公有 DNS 查询日志记录 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

公有 DNS 查询日志记录

您可以配置 Amazon Route 53 以记录有关 Route 53 接收公有 DNS 查询的信息,如下所示:

  • 已请求的域或子域

  • 请求的日期和时间

  • DNS 记录类型(例如 A 或 AAAA)

  • 对 DNS 查询做出响应的 Route 53 边缘站点

  • DNS 响应代码,例如 NoErrorServFail

配置查询日志记录后,Route 53 会将日志发送到 CloudWatch 日志。您可以使用 CloudWatch 日志工具访问查询日志。

查询日志仅包含 DNS 解析程序转发到 Route 53 的查询。如果 DNS 解析程序已缓存对查询 (如 example.com 的负载均衡器的 IP 地址) 的响应,则解析程序将继续返回缓存的响应而不将查询转发到 Route 53,直到相应记录的 TTL 到期为止。

根据为域名 (example.com) 或子域名称 (www.example.com) 提交的 DNS 查询的数量、用户正在使用的解析程序以及记录的 TTL,查询日志可能只包含提交到 DNS 解析程序的数千个查询中的一个查询的信息。有关 DNS 的工作方式的更多信息,请参阅如何将 Internet 流量路由到您的网站或 Web 应用程序

如果您不需要详细的日志信息,则可以使用 Amazon CloudWatch 指标来查看 Route 53 响应的托管区域的 DNS 查询总数。有关更多信息,请参阅查看公有托管区域的 DNS 查询指标

为 DNS 查询配置日志记录

要开始记录指定托管区域的 DNS 查询,您需要在 Amazon Route 53 控制台中执行以下任务:

  • 选择您希望 Route 53 向其发布日志的日志组,或者创建一个新的日志组。 CloudWatch

    注意

    日志组必须位于美国东部(弗吉尼亚北部)区域。

  • 选择 Create 以完成。

注意

如果用户正在提交对您的域的 DNS 查询,则您会在创建查询日志配置后几分钟内开始看到日志中的查询。

为 DNS 查询配置日志记录
  1. 登录 Amazon Web Services Management Console 并打开 Route 53 控制台,网址为 https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择 Hosted zones(托管区域)

  3. 选择要为其配置查询日志记录的托管区域。

  4. Hosted zone details 窗格中,选择 Configure query logging

  5. 选择现有日志组或创建新的日志组。

  6. 如果您收到有关权限的提示(如果您之前未使用新控制台配置查询日志记录,则会发生这种情况),请执行以下操作之一:

    • 如果您已经有 10 个资源策略,则无法再创建新策略。选择任何资源策略,然后选择 Edit(编辑)。编辑将授予 Route 53 向您的日志组写入日志的权限。选择保存。提示会消失,您可以继续下一步。

    • 如果您以前从未配置过查询日志记录(或者您尚未创建 10 个资源策略),则需要向 Route 53 授予将日志写入 CloudWatch 日志组的权限。选择 Grant permissions(授予权限)。提示会消失,您可以继续下一步。

  7. 选择 P ermissions-可选查看一个表,该表显示资源策略是否与 CloudWatch 日志组匹配,以及 Route 53 是否有权向其发布日志 CloudWatch。

  8. 选择 创建

使用 Amazon CloudWatch 访问 DNS 查询日志

Amazon Route 53 将查询 CloudWatch 日志直接发送到日志;这些日志永远无法通过 Route 53 访问。相反,您可以使用 CloudWatch 日志近乎实时地查看日志、搜索和筛选数据,以及将日志导出到 Amazon S3。

Route 53 为每个 Route 53 边缘站点创建一个 CloudWatch 日志流,用于响应指定托管区域的 DNS 查询并将查询日志发送到适用的日志流。例如,每个日志流名称的格式为 hosted-zone-id/edge-Location-IDZ1D633PJN98FT9/DFW3

每个边缘站点由三个字母的代码和任意分配的数字来确定,例如,DFW3。三个字母代码通常对应邻近节点位置的机场的国际航空协会机场代码。(这些缩写将来可能会更改。) 有关边缘站点的列表,请参阅 Route 53 产品详细信息页上的“Route 53 全球网络”。

有关更多信息,请参阅相应文档:

更改日志的保留周期并将日志导出到 Amazon S3

默认情况下, CloudWatch Logs 无限期存储查询日志。您可以选择指定保留期,以便 CloudWatch Logs 删除早于保留期的日志。有关更多信息,请参阅 Amazon CloudWatch 用户指南中的 “ CloudWatch 日志” 中的更改日志数据保留期

如果您想保留日志数据,但不需要使用 CloudWatch 日志工具来查看和分析数据,则可以将日志导出到 Amazon S3,这样可以降低存储成本。有关更多信息,请参阅将日志数据导出至 Amazon S3

有关定价的信息,请参阅适用的定价页:

注意

当您配置 Route 53 以记录 DNS 查询时,不会产生任何 Route 53 费用。

停止查询日志记录

如果您希望 Amazon Route 53 停止向 CloudWatch 日志发送查询日志,请执行以下步骤删除查询日志配置。

删除查询日志记录配置
  1. 登录 Amazon Web Services Management Console 并打开 Route 53 控制台,网址为 https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择 Hosted zones(托管区域)

  3. 为您要删除其查询日志记录配置的托管区域选择名称。

  4. Hosted zone details(托管区域详细信息)窗格中,选择 Delete query logging configuration(删除查询日志记录配置)。

  5. 选择 Delete (删除) 以确认。

显示在 DNS 查询日志中的值

每个日志文件都为 Amazon Route 53 从相应边缘站点中的 DNS 解析程序接收的每个 DNS 查询包含一个日志条目。每个日志条目都包含以下值:

日志格式版本

此查询日志的版本号。如果向日志添加字段或更改现有字段的格式,我们将增大此值。

查询时间戳

Route 53 对请求做出响应的日期和时间,采用 ISO 8601 格式和协调世界时 (UTC),例如,2017-03-16T19:20:25.177Z

有关 ISO 8601 格式的信息,请参阅维基百科文章 ISO 8601。有关 UTC 的信息,请参阅维基百科文章协调世界时

托管区域 ID

与此日志中的所有 DNS 查询关联的托管区域的 ID。

查询名称

在请求中指定的域或子域

查询类型

在请求中指定的 DNS 记录类型,或 ANY。有关 Route 53 支持的类型的信息,请参阅 支持的 DNS 记录类型

响应代码

Route 53 在对 DNS 查询做出的响应中返回的 DNS 响应代码。

第 4 层协议

用于提交查询的协议,即 TCPUDP

Route 53 边缘站点

对查询做出响应的 Route 53 边缘站点。每个节点位置由一个三字母代码和一个任意数字来确定,例如,DFW3。三个字母代码通常对应邻近节点位置的机场的国际航空协会机场代码。(这些缩写将来可能会更改。)

有关边缘站点的列表,请参阅 Route 53 产品详细信息页上的“Route 53 全球网络”。

解析程序 IP 地址

向 Route 53 提交请求的 DNS 解析程序的 IP 地址。

EDNS 客户端子网

发起请求的客户端的部分 IP 地址 (如果可从 DNS 解析程序获得)。

有关更多信息,请参阅 IETF 草案 Client Subnet in DNS Requests

查询日志示例

以下是示例查询日志(Region 是占位符):

1.0 2017-12-13T08:16:02.130Z Z123412341234 example.com A NOERROR UDP Region 192.168.1.1 - 1.0 2017-12-13T08:15:50.235Z Z123412341234 example.com AAAA NOERROR TCP Region 192.168.3.1 192.168.222.0/24 1.0 2017-12-13T08:16:03.983Z Z123412341234 example.com ANY NOERROR UDP Region 2001:db8::1234 2001:db8:abcd::/48 1.0 2017-12-13T08:15:50.342Z Z123412341234 bad.example.com A NXDOMAIN UDP Region 192.168.3.1 192.168.111.0/24 1.0 2017-12-13T08:16:05.744Z Z123412341234 txt.example.com TXT NOERROR UDP Region 192.168.1.2 -