公有 DNS 查询日志记录 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

公有 DNS 查询日志记录

您可以配置 Amazon Route 53,以记录有关 Route 53 接收的公有 DNS 查询的信息,如下所示:

  • 已请求的域或子域

  • 请求的日期和时间

  • DNS 记录类型(例如 A 或 AAAA)

  • 对 DNS 查询做出响应的 Route 53 边缘站点

  • DNS 响应代码,例如 NoErrorServFail

当您配置查询日志记录后,Route 53 会将日志发送到 CloudWatch Logs。您可以使用 CloudWatch Logs 工具访问查询日志。

注意

私有托管区域也可用查询日志记录。有关更多信息,请参阅解析程序查询日志记录

查询日志仅包含 DNS 解析程序转发到 Route 53 的查询。如果 DNS 解析程序已缓存对查询 (如 example.com 的负载均衡器的 IP 地址) 的响应,则解析程序将继续返回缓存的响应而不将查询转发到 Route 53,直到相应记录的 TTL 到期为止。

根据为域名 (example.com) 或子域名称 (www.example.com) 提交的 DNS 查询的数量、用户正在使用的解析程序以及记录的 TTL,查询日志可能只包含提交到 DNS 解析程序的数千个查询中的一个查询的信息。有关 DNS 的工作方式的更多信息,请参阅如何将 Internet 流量路由到您的网站或 Web 应用程序

如果您不需要详细的日志记录信息,则可以使用 Amazon CloudWatch 指标来查看 Route 53 对托管区域响应的 DNS 查询总数。有关更多信息,请参阅查看公有托管区域的 DNS 查询指标

为 DNS 查询配置日志记录

要开始记录指定托管区域的 DNS 查询,您需要在 Amazon Route 53 控制台中执行以下任务:

  • 选择您希望 Route 53 将日志发布到的 CloudWatch 日志组,或创建新的日志组。

    注意

    日志组必须位于美国东部(弗吉尼亚北部)区域。

  • 选择 Create 以完成。

注意

如果用户正在提交对您的域的 DNS 查询,则您会在创建查询日志配置后数分钟内开始看到日志中的查询。

为 DNS 查询配置日志记录

  1. 登录到Amazon Web Services Management Console通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/.

  2. 在导航窗格中,选择 Hosted zones

  3. 选择要配置查询日志记录的托管区域。

  4. Hosted zone details 窗格中,选择 Configure query logging

  5. 选择现有日志组或创建新的日志组。

  6. 如果您收到有关权限的警报(如果您之前未使用新控制台配置查询日志记录,则会发生这种情况),请执行以下操作之一:

    • 如果您已经有 10 个资源策略,则无法再创建。选择任何资源策略,然后选择编辑. 编辑将授予 Route 53 向您的日志组写入日志的权限。选择 Save。警报消失,您可以继续下一步。

    • 如果您以前从未配置过查询日志记录(或者您尚未创建 10 个资源策略),则需要向 Route 53 授予权限,以便将日志写入 CloudWatch Logs 组。选择授予权限. 警报消失,您可以继续下一步。

  7. 选择权限-可选查看一个表,该表显示资源策略是否与 CloudWatch 日志组匹配,以及 Route 53 是否有权将日志发布到 CloudWatch。

  8. 选择创建

使用 Amazon CloudWatch 访问 DNS 查询日志

Amazon Route 53 将查询日志直接发送到 CloudWatch Logs;日志绝不可能通过 Route 53 访问到。相反,您可使用 CloudWatch Logs 几乎实时地查看日志、搜索和筛选数据,以及将日志导出到 Amazon S3。

Route 53 会为每个对指定托管区域的 DNS 查询做出响应的 Roud 53 边缘站点创建一个 CloudWatch Logs 日志流,并将查询日志发送到适用的日志流。每个日志流名称的格式为托管区域 ID/边缘站点 ID,例如 Z1D633PJN98FT9/DFW3

每个边缘站点由三个字母的代码和任意分配的数字来确定,例如,DFW3。三个字母代码通常对应邻近节点位置的机场的国际航空协会机场代码。(这些缩写将来可能会更改。) 有关边缘站点的列表,请参阅 Route 53 产品详细信息页上的“Route 53 全球网络”。

有关更多信息,请参阅相应文档:

更改日志的保留期限并将日志导出到 Amazon S3

默认情况下,CloudWatch Logs 将无限期地存储查询日志。您可以选择指定保留周期,以便 CloudWatch Logs 删除超过保留周期的日志。有关更多信息,请参阅 。更改 CloudWatch Logs 中的日志数据保留中的Amazon CloudWatch 用户指南.

如果您希望保留日志数据,但不需要 CloudWatch Logs 工具来查看和分析数据,则可以将日志导出到 Amazon S3,这样可以降低存储成本。有关更多信息,请参阅 。将日志数据导出到 Amazon S3.

有关定价的信息,请参阅适用的定价页:

注意

当您配置 Route 53 以记录 DNS 查询时,不会产生 Route 53 费用。

停止查询日志记录

如果您希望 Amazon Route 53 停止将查询日志发送到 CloudWatch Logs,请执行以下过程来删除查询日志记录配置。

删除查询日志记录配置

  1. 登录到Amazon Web Services Management Console通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/.

  2. 在导航窗格中,选择 Hosted zones

  3. 选择要删除其查询日志记录配置的托管区域的名称。

  4. 托管区域详细信息窗格中,选择删除查询日志记录配置.

  5. 选择 Delete 以确认。

显示在 DNS 查询日志中的值

每个日志文件都为 Amazon Route 53 从相应边缘站点中的 DNS 解析程序接收的每个 DNS 查询包含一个日志条目。每个日志条目都包含以下值:

日志格式版本

此查询日志的版本号。如果向日志添加字段或更改现有字段的格式,我们将增大此值。

查询时间戳

Route 53 对请求做出响应的日期和时间,采用 ISO 8601 格式和协调世界时 (UTC),例如,2017-03-16T19:20:25.177Z.

有关 ISO 8601 格式的信息,请参阅维基百科文章 ISO 8601。有关 UTC 的信息,请参阅维基百科文章协调世界时

托管区域 ID

与此日志中的所有 DNS 查询关联的托管区域的 ID。

查询名称

在请求中指定的域或子域

查询类型

在请求中指定的 DNS 记录类型,或 ANY。有关 Route 53 支持的类型的信息,请参阅支持的 DNS 记录类型.

响应代码

Route 53 在对 DNS 查询做出的响应中返回的 DNS 响应代码。

第 4 层协议

用于提交查询的协议,即 TCPUDP

Route 53 节点位置

对查询做出响应的 Route 53 边缘站点。每个节点位置由一个三字母代码和一个任意数字来确定,例如,DFW3。三个字母代码通常对应邻近节点位置的机场的国际航空协会机场代码。(这些缩写将来可能会更改。)

有关边缘站点的列表,请参阅Route 53 产品详情页.

解析程序 IP 地址

向 Route 53 提交请求的 DNS 解析程序的 IP 地址。

EDNS 客户端子网

发起请求的客户端的部分 IP 地址 (如果可从 DNS 解析程序获得)。

有关更多信息,请参阅 IETF 草案 Client Subnet in DNS Requests

查询日志示例

以下是示例查询日志:

1.0 2017-12-13T08:16:02.130Z Z123412341234 example.com A NOERROR UDP FRA6 192.168.1.1 - 1.0 2017-12-13T08:15:50.235Z Z123412341234 example.com AAAA NOERROR TCP IAD12 192.168.3.1 192.168.222.0/24 1.0 2017-12-13T08:16:03.983Z Z123412341234 example.com ANY NOERROR UDP FRA6 2001:db8::1234 2001:db8:abcd::/48 1.0 2017-12-13T08:15:50.342Z Z123412341234 bad.example.com A NXDOMAIN UDP IAD12 192.168.3.1 192.168.111.0/24 1.0 2017-12-13T08:16:05.744Z Z123412341234 txt.example.com TXT NOERROR UDP JFK5 192.168.1.2 -