リゾルバーのクエリログ記録 - Amazon Route 53

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

リゾルバーのクエリログ記録

次の DNS クエリをログに記録できます。

  • 指定した Amazon Virtual Private Cloud VPCsで発生するクエリと、それらの DNS クエリに対するレスポンス。

  • インバウンドリゾルバーエンドポイントを使用するオンプレミスリソースからのクエリ。

  • 再帰的な DNS 解決のためにアウトバウンドリゾルバーエンドポイントを使用するクエリ。

  • Route 53 Resolver DNS ファイアウォール ルールを使用してドメインリストをブロック、許可、または監視するクエリ。

リゾルバー クエリログには、次のような値が含まれます。

  • VPC が作成された AWS リージョン

  • クエリ元の VPC の ID

  • クエリの発生元のインスタンスの IP アドレス

  • クエリの発生元のリソースのインスタンス ID

  • クエリが最初に作成された日時

  • リクエストされた DNS 名 (prod.example.com など)

  • DNS レコードタイプ (A や AAAA など)

  • DNS レスポンスコード (NoErrorServFail など)

  • DNS クエリに応答して返される IP アドレスなどの DNS レスポンスデータ

  • DNS ファイアウォール ルールアクションに対するレスポンス

ログに記録されるすべての値の詳細なリストと例については、「」リゾルバー クエリログに表示される値を参照してください。

注記

DNS リゾルバーの場合、 が標準であるため、リゾルバーは、リゾルバーの有効期限 (TTL) によって決定される時間の長さ DNS クエリをキャッシュします。はVPCs から発生したクエリをRoute 53リゾルバーキャッシュし、可能な限りキャッシュから応答して応答を高速化します。 リゾルバー クエリログ記録では、 リゾルバー は、キャッシュから応答できるクエリではなく、一意のクエリのみを記録します。

たとえば、クエリログ記録の設定がクエリを記録している VPCs の EC2 インスタンスが、accounting.example.com のリクエストを送信するとします。 はそのクエリへのレスポンスをリゾルバーキャッシュし、クエリをログに記録します。同じインスタンスの Elastic Network Interface が、 リゾルバーのキャッシュの TTL 内で accounting.example.com のクエリを行った場合、 はキャッシュからクエリにリゾルバー応答します。2 番目のクエリは記録されません。

ログは、次のいずれかの AWS リソースに送信できます。

  • Amazon CloudWatch Logs (CloudWatch Logs) ロググループ

  • Amazon S3 (S3) バケット

  • Kinesis Data Firehose 配信ストリーム

詳細については、「 」を参照してくださいリゾルバー クエリログを送信できる AWS リソース