翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
リゾルバーでのクエリのログ記録
次のDNSクエリをログに記録できます。
指定した Amazon Virtual Private Cloud を起点VPCsとするクエリと、それらのDNSクエリに対するレスポンス。
インバウンドの Resolver エンドポイントを使用する、オンプレミスのリソースからのクエリ。
再帰的DNS解決にアウトバウンド Resolver エンドポイントを使用するクエリ。
Route 53 Resolver DNS Firewall ルールを使用してドメインリストをブロック、許可、またはモニタリングするクエリ。
Resolver のクエリログには、次のような値が含まれます。
-
がVPC作成された AWS リージョン
-
VPC クエリの送信元の の ID
-
クエリの発信元であるインスタンスの IP アドレス
-
クエリの発信元であるリソースのインスタンス ID
-
クエリが最初に作成された日時
-
リクエストされたDNS名前 (prod.example.com など)
-
DNS レコードタイプ (A や などAAAA)
-
NoErrorや などのDNSレスポンスコードServFail -
DNS クエリに応答して返される IP アドレスなどのレスポンスDNSデータ
-
DNS Firewall ルールアクションへのレスポンス
ログに記録されるすべての値の詳細なリストと、その例については、「Resolver クエリログに表示される値」を参照してください。
注記
リDNSゾルバーの標準である と同様に、リゾルバーはリゾルバーの time-to-live (TTL) によって決定される期間、DNSクエリをキャッシュします。Route 53 Resolver は、 で発生したクエリをキャッシュしVPCs、可能な限りキャッシュから応答してレスポンスを高速化します。Resolver クエリのログ記録では、キャッシュからの応答が可能なクエリではなく、一意のクエリのみをログに記録します。
例えば、クエリログ記録設定がクエリをログ記録VPCsしている の 1 つにあるEC2インスタンスが、accounting.example.com のリクエストを送信するとします。Resolver は、そのクエリに対する応答をキャッシュし、クエリ自体をログに記録します。同じインスタンスの Elastic Network Interface が Resolver TTLのキャッシュの 内で accounting.example.com のクエリを実行すると、Resolver はキャッシュからクエリに応答します。この 2 番目のクエリはログに記録されません。
ログは、次のいずれかの AWS リソースに送信できます。
-
Amazon CloudWatch Logs (CloudWatch ログ) ロググループ
-
Amazon S3 (S3) バケット
-
Firehose 配信ストリーム
詳細については、「AWS Resolver クエリログを送信できる リソース」を参照してください。
