloud ) ID

  • クエリタイムスタンプ

  • クエリ名

  • クエリタイプ

  • クエリクラス

  • レスポンスコード

  • 回答タイプ

  • RDATA

  • 回答クラス

  • 送信元アドレス

  • トランスポート層プロトコル

  • ソース ID

  • インスタンス ID

  • リゾルバーエンドポイント

  • ファイアウォールルールグループ ID

  • ファイアウォールルールアクション

  • ファイアウォールドメインリスト ID

リゾルバークエリロギングを有効にする

リゾルバークエリロギングを有効にする方法については、「リゾルバークエリロギング設定の管理」を参照してください。

関連情報

Amazon route 53 のモニタリング

AWS公式
AWS公式更新しました 2年前