为 DNS Firewall 配置日志记录 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 DNS Firewall 配置日志记录

您可以使用 Amazon CloudWatch 指标和解析器查询日志来评估您的 DNS 防火墙规则。日志为所有提示和阻止操作提供域列表名称。有关 Amazon 的更多信息 CloudWatch,请参阅使用 Amazon 监控 Route 53 解析器 DNS 防火墙规则组 CloudWatch

启用 DNS Firewall 后,将其关联到 VPC,并且您已启用日志记录,firewall_rule_group_idfirewall_rule_actionfirewall_domain_list_id是日志中提供的 DNS Firewall 特定字段。

注意

查询日志将仅显示 DNS 防火墙规则阻止的查询的其他 DNS 防火墙字段。

要开始记录源自您的 DNS 防火墙规则筛选的 DNS 查询 VPCs,请在 Amazon Route 53 控制台中执行以下任务:

要为 DNS Firewall 配置 Resolver 查询日志记录
  1. 登录 Amazon Web Services Management Console 并打开 Route 53 控制台,网址为https://console.aws.amazon.com/route53/

  2. 展开 Route 53 控制台菜单。在控制台的左上角,选择三个水平条 ( Menu icon ) 图标。

  3. 在 Resolver 菜单中,选择 Query logging(查询日志记录)。

  4. 在区域选择器中,选择要在其中创建查询日志配置的 Amazon 区域。

    该区域必须与您创建的、与 DNS 防火墙关联且要记录查询的区域相同。 VPCs 如果您有 VPCs 多个区域,则必须为每个区域创建至少一个查询日志配置。

  5. 选择 Configure query logging(配置查询日志记录)。

  6. 指定以下值:

    查询日志记录配置名称

    为查询日志记录配置输入名称。名称会显示在控制台的查询日志配置列表中。输入名称将有助于以后查找此配置。

    查询日志的目标保存位置

    选择您希望 Resolver 向其发送查询日志的 Amazon 资源类型。有关如何在选项(CloudWatch 日志组、S3 存储桶和 Firehose 传输流)中进行选择的信息,请参阅。Amazon 可以向其发送解析器查询日志的资源

    选择资源类型后,您可以创建该类型的另一个资源,也可以选择由当前 Amazon 账户创建的现有资源。

    注意

    您只能选择在步骤 4 选择的 Amazon 区域中创建的资源,也即您创建查询日志记录配置的区域。如果您选择创建新资源,则该资源将在同一区域创建。

    VPCs 记录以下各项的查询

    此查询日志配置将记录源自您选择的 DNS 查询。 VPCs 选中当前区域中您希望 Resolver 记录查询的每个 VPC 的复选框,然后选择 Choose(选择)。

    注意

    对于特定目标类型,VPC 日志传输只能启用一次。日志无法传输到同一类型的多个目标。例如,无法将 VPC 日志传输到两个 Amazon S3 目标。

  7. 选择 Configure query logging(配置查询日志记录)。

注意

您应在成功创建查询日志配置后数分钟内开始在日志中看到 VPC 中的资源执行的 DNS 查询。