Amazon Route 53 でサポートされているログオプションと、さまざまな DNS クエリをログに記録する方法を教えてください。
簡単な説明
Amazon Route 53 をドメインの DNS ホスティングサービスとして設定すると、パブリック DNS クエリをすべてログに記録できます。
デフォルトでは、Amazon Virtual Private Cloud (Amazon VPC) は Amazon Route 53 Resolverを使用して VPC リソースから発信される DNS クエリを解決します。Route 53 リゾルバーは、リゾルバークエリロギングを使用してすべての DNS クエリをログに記録します。
解決方法
パブリック DNS クエリロギング
各パブリックホストゾーンで Route 53パブリッククエリロギングを有効にする必要があります。Amazon Route 53 はログを Amazon CloudWatch ログに公開します。パブリッククエリロギングは、すべての DNS クエリについて次の情報を記録します:
- ログフォーマットバージョン
- クエリタイムスタンプ
- ホストゾーン ID
- クエリ名
- クエリタイプ
- DNS レスポンスコード
- レイヤ 4 プロトコル
- Route53 エッジロケーション
- リゾルバー IP アドレス
- EDNS クライアントサブネット
パブリック DNS クエリロギングを有効にする
DNS をホストする AWS アカウントでパブリック DNS クエリロギングを有効にする必要があります。詳細については、「DNS クエリのロギングの設定」を参照してください。
リゾルバークエリロギング
Route 53 リゾルバーのクエリロギングは、リゾルバーが処理するすべての DNS クエリを記録します。これらのクエリログは、次の DNS クエリのトラブルシューティングに役立ちます。
- VPC から生成される DNS クエリ
- インバウンドとアウトバウンドのリゾルバーエンドポイントが処理するDNSクエリ
- Route 53 Resolver DNS ファイアウォールアクション
CloudWatch ログ、Amazon Simple Strage Service (Amazon S3) バケット、または Amazon Kinesis Data Firehose をログの宛先として使用できます。
リゾルバークエリログは、すべての DNS クエリについて次の詳細を収集します。
リゾルバークエリロギングを有効にする
リゾルバークエリロギングを有効にする方法については、「リゾルバークエリロギング設定の管理」を参照してください。
関連情報
Amazon route 53 のモニタリング