本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
為 DNS 防火墻設定日誌記錄
您可以使用 Amazon CloudWatch 指標和解析器查詢日誌來評估 DNS 防火牆規則。日誌會提供所有警示和封鎖動作的網域清單名稱。如需 Amazon 的詳細資訊 CloudWatch,請參閱使用 Amazon 監控 Route 53 解析器 DNS 防火牆規則群組 CloudWatch。
當您啟用 DNS 防火牆,將其與 VPC 建立關聯,並且已啟用記錄功能時,firewall_rule_group_id、firewall_rule_action 和 firewall_domain_list_id 是就是日誌中提供的 DNS 防火牆特定欄位。
注意
只有遭到 DNS 防火牆規則封鎖的查詢,查詢日誌才會顯示額外的 DNS 防火牆欄位。
若要開始記錄源自 VPC 的 DNS 防火牆規則篩選的 DNS 查詢,請在 Amazon Route 53 主控台中執行下列任務:
設定 DNS 防火牆的 Resolver 查詢日誌記錄
登入 AWS Management Console 並開啟路線 53 主控台,網址為 https://console.aws.amazon.com/route53/
。 -
展開 Route 53 主控台選單。在主控台的左上角,選擇三個水平橫條 (
) 圖示。 -
在 Resolver 選單中,選擇 Query logging (查詢日誌記錄)。
-
在「地區」選取器中,選擇您要建立查詢記錄組態的「 AWS 區域」。
此區域必須等同於您在其中建立與 DNS 防火牆相關聯且想要記錄查詢的 VPC 的區域。如果您在多個區域擁有 VPC,務必為每個區域至少建立一項查詢日誌記錄組態。
-
選擇 Configure query logging (設定查詢日誌記錄)。
-
指定下列值:
- 查詢日誌記錄組態
-
輸入查詢日誌記錄組態的名稱。名稱會顯示在主控台中的查詢日誌記錄組態清單。輸入稍後可以協助您尋找此組態的名稱。
- 查詢日誌目的地
-
選擇您希望解析器發送查詢日誌的 AWS 資源類型。如需如何在選項 (CloudWatch 日誌記錄群組、S3 儲存貯體和 Firehose 交付串流) 中進行選擇的相關資訊,請參閱AWS 您可以將解析器查詢日誌發送到的資源。
選擇資源類型之後,您可以建立該類型的其他資源,或選擇目前 AWS 帳號所建立的現有資源。
注意
您只能選擇在步驟 4 中選取的 AWS 區域中建立的資源,即您要建立查詢日誌記錄組態的區域。如果您選擇建立新資源,則會在相同的區域中建立該資源。
- 要記錄查詢的 VPC
-
此查詢日誌記錄組態會記錄源自所選擇之 VPC 的 DNS 查詢。核取您要 Resolver 記錄查詢的目前區域中每個 VPC 的核取方塊,然後選擇 選擇。
注意
針對特定目的地類型,只能啟用一次 VPC 日誌交付。日誌無法交付至相同類型的多個目的地。例如,VPC 日誌無法交付至兩個 Amazon S3 目的地。
-
選擇 Configure query logging (設定查詢日誌記錄)。
注意
您應該會在成功建立查詢日誌記錄組態後幾分鐘內開始看到由 VPC 資源進行的 DNS 查詢。
