Resolver 查询日志记录
您可以记录以下 DNS 查询:
源自您指定的 Amazon Virtual Private Cloud VPC 的查询,以及对这些 DNS 查询的响应。
来自使用入站 Resolver 端点的本地部署资源的查询。
使用出站 Resolver 端点进行递归 DNS 解析的查询。
使用 Route 53 Resolver DNS Firewall 规则阻止、允许或监控域列表的查询。
解析程序查询日志包括如下值:
-
创建 VPC 的 Amazon 区域
-
查询源自的 VPC 的 ID
-
查询源自的实例的 IP 地址
-
查询源自的资源的实例 ID
-
首次进行查询的日期和时间
-
请求的 DNS 名称(例如 prod.example.com)
-
DNS 记录类型 (如 A 或 AAAA)
-
DNS 响应代码,如
NoError
或ServFail
-
DNS 响应数据,如在对 DNS 查询做出的响应中返回的 IP 地址
-
对 DNS Firewall 规则操作的响应
有关记录的所有值的详细列表以及示例,请参阅 显示在 Resolver 查询日志中的值。
与 DNS 解析程序的标准一样,解析程序缓存 DNS 查询的时间长度由解析程序的存活时间 (TTL) 决定。Route 53 Resolver 缓存来自您的 VPC 的查询,并尽可能从缓存中响应,以加快响应速度。Resolver 查询日志记录仅记录唯一的查询,而不记录 Resolver 能够从缓存中响应的查询。
例如,假设查询日志记录配置正在记录查询的其中一个 VPC 中的 EC2 实例提交 accounting.example.com 的请求。Resolver 缓存对该查询的响应,并记录查询。如果同一实例的弹性网络接口在 Resolver 缓存的 TTL 中查询 accounting.example.com,则 Resolver 会从缓存中响应查询。未记录第二个查询。
您可以将日志发送到以下的某个 Amazon 资源:
-
Amazon CloudWatch Logs(CloudWatch Logs)日志组
-
Amazon S3 (S3) 存储桶
-
Kinesis Data Firehose 传输流
有关更多信息,请参阅Amazon 资源,您可以将 Resolver 查询日志发送到此。