为 DNS 防火墙配置日志记录 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 DNS 防火墙配置日志记录

您可以使用 Amazon CloudWatch 指标和解析程序查询日志来评估您的 DNS 防火墙规则。日志为所有警报和阻止操作提供域列表名称。有关 Amazon CloudWatch 的更多信息,请参阅使用 Amazon CloudWatch 监控 Route 53 Resolver DNS 防火墙规则组.

启用 DNS 防火墙后,将其关联到 VPC,并且您已启用日志记录,firewall_rule_group_idfirewall_rule_action, 和firewall_domain_list_id是日志中提供的 DNS 防火墙特定字段。

要开始记录由源自 VPC 的 DNS 防火墙规则筛选的 DNS 查询,您可以在 Amazon Route 53 控制台中执行以下任务:

为 DNS 防火墙配置解析器查询日志记录

  1. 登录到Amazon Web Services Management Console通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/.

  2. 展开 Route 53 控制台菜单。在控制台的左上角,选择三个水平条 ( Menu icon ) 图标。

  3. 在 Resolver 菜单中,选择查询日志.

  4. 在区域选择器中,选择Amazon要在其中创建查询日志记录配置的区域。

    此区域必须是创建与要记录查询的 DNS 防火墙相关联的 VPC 的同一个区域。如果您在多个区域中有 VPC,则必须为每个区域创建至少一个查询日志记录配置。

  5. 选择配置查询日志记录.

  6. 指定以下值:

    查询日志记录配置名称

    为查询日志记录配置输入名称。此名称会显示在控制台的查询日志记录配置列表中。输入有助于以后找到此配置的名称。

    查询日志的目标保存位置

    选择Amazon您希望 Resolver 将查询日志发送到的资源。有关如何在选项中进行选择(CloudWatch Logs 组、S3 存储桶和 Kinesis Data Firehose 交付流)的信息,请参阅Amazon资源,您可以将解析程序查询日志发送到.

    选择资源类型后,您可以创建另一个该类型的资源,或者选择由当前Amazonaccount.

    注意

    您只能选择在Amazon您在步骤 4 中选择的区域(创建查询日志记录配置的区域)。如果您选择创建新资源,则该资源将在同一地区创建。

    要记录查询的 VPC

    此查询日志记录配置将记录源自您选择的 VPC 的 DNS 查询。选中当前区域中您希望解析程序记录查询的每个 VPC 的复选框,然后选择选择.

    注意

    对于特定目标类型,只能启用 VPC 日志传输一次。日志无法传送到同一类型的多个目标。例如,无法将 VPC 日志传送到两个 Amazon S3 目标。

  7. 选择配置查询日志记录.

注意

您会在成功创建查询日志配置后数分钟内开始看到 VPC 中资源所做的 DNS 查询。