翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
リゾルバーでのクエリのログ記録
次の DNS クエリをログ記録できます。
指定した Amazon Virtual Private Cloud VPC で発生するクエリ、およびこれらの DNS クエリに対する応答。
インバウンドの Resolver エンドポイントを使用する、オンプレミスのリソースからのクエリ。
再帰的な DNS 解決にアウトバウンドリゾルバーのエンドポイントを使用するクエリ。
Route 53 Resolver DNS Firewall のルールを使用して、ドメインリストをブロック、許可、またはモニタリングするクエリ。
Resolver のクエリログには、次のような値が含まれます。
-
VPC が作成された AWS リージョン
-
クエリの発信元である VPC の ID
-
クエリの発信元であるインスタンスの IP アドレス
-
クエリの発信元であるリソースのインスタンス ID
-
クエリが最初に作成された日時
-
リクエストされた DNS 名 (prod.example.com など)
-
DNS レコードタイプ (A や AAAA など)
-
DNS レスポンスコード (
NoErrorやServFailなど) -
DNS 応答データ (DNS クエリに応答して返される IP アドレスなど)
-
DNS Firewall ルールのアクションに対する応答
ログに記録されるすべての値の詳細なリストと、その例については、「Resolver クエリログに表示される値」を参照してください。
注記
DNS リゾルバーの標準と同様に、リゾルバーはリゾルバーの time-to-live (TTL) によって決定される期間、DNS クエリをキャッシュします。Route 53 Resolver は、VPC から発信されたクエリをキャッシュし、可能な限りそのキャッシュから応答することで応答速度を向上します。Resolver クエリのログ記録では、キャッシュからの応答が可能なクエリではなく、一意のクエリのみをログに記録します。
例えば、クエリのログ記録の設定が機能している VPC の 1 つにある EC2 インスタンスが、accounting.example.com に対しリクエストを送信するとします。Resolver は、そのクエリに対する応答をキャッシュし、クエリ自体をログに記録します。同じインスタンスの Elastic Network Interface が、Resolver のキャッシュの TTL 期間内で、accounting.example.com へのクエリを作成した場合、Resolver は、そのクエリに対しキャッシュから応答します。この 2 番目のクエリはログに記録されません。
ログは、次のいずれかの AWS リソースに送信できます。
-
Amazon CloudWatch Logs (CloudWatch ログ) ロググループ
-
Amazon S3 (S3) バケット
-
Firehose 配信ストリーム
詳細については、「AWS Resolver クエリログを送信できる リソース」を参照してください。
