本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Route 53 Resolver DNS Firewall 事件详细信息参考
来自 Amazon 服务的所有事件都有一组公共字段,其中包含有关事件的元数据,例如作为事件来源的 Amazon 服务、事件的生成时间、事件发生的账户和区域等。有关这些常规字段的定义,请参阅《Amazon EventBridge 用户指南》中的事件结构参考。
此外,每个事件都有一个 detail 字段,其中包该特定事件专有的数据。下面的参考定义了各种 DNS Firewall 事件的详细信息字段。
使用 EventBridge 选择和管理 DNS 防火墙事件时,请记住以下几点:
-
来自 DNS Firewall 的所有事件的
source字段都设置为aws.route53resolver。 -
detail-type字段指定事件类型。例如,
DNS Firewall Block或DNS Firewall Alert。 -
detail字段包含该特定事件专有的数据。
有关如何构造使规则能够匹配 DNS Firewall 事件的事件模式的信息,请参阅《Amazon EventBridge 用户指南》中的事件模式。
有关事件及其 EventBridge 处理方式的更多信息,请参阅《Amazon EventBridge 用户指南》中的Amazon EventBridge 事件。
DNS Firewall 警报事件详细信息
以下是警报状态事件的详细信息字段。
之所以包含 source 和 detail-type 字段,是因为其包含 Route 53 事件的特定值。
{..., "detail-type": "DNS Firewall Alert", "source": "aws.route53resolver", ..., "detail": { "account-id": "string", "last-observed-at": "string", "query-name": "string", "query-type": "string", "query-class": "string", "transport": "string", "firewall-rule-action": "string", "firewall-rule-group-id": "string", "firewall-domain-list-id": "string", "firewall-protection": "string", "resources": [{ "resource-type": "string", "instance-details": { "id": "string", } }, { "resource-type": "string", "resolver-endpoint-details": { "id": "string" } } ]
detail-type-
标识事件的类型。
对于这一事件,此值为
DNS Firewall Alert。 source-
标识生成事件的服务。对于 DNS Firewall 事件,此值为
aws.route53resolver。 detail-
包含关于事件信息的 JSON 对象。生成事件的服务决定该字段的内容。
对于此事件,此数据包括:
account-id-
创建 VPC 的 ID。 Amazon Web Services 账户
last-observed-at-
在 VPC 中进行警报/阻止查询的时间戳。
query-name-
查询中指定的域名 (example.com) 或子域名 (www.example.com)。
query-type-
在请求中指定的 DNS 记录类型,或 ANY。有关 Route 53 支持的类型的信息,请参阅 支持的 DNS 记录类型。
query-class-
查询的类。
transport-
用于提交 DNS 查询的协议。
firewall-rule-action-
查询中与域名匹配的规则指定的操作。
ALERT或BLOCK。 firewall-rule-group-id-
查询中与域名匹配的 DNS Firewall 规则组 ID。有关防火墙规则组更多信息,请参阅 DNS Firewall DNS Firewall 规则组和规则。
firewall-domain-list-id-
查询中与域名匹配的规则使用的域列表。
firewall-protection-
DNS 防火墙高级保护,DGA 或 DNS_TUNNELING。有关更多信息,请参阅 DNS 防火墙Route 53 解析器 DNS 防火墙高级。
resourcese-
包含资源类型以及与其有关的其他详细信息。
resource-type-
指定资源类型,例如解析程序端点或 VPC 实例。
resource-type-detail-
有关该资源的其他详细信息。
例 DNS Firewall 警报事件
以下是示例警报事件。
{ "version": "1.0", "id": "8e5622f9-d81c-4d81-612a-9319e7ee2506", "detail-type": "DNS Firewall Alert", "source": "aws.route53resolver", "account": "123456789012", "time": "2023-05-30T21:52:17Z", "region": "us-west-2", "resources": [], "detail": { "account-id": "123456789012", "last-observed-at": "2023-05-30T20:15:15.900Z", "query-name": "15.3.4.32.in-addr.arpa.", "query-type": "A", "query-class": "IN", "transport": "UDP", "firewall-rule-action": "ALERT", "firewall-rule-group-id": "rslvr-frg-01234567890abcdef", "firewall-domain-list-id": "rslvr-fdl-01234567890abcdef", "firewall-protection": "DGA", "resources": [{ "resource-type": "instance", "instance-details": { "id": "i-05746eb48123455e0", } }, { "resource-type": "resolver-endpoint", "resolver-endpoint-details": { "id": "i-05746eb48123455e0" } } ], "src-addr": "4.5.64.102", "src-port": "56067", "vpc-id": "vpc-7example" } }
DNS Firewall 阻止事件详细信息
以下是的详细信息字段event name。
之所以包含 source 和 detail-type 字段,是因为其包含 Route 53 事件的特定值。
{..., "detail-type": "DNS Firewall Block", "source": "aws.route53resolver", ..., "detail": { "account-id": "string", "last-observed-at": "string", "query-name": "string", "query-type": "string", "query-class": "string", "transport": "string", "firewall-rule-action": "string", "firewall-rule-group-id": "string", "firewall-domain-list-id": "string", "firewall-protection": "string", "resources": [{ "resource-type": "string", "instance-details": { "id": "string", } }, { "resource-type": "string", "resolver-endpoint-details": { "id": "string" } } ]
detail-type-
标识事件的类型。
对于这一事件,此值为
DNS Firewall Alert。 source-
标识生成事件的服务。对于 DNS Firewall 事件,此值为
aws.route53resolver。 detail-
包含关于事件信息的 JSON 对象。生成事件的服务决定该字段的内容。
对于此事件,此数据包括:
account-id-
创建 VPC 的 ID。 Amazon Web Services 账户
last-observed-at-
在 VPC 中进行警报/阻止查询的时间戳。
query-name-
查询中指定的域名 (example.com) 或子域名 (www.example.com)。
query-type-
在请求中指定的 DNS 记录类型,或 ANY。有关 Route 53 支持的类型的信息,请参阅 支持的 DNS 记录类型。
query-class-
查询的类。
transport-
用于提交 DNS 查询的协议。
firewall-rule-action-
查询中与域名匹配的规则指定的操作。
ALERT或BLOCK。 firewall-rule-group-id-
查询中与域名匹配的 DNS Firewall 规则组 ID。有关防火墙规则组更多信息,请参阅 DNS Firewall DNS Firewall 规则组和规则。
firewall-domain-list-id-
查询中与域名匹配的规则使用的域列表。
firewall-protection-
DNS 防火墙高级保护,DGA 或 DNS_TUNNELING。有关更多信息,请参阅 DNS 防火墙Route 53 解析器 DNS 防火墙高级。
resourcese-
包含资源类型以及与其有关的其他详细信息。
resource-type-
指定资源类型,例如解析程序端点或 VPC 实例。
resource-type-detail-
有关该资源的其他详细信息。
例 事件示例
以下是示例阻止事件。
{ "version": "1.0", "id": "8e5622f9-d81c-4d81-612a-9319e7ee2506", "detail-type": "DNS Firewall Block", "source": "aws.route53resolver", "account": "123456789012", "time": "2023-05-30T21:52:17Z", "region": "us-west-2", "resources": [], "detail": { "account-id": "123456789012", "last-observed-at": "2023-05-30T20:15:15.900Z", "query-name": "15.3.4.32.in-addr.arpa.", "query-type": "A", "query-class": "IN", "transport": "UDP", "firewall-rule-action": "BLOCK", "firewall-rule-group-id": "rslvr-frg-01234567890abcdef", "firewall-domain-list-id": "rslvr-fdl-01234567890abcdef", "firewall-protection": "DNS_TUNNELING", "resources": [{ "resource-type": "instance", "instance-details": { "id": "i-05746eb48123455e0" } }, { "resource-type": "resolver-endpoint", "resolver-endpoint-details": { "id": "i-05746eb48123455e0", } } ], "src-addr": "4.5.64.102", "src-port": "56067", "vpc-id": "vpc-7example" } }