パブリック DNS クエリログ記録 - Amazon Route 53

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

パブリック DNS クエリログ記録

がAmazon Route 53受信するパブリック DNS クエリに関する次のような情報をログ記録Route 53するように を設定できます。

  • リクエストされたドメインまたはサブドメイン

  • リクエストの日付と時刻

  • DNS レコードタイプ (A や AAAA など)

  • DNS クエリに応答した Route 53 エッジロケーション

  • DNS レスポンスコード (NoErrorServFail など)

クエリログ記録を設定すると、 Route 53は にログを送信しますCloudWatch Logs。クエリログにアクセスするには CloudWatch Logs ツールを使用します。

注記

クエリログ記録は、プライベートホストゾーンでも使用できます。詳細については、を参照してください リゾルバーのクエリログ記録

クエリログには、DNS リゾルバーが Route 53 に転送したクエリのみが含まれます。DNS リゾルバーが既にクエリへの応答 (example.com のロードバランサーの IP アドレスなど) をキャッシュしている場合は、リゾルバーは対応するレコードの TTL の有効期限が切れるまで、クエリを Route 53 に転送しないでキャッシュされたレスポンスを返し続けます。

ドメイン名 (example.com) またはサブドメイン名 (www.example.com) に送信された DNS クエリ数、ユーザーが使用しているリゾルバー、およびレコードの TTL によって、クエリログに含まれる情報は DNS リゾルバーに送信された数千件の各クエリのうち 1 つのクエリのみに関するものである場合があります。DNS の仕組みについては、「ウェブサイトやウェブアプリケーションへのインターネットトラフィックのルーティング」を参照してください。

詳細なログ情報が必要ない場合は、Amazon CloudWatch メトリクスを使用して、ホストゾーンについて Route 53 が応答する DNS クエリの総数を確認できます。詳細については、を参照してください パブリックホストゾーンの DNS クエリメトリクスの表示

DNS クエリのログ記録の設定

指定したホストゾーンの DNS クエリのログ記録を開始するには、Amazon Route 53 コンソールで以下のタスクを実行します。

  • Route 53 がログを発行する CloudWatch Logs ロググループを選択し、新しいロググループを作成します。

    注記

    ロググループは、米国東部(バージニア北部) リージョンにある必要があります。

  • [Create ] を選択して終了します。

注記

ユーザーがドメイン宛ての DNS クエリを送信すると、クエリログ記録の設定を作成してから数分以内にログ内にクエリが表示されます。

DNS クエリのログ記録を設定するには

  1. AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/route53/ にある Route 53 コンソールを開きます。

  2. ナビゲーションペインで [Hosted zones] を選択します。

  3. クエリログ記録を設定するホストゾーンを選択します。

  4. [Hosted zone details] ペインで、[Configure query logging] を選択します。

  5. 既存のロググループを選択するか、新しいロググループを作成します。

  6. アクセス許可に関するアラートが表示された場合 (これは、新しいコンソールで以前にクエリログ記録を設定していない場合に発生します) は、次のいずれかの操作を行います。

    • 10 個のリソースポリシーがすでにある場合は、これ以上作成することはできません。任意のリソースポリシーを選択し、[Edit ( の編集)] を選択します。編集すると、ロググループにログを書き込むRoute 53アクセス権限が に付与されます。[Save] を選択します。アラートが消え、次のステップに進むことができます。

    • 以前にクエリログ記録を設定したことがない場合 (または 10 個のリソースポリシーをまだ作成していない場合は) は、Route 53ログCloudWatch Logsをグループに書き込むためのアクセス許可を に付与する必要があります。[Grant permissions ( アクセス許可の付与)] を選択します。アラートが消え、次のステップに進むことができます。

  7. [Permissions - optional ( アクセス許可 - オプション)] を選択して、リソースポリシーがCloudWatchロググループと一致するかどうか、および にログを発行するアクセス許可Route 53があるかどうかを示すテーブルを表示しますCloudWatch。

  8. [作成] を選択します。

Amazon CloudWatch を使用して DNS クエリログにアクセスする

Amazon Route 53 はクエリログを直接 CloudWatch Logs に送信します。ログは Route 53 経由ではアクセスできません。代わりに CloudWatch Logs を使用して、ほぼリアルタイムでのログの表示、データの検索とフィルタ、Amazon S3 へのログのエクスポートを行います。

Route 53 は、指定されたホストゾーンで DNS クエリに応答する Route 53 エッジロケーションごとに 1 つの CloudWatch Logs ログストリームを作成し、クエリログを該当するログストリームに送信します。各ログストリームの名前の形式は です。hosted-zone-id/edge-location-ID( など)Z1D633PJN98FT9/DFW3

各エッジロケーションは、3 文字コードと、割り当てられた任意の数字で識別されます (例: DFW3)。通常、この 3 文字コードは、エッジロケーションの近くにある空港の、国際航空運送協会の空港コードに対応します。(これらの略語は今後変更される可能性があります。) エッジロケーションの一覧については、Route 53製品の詳細Route 53ページの「 グローバルネットワーク」を参照してください。

詳細については、該当するドキュメントを参照してください。

ログの保持期間の変更および Amazon S3 へのログのエクスポート

デフォルトでは、CloudWatch Logs はクエリログを無期限に保存します。必要に応じて、CloudWatch Logs が保持期間よりも古いログを削除するように、保持期間を指定できます。詳細については、「CloudWatch Logs でのログデータ保管期間の変更」を『Amazon CloudWatch ユーザーガイド』で参照してください。

ログデータを保持するが CloudWatch Logs ツールでデータを確認したり分析する必要はない場合は、ログを Amazon S3 にエクスポートしてストレージコストを削減できます。詳細については、「Amazon S3 へのログデータのエクスポート」を参照してください。

料金表の詳細については、該当の料金表ページを参照してください。

注記

DNS クエリをログ記録するように Route 53 を設定する場合、Route 53 料金は発生しません。

クエリログ記録の停止

Amazon Route 53 でクエリログの CloudWatch Logs への送信を停止する場合は、以下の手順を実行し、クエリログ記録設定を削除します。

クエリログ記録設定を削除するには

  1. AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/route53/ にある Route 53 コンソールを開きます。

  2. ナビゲーションペインで [Hosted zones] を選択します。

  3. クエリログ記録設定を削除するホストゾーンの名前を選択します。

  4. ホストゾーンの詳細ペインで、[Delete query logging configuration (クエリログ記録設定の削除)] を選択します

  5. [Delete] を選択して確定します。

DNS クエリログに表示される値

各ログファイルには、対応するエッジロケーションで Amazon Route 53 が DNS リゾルバーから受信した DNS クエリごとに 1 つのログエントリがあります。各ログエントリには、以下の値が含まれています。

ログ形式バージョン

クエリログのバージョン番号。ログにフィールドを追加したり既存のフィールドの形式を変更した場合、この値を増分します。

クエリのタイムスタンプ

Route 53 がリクエストに応答した日時。ISO 8601 形式の協定世界時 (UTC) (例: 2017-03-16T19:20:25.177Z) です。

ISO 8601 形式については、Wikipedia の記事「ISO 8601」を参照してください。UTC については、Wikipedia の記事「協定世界時」を参照してください。

ホストゾーン ID

このログのすべての DNS クエリに関連付けられるホストゾーンの ID。

クエリ名

リクエストで指定されたドメインまたはサブドメイン。

クエリタイプ

リクエストで指定された DNS レコードタイプ、または ANY のいずれか。 がRoute 53サポートするタイプについては、「」を参照してくださいサポートされる DNS レコードタイプ

レスポンスコード

DNS クエリに応答して Route 53 が返す DNS レスポンスコード。

レイヤー 4 プロトコル

クエリの送信に使用されたプロトコル (TCP または UDP)。

Route 53 エッジロケーション

クエリに応答した Route 53 エッジロケーション。各エッジロケーションは、3 文字コードと、任意の数字で識別されます (例: DFW3)。通常、この 3 文字コードは、エッジロケーションの近くにある空港の、国際航空運送協会の空港コードに対応します。 (これらの略語は今後変更される可能性があります)。

エッジロケーションの一覧については、Route 53 製品の詳細ページの「Route 53 グローバルネットワーク」を参照してください。

リゾルバー IP アドレス

Route 53 にリクエストを送信した DNS リゾルバーの IP アドレス。

EDNS クライアントサブネット

リクエストを発信したクライアントの IP アドレスの一部 (DNS リゾルバーから取得できる場合)。

詳細については、IETF ドラフトの「Client Subnet in DNS Requests」を参照してください。

クエリログの例

クエリログの例を示します。

1.0 2017-12-13T08:16:02.130Z Z123412341234 example.com A NOERROR UDP FRA6 192.168.1.1 - 1.0 2017-12-13T08:15:50.235Z Z123412341234 example.com AAAA NOERROR TCP IAD12 192.168.3.1 192.168.222.0/24 1.0 2017-12-13T08:16:03.983Z Z123412341234 example.com ANY NOERROR UDP FRA6 2001:db8::1234 2001:db8:abcd::/48 1.0 2017-12-13T08:15:50.342Z Z123412341234 bad.example.com A NXDOMAIN UDP IAD12 192.168.3.1 192.168.111.0/24 1.0 2017-12-13T08:16:05.744Z Z123412341234 txt.example.com TXT NOERROR UDP JFK5 192.168.1.2 -