Pencatatan kueri DNS publik - Amazon Route 53
Mengonfigurasi pencatatan untuk kueri DNSMenggunakan Amazon CloudWatch untuk mengakses log kueri DNSMengubah periode retensi untuk log dan mengekspor log ke Amazon S3Menghentikan pencatatan kueriNilai-nilai yang muncul di log kueri DNSContoh log kueri

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pencatatan kueri DNS publik

Anda dapat mengonfigurasi Amazon Route 53 untuk mencatat informasi tentang kueri DNS publik yang diterima Route 53, seperti berikut:

  • Domain atau subdomain yang diminta

  • Tanggal dan waktu permintaan

  • Jenis catatan DNS (seperti A atau AAAA)

  • Lokasi edge Route 53 yang merespons kueri DNS

  • Kode respons DNS, seperti NoError atau ServFail

Setelah Anda mengonfigurasi pencatatan kueri, Route 53 akan mengirim CloudWatch log ke Log. Anda menggunakan alat CloudWatch Log untuk mengakses log kueri.

Log kueri hanya berisi kueri yang diteruskan penyelesai DNS ke Route 53. Jika pemecah masalah DNS telah meng-cache respons untuk kueri (seperti alamat IP untuk penyeimbang beban bagi example.com), pemecah masalah akan terus mengembalikan respons yang di-cache tanpa meneruskan kueri ke Route 53 hingga TTL untuk catatan yang sesuai kedaluwarsa.

Tergantung pada jumlah kueri DNS yang dikirim untuk nama domain (example.com) atau nama subdomain (www.example.com), penyelesai yang digunakan pengguna, dan TTL untuk catatan, log kueri mungkin berisi informasi tentang satu kueri saja dari beberapa ribu kueri yang dikirimkan ke penyelesai DNS. Untuk informasi selengkapnya tentang cara kerja DNS, lihat Cara lalu lintas internet dirutekan ke situs web atau aplikasi web Anda.

Jika Anda tidak memerlukan informasi pencatatan terperinci, Anda dapat menggunakan CloudWatch metrik Amazon untuk melihat jumlah total kueri DNS yang ditanggapi Route 53 untuk zona yang dihosting. Untuk informasi selengkapnya, lihat Melihat metrik kueri DNS untuk zona yang di-hosting publik.

Mengonfigurasi pencatatan untuk kueri DNS

Untuk mulai mencatat kueri DNS untuk zona yang di-hosting tertentu, lakukan tugas berikut di konsol Amazon Route 53:

  • Pilih grup CloudWatch log log yang Anda inginkan Route 53 untuk memublikasikan log, atau buat grup log baru.

    catatan

    Grup log harus berada di Wilayah US East (N. Virginia).

  • Pilih Create (Buat) untuk menyelesaikan.

catatan

Jika pengguna mengirimkan kueri DNS untuk domain Anda, Anda harus mulai melihat kueri di log dalam beberapa menit setelah Anda membuat konfigurasi pencatatan kueri.

Cara mengonfigurasi pencatatan untuk kueri DNS

  1. Masuk ke AWS Management Console dan buka konsol Route 53 di https://console.aws.amazon.com/route53/.

  2. Pada panel navigasi, pilih Zona yang di-hosting.

  3. Pilih zona yang di-hosting dengan pencatatan kueri yang ingin Anda konfigurasi.

  4. Di panel Detail zona yang di-hosting, pilih Konfigurasi pencatatan kueri.

  5. Pilih grup log yang sudah ada atau buat grup log baru.

  6. Jika Anda menerima peringatan tentang izin (ini terjadi jika Anda belum mengonfigurasi pencatatan kueri dengan konsol baru), lakukan salah satu tindakan berikut:

    • Jika sudah memiliki 10 kebijakan sumber daya, Anda tidak dapat membuatnya lagi. Pilih salah satu kebijakan sumber daya, dan pilih Edit. Pengeditan akan memberikan izin kepada Route 53 untuk menulis log ke grup log Anda. Pilih Simpan. Peringatan akan hilang dan Anda dapat melanjutkan ke langkah berikutnya.

    • Jika Anda belum pernah mengonfigurasi pencatatan kueri sebelumnya (atau jika Anda belum membuat 10 kebijakan sumber daya), Anda perlu memberikan izin ke Route 53 untuk menulis log ke grup CloudWatch Log Anda. Pilih Berikan izin. Peringatan akan hilang dan Anda dapat melanjutkan ke langkah berikutnya.

  7. Pilih Izin - opsional untuk melihat tabel yang menunjukkan apakah kebijakan sumber daya cocok dengan grup CloudWatch log, dan apakah Route 53 memiliki izin untuk memublikasikan log. CloudWatch

  8. Pilih Buat.

Menggunakan Amazon CloudWatch untuk mengakses log kueri DNS

Amazon Route 53 mengirimkan log kueri langsung ke CloudWatch Log; log tidak pernah dapat diakses melalui Route 53. Sebagai gantinya, Anda menggunakan CloudWatch Log untuk melihat log dalam waktu dekat, mencari dan memfilter data, dan mengekspor log ke Amazon S3.

Route 53 membuat satu aliran CloudWatch log Log untuk setiap lokasi tepi Route 53 yang merespons kueri DNS untuk zona host yang ditentukan dan mengirimkan log kueri ke aliran log yang berlaku. Format untuk nama setiap aliran log adalah hosted-zone-id/edge-location-ID, misalnya, Z1D633PJN98FT9/DFW3.

Setiap lokasi tepi diidentifikasi dengan kode tiga huruf dan nomor yang diberikan secara sewenang-wenang, misalnya, DFW3. Kode tiga huruf biasanya sesuai dengan kode bandara International Air Transport Association untuk bandara yang berada di dekat lokasi tepi. (Ringkasan ini mungkin berubah di masa mendatang.) Untuk daftar lokasi edge, lihat "The Route 53 Global Network" pada halaman Detail Produk Route 53.

catatan

Anda mungkin melihat beberapa awalan atau sufiks yang tidak mengikuti konvensi di atas. Mereka menyandikan atribut yang hanya untuk penggunaan internal.

Untuk informasi lebih lanjut, lihat dokumentasi yang berlaku:

Mengubah periode retensi untuk log dan mengekspor log ke Amazon S3

Secara default, CloudWatch Log menyimpan log kueri tanpa batas waktu. Anda dapat menentukan periode retensi secara opsional sehingga CloudWatch Log menghapus log yang lebih lama dari periode penyimpanan. Untuk informasi selengkapnya, lihat Mengubah penyimpanan data CloudWatch log di Log di Panduan CloudWatch Pengguna Amazon.

Jika Anda ingin menyimpan data log tetapi Anda tidak memerlukan alat CloudWatch Log untuk melihat dan menganalisis data, Anda dapat mengekspor log ke Amazon S3, yang dapat mengurangi biaya penyimpanan Anda. Untuk informasi lebih lanjut, lihat Mengekspor data log ke Amazon S3.

Untuk informasi tentang harga, lihat halaman harga yang berlaku:

catatan

Saat mengonfigurasi Route 53 untuk mencatat kueri DNS, Anda tidak dikenakan biaya Route 53.

Menghentikan pencatatan kueri

Jika Anda ingin Amazon Route 53 berhenti mengirim log kueri ke CloudWatch Log, lakukan prosedur berikut untuk menghapus konfigurasi pencatatan kueri.

Cara menghapus konfigurasi pencatatan kueri

  1. Masuk ke AWS Management Console dan buka konsol Route 53 di https://console.aws.amazon.com/route53/.

  2. Pada panel navigasi, pilih Zona yang di-hosting.

  3. Pilih nama untuk zona yang di-hosting dengan konfigurasi pencatatan kueri yang ingin Anda hapus.

  4. Di panel Detail zona yang di-hosting, pilih Hapus konfigurasi pencatatan kueri.

  5. Pilih Hapus untuk mengonfirmasi.

Nilai-nilai yang muncul di log kueri DNS

Setiap file log berisi satu entri log untuk setiap kueri DNS yang diterima Amazon Route 53 dari penyelesai DNS di lokasi edge yang sesuai. Setiap entri log mencakup nilai-nilai berikut:

Versi format log

Nomor versi log kueri ini. Jika kita menambahkan bidang ke log atau mengubah format bidang yang ada, kita akan menambahkan nilai ini.

Timestamp kueri

Tanggal dan waktu Route 53 merespons permintaan, dalam format ISO 8601 dan Coordinated Universal Time (UTC), misalnya, 2017-03-16T19:20:25.177Z.

Untuk informasi tentang format ISO 8601, lihat artikel Wikipedia ISO 8601. Untuk informasi tentang UTC, lihat artikel Wikipedia Coordinated Universal Time.

ID zona yang di-hosting

ID zona yang di-hosting yang terkait dengan semua kueri DNS dalam log ini.

Nama kueri

Domain atau subdomain yang ditentukan dalam permintaan.

Jenis kueri

Jenis catatan DNS yang ditentukan dalam permintaan, atau ANY. Untuk informasi tentang jenis yang didukung Route 53, lihat Tipe data DNS yang didukung.

Kode respons

Kode respons DNS yang Route 53 dikembalikan dalam menanggapi kueri DNS.

Protokol Layer 4

Protokol yang digunakan untuk mengirimkan kueri, baik TCP atau UDP.

Lokasi edge Route 53

Lokasi edge Route 53 yang merespons kueri. Setiap lokasi tepi diidentifikasi dengan kode tiga huruf dan nomor arbitrer, misalnya, DFW3. Kode tiga huruf biasanya sesuai dengan kode bandara International Air Transport Association untuk bandara yang berada di dekat lokasi tepi. (Ringkasan ini mungkin berubah di masa mendatang.)

Untuk daftar lokasi edge, lihat "The Route 53 Global Network" pada halaman Detail Produk Route 53.

Alamat IP penyelesai

Alamat IP penyelesai DNS yang mengirimkan permintaan ke Route 53.

Subnet klien EDNS

Alamat IP parsial untuk klien tempat permintaan berasal, jika tersedia dari penyelesai DNS.

Untuk informasi lebih lanjut, lihat draf IETF Subnet Klien dalam Permintaan DNS.

Contoh log kueri

Berikut contoh log kueri (Region adalah placeholder):

1.0 2017-12-13T08:16:02.130Z Z123412341234 example.com A NOERROR UDP Region 192.168.1.1 -
1.0 2017-12-13T08:15:50.235Z Z123412341234 example.com AAAA NOERROR TCP Region 192.168.3.1 192.168.222.0/24
1.0 2017-12-13T08:16:03.983Z Z123412341234 example.com ANY NOERROR UDP Region 2001:db8::1234 2001:db8:abcd::/48
1.0 2017-12-13T08:15:50.342Z Z123412341234 bad.example.com A NXDOMAIN UDP Region 192.168.3.1 192.168.111.0/24
1.0 2017-12-13T08:16:05.744Z Z123412341234 txt.example.com TXT NOERROR UDP Region 192.168.1.2 -