공용 DNS 쿼리 로깅 - 아마존 루트 53

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

공용 DNS 쿼리 로깅

다음을 구성할 수 있습니다. Amazon Route 53 공용 DNS 쿼리에 대한 정보를 기록하여 Route 53 다음과 같이 수신합니다.

  • 요청된 도메인 또는 하위 도메인

  • 요청 날짜 및 시간

  • DNS 레코드 유형(예: A 또는 AAAA)

  • Route 53 DNS 쿼리에 응답한 에지 위치

  • DNS 응답 코드(예: NoError 또는 ServFail

쿼리 로깅을 구성할 때 Route 53 로그 보내기 시작 CloudWatch Logs. 사용 방법 CloudWatch Logs 도구를 사용하여 쿼리 로그에 액세스합니다.

참고

쿼리 로깅은 공용 호스트 영역 에 대해서만 사용할 수 있습니다.

쿼리 로그에는 DNS 리졸버가 전달하는 쿼리만 포함됩니다. Route 53. DNS 리졸버가 이미 응답을 캐시한 경우 쿼리(예:.com과 같은 로드 밸런서의 IP 주소)에 대해 리졸버는 캐시된 응답을 계속 반환합니다. 쿼리를 전달하지 않고 Route 53 해당 기록에 대한 TTL이 에 만료될 때까지

도메인 이름(example.com) 또는 하위 도메인 이름(www.example.com)(리졸버)에 대해 제출된 DNS 쿼리의 수에 따라 다름 사용자가 사용 중인 쿼리 로그에는 수천 개 중 하나의 쿼리에 대한 정보가 포함될 수 있습니다. DNS 확인자 에 제출된 쿼리입니다. DNS 작동 방법에 대한 자세한 내용은 를 참조하십시오. How internet traffic is routed to your website or web application.

자세한 로깅 정보가 필요하지 않은 경우 Amazon CloudWatch 메트릭을 사용하여 Route 53 가 호스트 영역 에 대해 에 응답합니다. 자세한 내용은 을 참조하십시오. 퍼블릭 호스팅 영역에서 DNS 쿼리 지표 보기.

DNS 쿼리에 대한 로깅 구성

지정된 호스트 영역에 대한 DNS 쿼리 로깅을 시작하려면 Amazon Route 53 콘솔:

  • 선택 CloudWatch Logs 원하는 로그 그룹 Route 53 새 로그 그룹에 로그를 게시하거나 생성하는 방법

    참고

    로그 그룹은 미국 동부(버지니아 북부) 지역.

  • 기존 CloudWatch Logs 리소스 정책을 만들거나 새 정책을 만듭니다. Route 53 에 로그를 게시하려면 권한이 필요합니다. 로그 그룹 및 리소스 정책에서 필요한 권한을 부여합니다.

  • 쿼리 로깅 구성 을 작성합니다.

참고

사용자가 도메인에 대한 DNS 쿼리를 제출하는 경우 로그에 쿼리가 표시되기 시작해야 합니다. 쿼리 로깅 구성을 생성한 후 몇 분 내에

DNS 쿼리에 대한 로깅을 구성하려면

  1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/route53/에서 Route 53 콘솔을 엽니다.

  2. 탐색 창에서 다음을 선택합니다. 호스팅된 영역.

  3. 에 대해 로깅을 구성하려는 호스트 영역의 라디오 단추(이름 아님)를 선택합니다.

  4. 에서 호스팅된 구역 세부 정보 창, 선택 쿼리 로깅 구성.

  5. 원하는 선택 Route 53 기존 시스템에 로그를 CloudWatch Logs 새 로그 그룹에 대한 로그 그룹 또는.

  6. 새 로그 그룹의 이름을 입력하거나 목록에서 기존 로그 그룹을 선택합니다.

    중요

    여러 호스트 영역에 대해 로깅을 구성하려면 에 대해 정합성 보장 접두사를 사용하는 것이 좋습니다. 모든 로그 그룹, 예:

    /aws/route53/hosted-zone-name

    마법사의 다음 페이지에서 CloudWatch Logs 리소스 정책을 사용하여 Route 53 로그를 게시하려면 로그 그룹 로 이동합니다. 각 리소스 정책에 대해 에 적용되는 로그 그룹을 지정해야 합니다. 최대 AWS 계정에 대해 만들 수 있는 리소스 정책의 수(현재 10개). 정합성 보장 접두사를 사용하는 경우 로그 그룹의 이름을 보려면 모든 로그 그룹에 하나의 리소스 정책을 Route 53 호스트 영역. 예를 들어, 로그 그룹 이름이 모두 /aws/route53/에 적용되는 리소스 정책을 만들 수 있습니다. /aws/route53/*. 그런 다음 모든 호스팅된 영역의 로그 그룹에 대한 리소스 정책을 사용할 수 있습니다.

  7. 선택 다음.

  8. 기존 CloudWatch Logs 리소스 정책을 만들거나 새 정책을 만듭니다.

    참고

    Route 53 기존 리소스 정책에서 사용 권한을 사용할 수 있습니다. 기존 리소스 정책을 사용하도록 선택하면 특정 리소스 정책을 선택할 필요가 없습니다.

  9. 기존 리소스 정책을 사용하도록 선택한 경우 다음 단계를 수행합니다. 새 리소스 정책을 생성하도록 선택한 경우 10단계로 건너뜁니다.

    1. 선택 테스트 기존 리소스 정책에 따라 Route 53 는 이전 페이지에서 선택하거나 만든 로그 그룹에 로그를 게시해야 합니다.

    2. 테스트에 실패하면 다음 중 하나를 수행합니다.

      • 새 리소스 정책을 생성하는 옵션을 선택하고 10단계로 건너뜁니다.

      • 선택 편집 기존 리소스 정책 중 하나에 대해 리소스 정책이 적용되는 그룹 로그. 로그 그룹의 이름을 지정합니다. (예: /aws/경로53/예제.com또는 현재 로그 그룹을 포함하는 값 (예: /aws/경로53/*). 값은 다음 중 하나로 끝나야 합니다. :* 또는 *.

        리소스 정책에 대한 설정을 보려면 리소스 정책 이름 왼쪽의 화살표를 선택합니다.

    3. 편집 계속 리소스 정책이 적용되는 그룹 로그 다시 테스트하고 테스트 통과.

    4. 11단계로 건너뜁니다.

  10. 리소스 정책을 생성하도록 선택한 경우 다음 단계를 수행합니다.

    1. 대상 리소스 정책 이름리소스 정책의 이름을 입력합니다.

    2. 대상 리소스 정책이 적용되는 그룹 로그로그 그룹을 포함하는 값을 입력합니다. 이전 페이지에서 선택하거나 만든 항목. 해당 로그 그룹의 이름은 현재 페이지 상단에 있습니다.

      값은 다음 중 하나로 끝나야 합니다. :* 또는 *.

    3. 선택 정책 생성 및 권한 테스트 새 리소스 정책을 기존 리소스 정책 중 어느 것이든 Route 53 로그 그룹에 로그를 게시해야 함 이전 페이지에서 선택하거나 만든 항목.

    4. 테스트에 실패하면 편집 기존 리소스 정책 중 하나에 대해 리소스 정책이 적용되는 그룹 로그. 로그 그룹의 이름을 지정합니다. (예: /aws/경로53/예제.com또는 현재 로그 그룹을 포함하는 값 (예: /aws/경로53/*). 값은 다음 중 하나로 끝나야 합니다. :* 또는 *.

      리소스 정책에 대한 설정을 보려면 리소스 정책 이름 왼쪽의 화살표를 선택합니다.

    5. 편집 계속 리소스 정책이 적용되는 그룹 로그 다시 테스트하고 테스트 통과.

    6. 11단계를 계속합니다.

  11. 선택 쿼리 로깅 구성 생성.

사용 Amazon CloudWatch DNS 쿼리 로그에 액세스하려면

Amazon Route 53 쿼리 로그를 다음으로 직접 전송 CloudWatch Logs 로그는 다음을 통해 액세스할 수 없습니다. Route 53. 대신 CloudWatch Logs ~까지 거의 실시간으로 로그를 보고, 데이터를 검색 및 필터링하고, 로그를 Amazon S3.

Route 53 하나 만들기 CloudWatch Logs 각 로그 스트림에 대한 Route 53 DNS 쿼리에 응답하는 에지 위치 쿼리 로그를 해당 로그 스트림으로 보냅니다. 각 로그 스트림의 이름 형식은 다음과 같습니다.hosted-zone-id/edge-location-ID예를 들어, Z1D633PJN98FT9/DFW3.

각 가장자리 위치는 3자리 코드와 임의로 할당된 번호(예: DFW3)로 식별됩니다. 3자리 코드는 일반적으로 국제항공운송협회 공항 코드와 일치하며 공항 가장자리 위치 근처. (이러한 약어는 향후 변경될 수 있습니다.) 가장자리 위치 목록은 를 참조하십시오. " Route 53 글로벌 네트워크" Route 53 제품 세부 정보 페이지를 참조하십시오.

자세한 내용은 해당 설명서를 참조하십시오.

로그의 보존 기간 변경 및 로그 내보내기 Amazon S3

기본적으로 CloudWatch Logs 쿼리 로그를 무기한 저장합니다. 보존 기간을 선택적으로 지정하여 CloudWatch Logs 삭제 보존 기간보다 오래된 로그입니다. 자세한 내용은 을 참조하십시오. 에서 로그 데이터 보존 변경 CloudWatch Logs 에서 Amazon CloudWatch 사용 설명서.

로그 데이터를 보존하고 싶지만 CloudWatch Logs 도구를 사용하여 데이터를 보고 분석할 수 있습니다. 로그를 Amazon S3, 스토리지 비용을 줄일 수 있습니다. 자세한 내용은 을 참조하십시오. 로그 데이터 내보내기 Amazon S3.

가격 책정에 대한 자세한 내용은 해당 가격 페이지를 참조하십시오.

참고

구성 시 Route 53 DNS 쿼리를 기록하기 위해 Route 53 요금.

쿼리 로깅 중지

원하는 경우 Amazon Route 53 쿼리 로그 보내기를 중지하려면 CloudWatch Logs쿼리 로깅 구성을 삭제하려면 다음 절차를 수행하십시오.

쿼리 로깅 구성을 삭제하려면

  1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/route53/에서 Route 53 콘솔을 엽니다.

  2. 탐색 창에서 다음을 선택합니다. 호스팅된 영역.

  3. 에 대한 쿼리 로깅 구성을 삭제할 호스트 영역의 라디오 단추(이름 아님)를 선택합니다.

  4. 에서 호스팅된 구역 세부 정보 창, 아래 쿼리 로깅, 선택 삭제.

  5. 선택 삭제 을 클릭하여 확인합니다.

DNS 쿼리 로그에 표시되는 값

각 로그 파일에는 Amazon Route 53 해당 에지 위치의 DNS 리졸버에서 수신되었습니다. 각 로그 항목에는 다음 값이 포함됩니다.

로그 형식 버전

이 쿼리 로그의 버전 번호. 로그에 필드를 추가하거나 기존 필드의 형식을 변경하는 경우, 이 값을 증가시킵니다.

쿼리 타임스탬프

다음과 같은 날짜 및 시간 Route 53 ISO 8601 형식 및 협정 세계시(UTC) 형식으로 요청에 응답, 예를 들어, 2017-03-16T19:20:25.177Z.

ISO 8601 형식에 대한 자세한 내용은 Wikipedia 문서를 참조하십시오. ISO 8601(미국약전). UTC에 대한 자세한 내용은 위키피디아 기사를 참조하십시오. 협정 세계시.

호스팅된 영역 ID

이 로그의 모든 DNS 쿼리와 연결된 호스트 영역의 ID입니다.

쿼리 이름

요청에 지정된 도메인 또는 하위 도메인입니다.

쿼리 유형

요청에 지정된 DNS 레코드 유형 또는 ANY. 에 대한 자세한 내용은 유형 Route 53 지원, 참조 지원되는 DNS 레코드 유형.

응답 코드

DNS 응답 코드는 Route 53 DNS 쿼리에 응답하여 반환되었습니다.

계층 4 프로토콜

쿼리를 제출하는 데 사용된 프로토콜, TCP 또는 UDP.

Route 53 가장자리 위치

더 Route 53 쿼리 에 응답한 가장자리 위치입니다. 각 가장자리 위치는 3자리 코드로 식별됩니다. 임의의 번호(예: DFW3)가 표시됩니다. 3자리 코드는 일반적으로 국제 항공 운송에 해당합니다. 가장자리 위치 근처의 공항에 대한 연계 공항 코드. (이러한 약어는 향후 변경될 수 있습니다.)

가장자리 위치 목록을 보려면 Route 53 글로벌 네트워크" Route 53 제품 세부 정보 페이지를 참조하십시오.

리졸버 IP 주소

요청을 제출한 DNS 확인자의 IP 주소 Route 53.

EDNS 클라이언트 서브넷

요청이 시작된 클라이언트의 부분 IP 주소(DNS 리졸버에서 사용 가능한 경우)

자세한 내용은 IETF 초안을 참조하십시오. DNS 요청의 클라이언트 서브넷.

쿼리 로그 예

다음은 쿼리 로그의 예입니다.

1.0 2017-12-13T08:16:02.130Z Z123412341234 example.com A NOERROR UDP FRA6 192.168.1.1 - 1.0 2017-12-13T08:15:50.235Z Z123412341234 example.com AAAA NOERROR TCP IAD12 192.168.3.1 192.168.222.0/24 1.0 2017-12-13T08:16:03.983Z Z123412341234 example.com ANY NOERROR UDP FRA6 2001:db8::1234 2001:db8:abcd::/48 1.0 2017-12-13T08:15:50.342Z Z123412341234 bad.example.com A NXDOMAIN UDP IAD12 192.168.3.1 192.168.111.0/24 1.0 2017-12-13T08:16:05.744Z Z123412341234 txt.example.com TXT NOERROR UDP JFK5 192.168.1.2 -