パブリック DNS クエリのログ記録 - Amazon Route 53
DNS クエリのログ記録の設定Amazon CloudWatch を使用して DNS クエリログにアクセスするログの保持期間の変更と Amazon S3 へのログのエクスポートクエリログ記録の停止DNS クエリログに表示される値クエリログの例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

パブリック DNS クエリのログ記録

Route 53 が受信するパブリック DNS クエリに関する次のような情報をログ記録するように、Amazon Route 53 を設定できます。

  • リクエストされたドメインまたはサブドメイン

  • リクエストの日付と時刻

  • DNS レコードタイプ (A や AAAA など)

  • DNS クエリに応答した Route 53 エッジロケーション

  • DNS レスポンスコード (NoErrorServFail など)

クエリログ記録を設定すると、Route 53 はログを CloudWatch Logs に送信します。 CloudWatch Logs ツールを使用してクエリログにアクセスします。

クエリログには、DNS リゾルバーが Route 53 に転送したクエリのみが含まれます。DNS リゾルバーが既にクエリ (example.com のロードバランサーの IP アドレスなど) への応答をキャッシュしている場合、リゾルバーは Route 53 へのクエリの転送は行わず、対応するレコードの TTL の有効期限が切れるまで、キャッシュされた応答を返信し続けます。

ドメイン名 (example.com) またはサブドメイン名 (www.example.com) に送信された DNS クエリ数、ユーザーが使用しているリゾルバー、およびレコードの TTL によって、クエリログに含まれる情報は DNS リゾルバーに送信された数千件の各クエリのうち 1 つのクエリのみに関するものである場合があります。DNS の仕組みについては、「ウェブサイトやウェブアプリケーションへのインターネットトラフィックのルーティング」を参照してください。

詳細なログ情報が必要ない場合は、Amazon CloudWatch メトリクスを使用して、Route 53 がホストゾーンに対して応答する DNS クエリの合計数を確認できます。詳細については、「パブリックホストゾーンの DNS クエリメトリクスの表示」を参照してください

DNS クエリのログ記録の設定

特定のホストゾーンでの DNS クエリのログ記録を開始するには、Amazon Route 53 コンソールで以下のタスクを実行します。

  • Route 53 が CloudWatch ログを発行するロググループを選択するか、新しいロググループを作成します。

    注記

    ロググループは、米国東部 (バージニア北部) リージョンに置かれる必要があります。

  • [Create (作成) ] を選択して終了します。

注記

ユーザーがドメイン宛ての DNS クエリを送信すると、クエリログ記録の設定を作成してから数分以内にログ内にクエリが表示されるはずです。

DNS クエリのログ記録を設定するには

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/route53/ で Route 53 コンソールを開きます。

  2. ナビゲーションペインで [Hosted zones] を選択します。

  3. クエリのログ記録を設定するホストゾーンを選択します。

  4. [Hosted zone details] ペインで、[クエリログ記録の設定] を選択します。

  5. 既存のロググループを選択するか、もしくは新しいロググループを作成します。

  6. 許可に関するアラートを受け取った場合 (これは、新しいコンソールでのクエリログ記録の設定が完了していない場合に発生します)、次のいずれかの操作を行います。

    • 既に 10 個のリソースポリシーがある場合、それ以上ポリシーを作成することはできません。リソースポリシーのいずれかを選択し、[Edit (編集)] を選択します。編集することで、ロググループにログを書き込む許可が Route 53 に与えられます。[Save] を選択します。アラートが消え、次のステップに進むことが可能になります。

    • 以前にクエリログ記録を設定したことがない場合 (またはリソースポリシーをまだ 10 個作成していない場合)、Route 53 に CloudWatch ロググループにログを書き込むためのアクセス許可を付与する必要があります。[Grant permissions (アクセス許可の付与)] を選択します。アラートが消え、次のステップに進むことが可能になります。

  7. アクセス許可 - オプション を選択すると、リソースポリシーが CloudWatch ロググループと一致するかどうか、および Route 53 にログを発行するアクセス許可があるかどうかを示すテーブルが表示されます CloudWatch。

  8. [作成] を選択します。

Amazon CloudWatch を使用して DNS クエリログにアクセスする

Amazon Route 53 はクエリログを CloudWatch Logs に直接送信します。Route 53 からログにアクセスすることはできません。代わりに、 CloudWatch Logs を使用して、ほぼリアルタイムでログを表示し、データを検索してフィルタリングし、ログを Amazon S3 にエクスポートします。

Route 53 は、指定されたホストゾーンの DNS クエリに応答する Route 53 エッジロケーションごとに 1 つの CloudWatch Logs ログストリームを作成し、該当するログストリームにクエリログを送信します。各ログストリームの名前の形式は hosted-zone-id/edge-location-ID です。例えば、 ですZ1D633PJN98FT9/DFW3

各エッジロケーションは、3 文字コードと、割り当てられた任意の数字で識別されます (例: DFW3)。通常、この 3 文字コードは、エッジロケーションの近くにある空港の、国際航空運送協会の空港コードに対応します (これらの略語は今後変更される可能性があります。) エッジロケーションの一覧については、Route 53 製品の詳細ページの「Route 53 グローバルネットワーク」を参照してください。

詳細については、該当するドキュメントを参照してください。

ログの保持期間の変更と Amazon S3 へのログのエクスポート

デフォルトでは、 CloudWatch Logs はクエリログを無期限に保存します。オプションで保持期間を指定して、 CloudWatch Logs が保持期間より古いログを削除するようにできます。詳細については、「Amazon CloudWatch ユーザーガイド」の「 ログの CloudWatch ログデータ保持期間の変更」を参照してください。

ログデータを保持したいが、データを表示して分析するために CloudWatch Logs ツールが必要ない場合は、ログを Amazon S3 にエクスポートしてストレージコストを削減できます。詳細については、「Amazon S3 へのログデータのエクスポート」を参照してください。

料金表の詳細については、該当の料金表ページを参照してください。

注記

Route 53 で DNS クエリをログ記録するように設定する場合には、利用料金は発生しません。

クエリログ記録の停止

Amazon Route 53 でクエリログの CloudWatch Logs への送信を停止する場合は、以下の手順を実行してクエリログ記録設定を削除します。

クエリログ記録設定を削除するには

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/route53/ で Route 53 コンソールを開きます。

  2. ナビゲーションペインで [Hosted zones] を選択します。

  3. クエリログ記録の設定を削除するホストゾーンの名前を選択します。

  4. [Hosted zone details (ホストゾーンの詳細)] ペインで、[Delete query logging configuration (クエリログ記録の設定を削除)] を選択します。

  5. [Delete] を選択して確定します。

DNS クエリログに表示される値

各ログファイルには、対応するエッジロケーションで Amazon Route 53 が DNS リゾルバーから受信した DNS クエリごとに、それぞれ 1 つのログエントリが記述されています。各ログエントリには、以下の値が記述されています。

ログ形式バージョン

クエリログのバージョン番号。ログにフィールドを追加したり既存のフィールドの形式を変更した場合、この値を増分します。

クエリのタイムスタンプ

Route 53 がリクエストに応答した日時。ISO 8601 形式の協定世界時 (UTC) (例: 2017-03-16T19:20:25.177Z) です。

ISO 8601 形式については、Wikipedia の記事「ISO 8601」を参照してください。UTC については、Wikipedia の記事「協定世界時」を参照してください。

ホストゾーン ID

このログのすべての DNS クエリに関連付けられるホストゾーンの ID。

クエリ名

リクエストで指定されたドメインまたはサブドメイン。

クエリタイプ

リクエストで指定された DNS レコードタイプ、または ANY のいずれか。Route 53 でサポートされるタイプについては、「サポートされる DNS レコードタイプ」を参照してください。

Response Code (レスポンスコード)

DNS クエリに応答して Route 53 が返した DNS レスポンスコード。

レイヤー 4 プロトコル

クエリの送信に使用されたプロトコル (TCP または UDP)。

Route 53 エッジロケーション

クエリに応答した Route 53 エッジロケーション。各エッジロケーションは、3 文字コードと、任意の数字で識別されます (例: DFW3)。通常、この 3 文字コードは、エッジロケーションの近くにある空港の、国際航空運送協会の空港コードに対応します (これらの略語は今後変更される可能性があります。)

エッジロケーションの一覧については、Route 53 製品の詳細ページの「Amazon Route 53 のグローバルネットワーク」を参照してください。

リゾルバー IP アドレス

Route 53 にリクエストを送信した DNS リゾルバーの IP アドレス。

EDNS クライアントサブネット

リクエストを発信したクライアントの IP アドレスの一部 (DNS リゾルバーから取得できる場合)。

詳細については、IETF ドラフトの「Client Subnet in DNS Requests」を参照してください。

クエリログの例

クエリログの例を次のように表示します (リージョンはプレースホルダーです):

1.0 2017-12-13T08:16:02.130Z Z123412341234 example.com A NOERROR UDP Region 192.168.1.1 -
1.0 2017-12-13T08:15:50.235Z Z123412341234 example.com AAAA NOERROR TCP Region 192.168.3.1 192.168.222.0/24
1.0 2017-12-13T08:16:03.983Z Z123412341234 example.com ANY NOERROR UDP Region 2001:db8::1234 2001:db8:abcd::/48
1.0 2017-12-13T08:15:50.342Z Z123412341234 bad.example.com A NXDOMAIN UDP Region 192.168.3.1 192.168.111.0/24
1.0 2017-12-13T08:16:05.744Z Z123412341234 txt.example.com TXT NOERROR UDP Region 192.168.1.2 -