Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Amazon Route 53 überwachen
<a name="monitoring-overview"></a>

Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung Ihrer AWS Lösungen. Sie sollten Überwachungsdaten aus allen Teilen Ihrer AWS Lösung sammeln, damit Sie einen etwaigen Ausfall an mehreren Stellen leichter debuggen können. Aber bevor Sie mit der Überwachung beginnen, sollten Sie einen Überwachungsplan mit Antworten auf die folgenden Fragen erstellen:
+ Was sind Ihre Ziele bei der Überwachung?
+ Welche Ressourcen werden überwacht?
+ Wie oft werden diese Ressourcen überwacht?
+ Welche Überwachungstools werden verwendet?
+ Wer soll die Überwachungsaufgaben ausführen?
+ Wer soll benachrichtigt werden, wenn Fehler auftreten?

**Topics**
+ [Öffentliche DNS-Abfrageprotokollierung](query-logs.md)
+ [Abfrageprotokollierung](resolver-query-logs.md)
+ [Überwachung von Domainregistrierungen](monitoring-domain-registrations.md)
+ [Überwachen Sie Ihre Ressourcen mit Amazon Route 53 Health Checks und Amazon CloudWatch](monitoring-cloudwatch.md)
+ [Überwachung von Hosting-Zonen mit Amazon CloudWatch](monitoring-hosted-zones-with-cloudwatch.md)
+ [Überwachung von Route 53 VPC Resolver-Endpunkten mit Amazon CloudWatch](monitoring-resolver-with-cloudwatch.md)
+ [Überwachung von Resolver-DNS-Firewall-Regelgruppen mit Amazon CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md)
+ [Verwaltung von Resolver-DNS-Firewall-Ereignissen mithilfe von Amazon EventBridge](dns-firewall-eventbridge-integration.md)
+ [Protokollieren von Amazon Route 53-API-Aufrufen mit AWS CloudTrail](logging-using-cloudtrail.md)

# Öffentliche DNS-Abfrageprotokollierung
<a name="query-logs"></a>

Sie können Amazon Route 53 so konfigurieren, dass Informationen zu den öffentlichen DNS-Abfragen protokolliert werden, die Route 53 empfängt, z. B. die folgenden:
+ Domain oder Subdomain, die angefordert wurde
+ Das Datum und die Uhrzeit der Anforderung
+ DNS-Datensatztyp (z. B. A oder AAAA)
+ Der Edge-Standort von Route 53, der auf die DNS-Abfrage geantwortet hat
+ Der DNS-Antwortcode, wie z. B. `NoError` oder `ServFail`

Sobald Sie die Abfrageprotokollierung konfiguriert haben, sendet Route 53 CloudWatch Protokolle an Logs. Sie verwenden CloudWatch Logs-Tools, um auf die Abfrageprotokolle zuzugreifen.

Abfrageprotokolle enthalten nur die Abfragen, die DNS-Resolver an Route 53 senden. Wenn ein DNS-Resolver die Antwort auf eine Anfrage bereits zwischengespeichert hat (z. B. die IP-Adresse für einen Load Balancer, z. B. .com), gibt der Resolver weiterhin die zwischengespeicherte Antwort zurück, ohne die Abfrage an Route 53 zu senden, bis die TTL für den entsprechenden Datensatz abläuft. 

Abhängig davon, wie viele DNS-Abfragen für einen Domainnamen (example.com) oder Subdomainnamen (www.example.com) übermittelt werden, welche Auflöser von Ihren Benutzern verwendet werden und welche TTL für den Datensatz gilt, enthalten die Abfrageprotokolle möglicherweise Informationen zu nur einer von mehreren tausend Abfragen, die an DNS-Auflöser übermittelt wurden. Weitere Information zur Funktionsweise von DNS finden Sie unter [Wie Internetdatenverkehr an Ihre Website oder die Webanwendung geleitet wird](welcome-dns-service.md).

Wenn Sie keine detaillierten Protokollierungsinformationen benötigen, können Sie mithilfe von CloudWatch Amazon-Metriken die Gesamtzahl der DNS-Abfragen ermitteln, auf die Route 53 für eine gehostete Zone antwortet. Weitere Informationen finden Sie unter [Anzeigen von DNS-Abfragemetriken für eine öffentliche gehostete Zone](hosted-zone-public-viewing-query-metrics.md).

**Topics**
+ [Konfigurieren der Protokollierung für DNS-Abfragen](#query-logs-configuring)
+ [Amazon CloudWatch für den Zugriff auf DNS-Abfrageprotokolle verwenden](#query-logs-viewing)
+ [Ändern des Aufbewahrungszeitraums für Protokolle und Exportieren von Protokollen zu Amazon S3](#query-logs-changing-retention-period)
+ [Anhalten der Abfrageprotokollierung](#query-logs-deleting-configuration)
+ [Werte in DNS-Abfrageprotokollen](#query-logs-format)
+ [Beispiel für ein Abfrageprotokoll:](#query-logs-example)

## Konfigurieren der Protokollierung für DNS-Abfragen
<a name="query-logs-configuring"></a>

Um die Protokollierung von DNS-Abfragen für eine bestimmte gehostete Zone zu starten, führen Sie die folgenden Aufgaben in der Amazon-Route 53-Konsole aus:
+ Wählen Sie die CloudWatch Logs-Protokollgruppe aus, in der Route 53 Protokolle veröffentlichen soll, oder erstellen Sie eine neue Protokollgruppe.
**Anmerkung**  
Die Lambda-Funktion muss sich in der Region USA Ost (Nord-Virginia) befinden.
+ Wählen Sie **Erstellen** aus, um den Vorgang abzuschließen.

**Anmerkung**  
Wenn Benutzer DNS-Abfragen für Ihre Domain übermitteln, sollten Ihnen wenige Minuten nach Erstellung der Konfiguration für die Abfrageprotokollierung Abfragen in den Protokollen angezeigt werden. <a name="query-logs-configuring-procedure"></a>

**So konfigurieren Sie die Protokollierung für DNS-Abfragen**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Klicken Sie im Navigationsbereich auf **Hosted Zones (Gehostete Zonen)**.

1. Wählen Sie die gehostete Zone aus, für die Sie die Abfrageprotokollierung konfigurieren möchten.

1. Wählen Sie im Bereich **Hosted zone details** **Configure query logging**.

1. Wählen Sie eine vorhandene Protokollgruppe aus, oder erstellen Sie eine neue Protokollgruppe.

1. Wenn Sie eine Warnung zu Berechtigungen erhalten (dies geschieht, wenn Sie die Abfrageprotokollierung noch nicht mit der neuen Konsole konfiguriert haben), führen Sie einen der folgenden Schritte aus:
   +  Wenn Sie bereits 10 Ressourcenrichtlinien haben, können Sie nicht mehr erstellen. Wählen Sie eine Ihrer Ressourcenrichtlinien aus und wählen Sie**Bearbeiten**aus. Die Bearbeitung gewährt Route 53 Berechtigungen zum Schreiben von Protokollen in Ihre Protokollgruppen. Wählen Sie **Speichern**. Der Alarm verschwindet, und Sie können mit dem nächsten Schritt fortfahren. 
   + Wenn Sie die Abfrageprotokollierung noch nie konfiguriert haben (oder wenn Sie noch nicht 10 Ressourcenrichtlinien erstellt haben), müssen Sie Route 53 Berechtigungen zum Schreiben von Protokollen in Ihre CloudWatch Logs-Gruppen erteilen. Klicken Sie auf**Gewähren von Berechtigungen**aus. Der Alarm verschwindet, und Sie können mit dem nächsten Schritt fortfahren. 

1. Wählen Sie **Berechtigungen — optional**, um eine Tabelle aufzurufen, aus der hervorgeht, ob die Ressourcenrichtlinie mit der CloudWatch Protokollgruppe übereinstimmt und ob Route 53 berechtigt ist, Protokolle zu veröffentlichen CloudWatch.

1. Wählen Sie **Erstellen** aus.

## Amazon CloudWatch für den Zugriff auf DNS-Abfrageprotokolle verwenden
<a name="query-logs-viewing"></a>

Amazon Route 53 sendet Abfrageprotokolle direkt an CloudWatch Logs; auf die Protokolle kann nie über Route 53 zugegriffen werden. Stattdessen verwenden Sie Logs, um CloudWatch Logs nahezu in Echtzeit anzusehen, Daten zu suchen und zu filtern und Logs nach Amazon S3 zu exportieren. 

Route 53 erstellt für jeden Route 53-Edge-Standort einen CloudWatch Logs-Log-Stream, der auf DNS-Anfragen für die angegebene Hosting-Zone reagiert und Abfrageprotokolle an den entsprechenden Log-Stream sendet. Das Format für den Namen jedes Protokollstreams ist*hosted-zone-id*/*edge-location-ID*, zum Beispiel`Z1D633PJN98FT9/DFW3`.

Jede Kantenposition wird durch einen aus drei Buchstaben bestehenden Code und eine willkürlich zugewiesene Zahl identifiziert, z. B. DFW3 Der Code aus drei Buchstaben entspricht dem Code der International Air Transport Association für einen Flughafen in der Nähe des Edge-Standorts. (Diese Abkürzungen ändern sich möglicherweise in der Zukunft.) Eine Liste der Edge-Standorte finden Sie unter „Das globale Route 53-Netzwerk“ auf der Seite mit den [Route 53-Produktdetails](https://aws.amazon.com/route53/details/). 

**Anmerkung**  
Möglicherweise sehen Sie einige Präfixe oder Suffixe, die nicht der obigen Konvention entsprechen. Diese kodieren Attribute, die nur für den internen Gebrauch bestimmt sind.

Weitere Informationen finden Sie in der entsprechenden Dokumentation:
+ [Amazon CloudWatch Logs-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)
+ [Amazon CloudWatch Logs API-Referenz](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/)
+ [CloudWatch Abschnitt „Logs“ der AWS CLI Befehlsreferenz](https://docs.aws.amazon.com/cli/latest/reference/logs/index.html)
+ [Werte in DNS-Abfrageprotokollen](#query-logs-format)

## Ändern des Aufbewahrungszeitraums für Protokolle und Exportieren von Protokollen zu Amazon S3
<a name="query-logs-changing-retention-period"></a>

Standardmäßig speichert CloudWatch Logs Abfrageprotokolle auf unbestimmte Zeit. Sie können optional einen Aufbewahrungszeitraum angeben, sodass CloudWatch Logs Protokolle löscht, die älter als der Aufbewahrungszeitraum sind. Weitere Informationen finden Sie unter [Ändern der Aufbewahrung von Protokolldaten in CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SettingLogRetention.html) im * CloudWatch Amazon-Benutzerhandbuch*.

Wenn Sie Protokolldaten behalten möchten, aber keine CloudWatch Logs-Tools zum Anzeigen und Analysieren der Daten benötigen, können Sie Protokolle nach Amazon S3 exportieren, wodurch Ihre Speicherkosten gesenkt werden können. Weitere Informationen finden Sie unter [Exportieren von Protokolldaten zu Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html).

Informationen zu Preisen finden Sie auf der entsprechenden Seite mit den Preisen:
+ „Amazon CloudWatch Logs“ auf der [CloudWatch Preisseite](https://aws.amazon.com/cloudwatch/pricing)
+ [Amazon S3 – Preise](https://aws.amazon.com/s3/pricing)

**Anmerkung**  
Wenn Sie Route 53 für die Protokollierung von DNS-Abfragen konfigurieren, fallen keine -Gebühren an.

## Anhalten der Abfrageprotokollierung
<a name="query-logs-deleting-configuration"></a>

Wenn Sie möchten, dass Amazon Route 53 keine Abfrageprotokolle mehr an Logs sendet, gehen Sie wie folgt vor, um die Konfiguration der Abfrageprotokollierung zu löschen. CloudWatch <a name="query-logs-deleting-configuration-procedure"></a>

**So löschen Sie eine Konfiguration für die Abfrageprotokollierung**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Klicken Sie im Navigationsbereich auf **Hosted Zones (Gehostete Zonen)**.

1. Wählen Sie das Optionsfeld (nicht den Namen) für die gehostete Zone aus, für die Sie die Konfiguration für die Abfrageprotokollierung löschen möchten.

1. Wählen Sie im Bereich **Hosted zone details** **Configure query logging**.

1. Wählen Sie zur Bestätigung **Delete**.

## Werte in DNS-Abfrageprotokollen
<a name="query-logs-format"></a>

Jede Protokolldatei enthält einen einzelnen Protokolleintrag für jede DNS-Abfrage, die Amazon Route 53 von DNS-Resolvern am entsprechenden Edge-Standort erhalten hat. Jeder Protokolleintrag enthält die folgenden Werte:

**Protokollformatversion**  
Die Versionsnummer dieses Abfrageprotokolls. Wenn dem Protokoll Felder hinzugefügt werden oder das Format vorhandener Felder geändert wird, wird dieser Wert erhöht.

**Abfragezeitstempel**  
Das Datum und die Uhrzeit, an dem/zu der Route 53 auf die Anforderung geantwortet hat; im ISO 8601-Format und in koordinierter Weltzeit (Coordinated Universal Time, UTC), z. B. `2017-03-16T19:20:25.177Z`.   
Informationen zum ISO 8601-Format finden Sie im Wikipedia-Artikel [ISO 8601](https://en.wikipedia.org/wiki/ISO_8601). Informationen zu UTC finden Sie im Wikipedia-Artikel [Coordinated Universal Time](https://en.wikipedia.org/wiki/Coordinated_Universal_Time).

**ID der gehosteten Zone**  
Die ID der gehosteten Zone, die mit allen DNS-Abfragen in diesem Protokoll verknüpft ist.

**Abfragename**  
Die Domain oder Subdomain, die in der Anfrage angegeben wurde.

**Abfragetyp**  
Entweder der DNS-Datensatztyp, der in der Anfrage angegeben wurde, oder `ANY`. Informationen zu den von Route 53 unterstützten Typen finden Sie unter [Unterstützte DNS-Datensatztypen](ResourceRecordTypes.md).

**Antwortcode**  
Der DNS-Antwortcode, den Route 53 als Antwort auf die DNS-Abfrage zurückgegeben hat. 

**Layer 4-Protokoll**  
Das Protokoll, das zum Übermitteln der Abfrage verwendet wurde, entweder `TCP` oder `UDP`.

**Route-53-Edge-Standort**  
Der Route 53-Edge-Standort, der auf die Abfrage geantwortet hat. Jede Edge-Position wird durch einen aus drei Buchstaben bestehenden Code und eine beliebige Zahl identifiziert, DFW3 z. B. Der Code aus drei Buchstaben entspricht dem Code der International Air Transport Association für einen Flughafen in der Nähe des Edge-Standorts. (Diese Abkürzungen ändern sich möglicherweise in der Zukunft.)  
Eine Liste der Edge-Standorte finden Sie unter „Das globale Route 53-Netzwerk“ auf der Seite mit den [Route 53-Produktdetails](https://aws.amazon.com/route53/details/).

**Resolver-IP-Adresse**  
Die IP-Adresse des DNS-Auflösers, der die Anfrage an Route 53 übermittelt hat.

**EDNS-Client-Subnetz**  
Eine teilweise IP-Adresse für den Client, von dem die Anfrage gesendet wurde, wenn über den DNS-Auflöser verfügbar.  
Weitere Informationen finden Sie im IETF-Entwurf [Client-Subnetz in DNS-Anfragen](https://tools.ietf.org/html/draft-ietf-dnsop-edns-client-subnet-08).

## Beispiel für ein Abfrageprotokoll:
<a name="query-logs-example"></a>

Ein Beispiel für ein Abfrageprotokoll (Region ist ein Platzhalter):

```
1.0 2017-12-13T08:16:02.130Z Z123412341234 example.com A NOERROR UDP Region 192.168.1.1 -
1.0 2017-12-13T08:15:50.235Z Z123412341234 example.com AAAA NOERROR TCP Region 192.168.3.1 192.168.222.0/24
1.0 2017-12-13T08:16:03.983Z Z123412341234 example.com ANY NOERROR UDP Region 2001:db8::1234 2001:db8:abcd::/48
1.0 2017-12-13T08:15:50.342Z Z123412341234 bad.example.com A NXDOMAIN UDP Region 192.168.3.1 192.168.111.0/24
1.0 2017-12-13T08:16:05.744Z Z123412341234 txt.example.com TXT NOERROR UDP Region 192.168.1.2 -
```

# Abfrageprotokollierung
<a name="resolver-query-logs"></a>

Sie können die folgenden DNS-Abfragen protokollieren: 
+ Abfragen, die ihren Ursprung in Amazon Virtual Private Cloud haben, VPCs die Sie angeben, sowie die Antworten auf diese DNS-Abfragen.
+ Abfragen von On-Premises-Ressourcen, die einen eingehenden Resolver-Endpunkt verwenden.
+ Abfragen, die einen ausgehenden Resolver-Endpunkt für rekursive DNS-Auflösung verwenden.
+ Abfragen, die Resolver DNS-Firewall-Regeln verwenden, um Domainlisten zu blockieren, zuzulassen oder zu überwachen.

Die VPC Resolver-Abfrageprotokolle enthalten Werte wie die folgenden:
+ Die AWS Region, in der die VPC erstellt wurde
+ Die ID des VPC, aus dem die Abfrage stammt
+ Die IP-Adresse der Instance, von der die Abfrage stammt
+ Die Instance-ID der Ressource, von der die Abfrage stammt
+ Das Datum und die Uhrzeit, als die Abfrage zum ersten Mal durchgeführt wurde
+ Der angeforderte DNS-Name (z. B. prod.example.com)
+ Der DNS-Datensatztyp (z. B. A oder AAAA)
+ Der DNS-Antwortcode, z. B. `NoError` oder `ServFail`
+ Die DNS-Antwortdaten, z. B. die IP-Adresse, die als Antwort auf die DNS-Abfrage zurückgegeben wird
+ Eine Antwort auf eine DNS-Firewall-Regelaktion

Eine detaillierte Liste aller protokollierten Werte und ein Beispiel finden Sie unter[Werte, die in den VPC Resolver-Abfrageprotokollen erscheinen](resolver-query-logs-format.md)aus.

**Anmerkung**  
Wie bei DNS-Resolvern üblich, speichern Resolver DNS-Abfragen für einen Zeitraum im Cache, der durch die time-to-live (TTL) für den Resolver bestimmt wird. Der Route 53 VPC Resolver speichert Anfragen, die von Ihrem stammen, im Cache und beantwortet VPCs, wann immer möglich, aus dem Cache, um die Antworten zu beschleunigen. Die VPC Resolver-Abfrageprotokollierung protokolliert nur eindeutige Abfragen, keine Abfragen, auf die VPC Resolver aus dem Cache antworten kann.  
Nehmen wir beispielsweise an, dass eine EC2-Instance in einer der Instanzen, für VPCs die eine Abfrageprotokollierungskonfiguration Abfragen protokolliert, eine Anfrage an accounting.example.com sendet. VPC Resolver speichert die Antwort auf diese Abfrage im Cache und protokolliert die Abfrage. Wenn die elastic network interface derselben Instance innerhalb der TTL des VPC Resolver-Caches eine Abfrage nach accounting.example.com durchführt, antwortet VPC Resolver auf die Abfrage aus dem Cache. Die zweite Abfrage wird nicht protokolliert.

Sie können die Protokolle an eine der folgenden Ressourcen senden: AWS 
+ Amazon CloudWatch Logs (CloudWatch Logs) -Protokollgruppe
+ Amazon-S3-Bucket.
+ Firehose-Bereitstellungsdat

Weitere Informationen finden Sie unter [AWS Ressourcen, an die Sie VPC Resolver-Abfrageprotokolle senden können](resolver-query-logs-choosing-target-resource.md).

**Topics**
+ [AWS Ressourcen, an die Sie VPC Resolver-Abfrageprotokolle senden können](resolver-query-logs-choosing-target-resource.md)
+ [Konfigurationen für die Protokollierung von Resolver-Abfragen verwalten](resolver-query-logging-configurations-managing.md)

# AWS Ressourcen, an die Sie VPC Resolver-Abfrageprotokolle senden können
<a name="resolver-query-logs-choosing-target-resource"></a>

**Anmerkung**  
Wenn Sie erwarten, Abfragen für Workloads mit hohen Abfragen pro Sekunde (QPS) zu protokollieren, sollten Sie Amazon S3 verwenden, um sicherzustellen, dass Ihre Abfrageprotokolle beim Schreiben an Ihr Ziel nicht eingeschränkt werden. Wenn Sie Amazon verwenden CloudWatch, können Sie Ihr Limit für Anfragen pro Sekunde für den `PutLogEvents` Vorgang erhöhen. Weitere Informationen zur Erhöhung Ihrer CloudWatch Limits finden Sie unter [CloudWatch Log-Kontingente](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html) im * CloudWatch Amazon-Benutzerhandbuch*.

Sie können VPC Resolver-Abfrageprotokolle an die folgenden AWS Ressourcen senden:

**Amazon CloudWatch Logs (Amazon CloudWatch Logs) -Protokollgruppe**  
Sie können Protokolle mit Logs Insights analysieren und Metriken und Alarme erstellen.  
Weitere Informationen finden Sie im [Amazon CloudWatch Logs-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).

**Amazon-S3-Bucket.**  
Das Speichern von Protokollen in einem S3-Bucket ist bei der langfristigen Protokollarchivierung wirtschaftlich. Die Latenz ist normalerweise höher.  
Alle serverseitigen S3-Verschlüsselungsoptionen werden unterstützt. Weitere Informationen finden Sie unter [Schützen von Daten mit serverseitiger Verschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) im *Amazon-S3-Entwicklerhandbuch*.  
Wenn Sie sich für serverseitige Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS) entscheiden, müssen Sie die Schlüsselrichtlinie für Ihren vom Kunden verwalteten Schlüssel aktualisieren, damit das Konto für die Protokollzustellung in Ihren Amazon S3 S3-Bucket schreiben kann. Weitere Informationen zur erforderlichen Schlüsselrichtlinie für die Verwendung mit SSE-KMS finden Sie unter [serverseitige Verschlüsselung des Amazon S3 S3-Buckets](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-infrastructure-V2-S3.html#AWS-logs-SSE-KMS-S3-V2) im * CloudWatch Amazon-Benutzerhandbuch*.  
Wenn sich der S3-Bucket in einem Konto befindet, das Ihnen gehört, werden die erforderlichen Berechtigungen automatisch Ihrer Bucket-Richtlinie hinzugefügt. Wenn Sie Protokolle an einen S3-Bucket in einem Konto senden möchten, das Sie nicht besitzen, muss der Besitzer des S3-Buckets Berechtigungen für Ihr Konto in seiner Bucket-Richtlinie hinzufügen. Zum Beispiel:    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "CrossAccountAccess",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::your_bucket_name/AWSLogs/your_caller_account/*"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::your_bucket_name"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "iam_user_arn_or_account_number_for_root"
            },
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::your_bucket_name"
        }
    ]
}
```
 Wenn Sie Protokolle in einem zentralen S3-Bucket für Ihre Organisation speichern möchten, sollten Sie die Konfiguration der Abfrageprotokollierung über ein zentralisiertes Konto (mit den erforderlichen Berechtigungen zum Schreiben in einen zentralen Bucket) einrichten und[RAM](query-logging-configurations-managing-sharing.md), um die Konfiguration über Konten hinweg freizugeben.
Weitere Informationen finden Sie im [Benutzerhandbuch für Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/).

**Firehose-Bereitstellungsdat**  
Sie können Protokolle in Echtzeit an Amazon OpenSearch Service, Amazon Redshift oder andere Anwendungen streamen.  
Weitere Informationen finden Sie im [Amazon Data Firehose Developer Guide](https://docs.aws.amazon.com/firehose/latest/dev/).

Informationen zu den Preisen für die Resolver-Abfrageprotokollierung finden Sie unter [ CloudWatch Amazon-Preise](https://aws.amazon.com/cloudwatch/pricing/).

CloudWatch Bei der Verwendung von VPC Resolver-Protokollen fallen Gebühren für Vending Logs an, auch wenn Protokolle direkt in Amazon S3 veröffentlicht werden. Weitere Informationen finden Sie unter [*Preise für Logs* bei Amazon CloudWatch ](https://aws.amazon.com//cloudwatch/pricing/#Vended_Logs).

# Konfigurationen für die Protokollierung von Resolver-Abfragen verwalten
<a name="resolver-query-logging-configurations-managing"></a>

## Konfiguration (VPC Resolver-Abfrageprotokollierung)
<a name="resolver-query-logs-configuring"></a>

Sie können die VPC Resolver-Abfrageprotokollierung auf zwei Arten konfigurieren:
+ **Direkte VPC-Zuordnung** — VPCs Direkter Zugriff auf eine Konfiguration zur Abfrageprotokollierung.
+ **Profilzuordnung** — Ordnen Sie eine Abfrageprotokollierungskonfiguration einem Route 53 53-Profil zu, wodurch die Protokollierung auf alle mit diesem Profil VPCs verknüpften Profile angewendet wird. Weitere Informationen finden Sie unter [Ordnen Sie die Konfigurationen der VPC Resolver-Abfrageprotokollierung einem Route 53 53-Profil zu](profile-associate-query-logging.md).

Um mit der Protokollierung von DNS-Abfragen zu beginnen, die von Ihrem stammen VPCs, führen Sie die folgenden Aufgaben in der Amazon Route 53-Konsole aus:<a name="resolver-query-logs-configuring-procedure"></a>

**So konfigurieren Sie die Protokollierung der Resolver-Abfrage**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Erweitern Sie das Route-53-Konsolenmenü. Wählen Sie oben links in der Konsole die drei horizontalen Balken (![\[Menu icon\]](http://docs.aws.amazon.com/de_de/Route53/latest/DeveloperGuide/images/menu-icon.png)) aus.

1. Wählen Sie im Resolver-Menü die Option **Abfrageprotokollierung**.

1. Wählen Sie in der Regionsauswahl die AWS Region aus, in der Sie die Konfiguration für die Abfrageprotokollierung erstellen möchten. Dies muss dieselbe Region sein, in der Sie die Region erstellt haben VPCs , für die Sie DNS-Abfragen protokollieren möchten. Wenn Sie VPCs in mehreren Regionen arbeiten, müssen Sie mindestens eine Konfiguration für die Abfrageprotokollierung für jede Region erstellen.

1. Wählen Sie **Konfigurieren der Abfrageprotokollierung**.

1. Geben Sie die folgenden Werte an:  
**Name der Abfrageprotokollierungskonfiguration**  
Geben Sie einen Namen für Ihre Abfrageprotokollierungskonfiguration ein. Der Name wird in der Konsole in der Liste der Konfigurationen für die Abfrageprotokollierung angezeigt. Geben Sie einen Namen ein, den Sie später bei der Suche nach dieser Konfiguration unterstützen.  
**Ziel der Abfrageprotokolle**  
Wählen Sie den AWS Ressourcentyp aus, an den VPC Resolver Abfrageprotokolle senden soll. Informationen zur Auswahl zwischen den Optionen (CloudWatch Logs-Protokollgruppe, S3-Bucket und Firehose-Lieferstream) finden Sie unter[AWS Ressourcen, an die Sie VPC Resolver-Abfrageprotokolle senden können](resolver-query-logs-choosing-target-resource.md).  
Nachdem Sie den Ressourcentyp ausgewählt haben, können Sie entweder eine weitere Ressource dieses Typs erstellen oder eine vorhandene Ressource auswählen, die mit dem aktuellen AWS Konto erstellt wurde.  
Sie können nur Ressourcen auswählen, die in der AWS -Region erstellt wurden, die Sie in Schritt 4 ausgewählt haben, der Region, in der Sie die Abfrageprotokollierungskonfiguration erstellen. Wenn Sie eine neue Ressource erstellen, wird diese Ressource in derselben Region erstellt.  
**VPCs um Abfragen zu protokollieren für**  
Bei dieser Konfiguration für die Abfrageprotokollierung werden DNS-Abfragen protokolliert, die ihren Ursprung in der VPCs von Ihnen ausgewählten Datei haben. **Aktivieren Sie das Kontrollkästchen für jede VPC in der aktuellen Region, für die VPC Resolver Abfragen protokollieren soll, und wählen Sie dann Wählen aus.**  
**Alternative**: Anstatt eine VPCs direkte Zuordnung vorzunehmen, können Sie diese Abfrageprotokollierungskonfiguration einem Route 53 53-Profil zuordnen, wodurch die Protokollierung auf alle mit diesem Profil VPCs verknüpften Daten angewendet wird. Weitere Informationen finden Sie unter [Ordnen Sie die Konfigurationen der VPC Resolver-Abfrageprotokollierung einem Route 53 53-Profil zu](profile-associate-query-logging.md).  
Die VPC Protokollzustellung kann für einen bestimmten Zieltyp nur einmal aktiviert werden. Die Protokolle können nicht an mehrere Ziele desselben Typs übermittelt werden. Beispielsweise können VPC Protokolle nicht an zwei Amazon S3 Ziele übermittelt werden.

1. Wählen Sie **Konfigurieren der Abfrageprotokollierung** aus.

**Anmerkung**  
Sie sollten innerhalb weniger Minuten nach erfolgreicher Erstellung der Konfiguration für die Abfrageprotokollierung DNS-Abfragen von Ressourcen in Ihrer VPC in den Protokollen anzeigen.

# Werte, die in den VPC Resolver-Abfrageprotokollen erscheinen
<a name="resolver-query-logs-format"></a>

Jede Protokolldatei enthält einen einzelnen Protokolleintrag für jede DNS-Abfrage, die Amazon Route 53 von DNS-Resolvern am entsprechenden Edge-Standort erhalten hat. Jeder Protokolleintrag enthält die folgenden Werte:

**version**  
Die Versionsnummer dieses Abfrageprotokolls. Die aktuelle Version ist `1.1`.  
Der Versions-Schlüsselwert enthält eine Haupt- und eine Nebenversion im Format **major\$1version.minor\$1version**.. Sie können beispielsweise ein `version`-Wert`1.7`, wobei `1 ` die Hauptversion ist, und `7` die Nebenversion.  
Die Hauptversion wird erhöht, wenn Route 53 eine Änderung an der Ereignisstruktur vornimmt, die nicht abwärtskompatibel ist. Dies beinhaltet das Entfernen eines JSON-Feldes, das bereits vorhanden ist, oder das Ändern, wie die Inhalte eines Feldes dargestellt werden (Beispiel: ein Datumsformat).  
 Route 53 erhöht die Nebenversion, wenn eine Änderung der Protokolldatei neue Felder hinzufügt. Dies kann auftreten, wenn neue Informationen für einige oder alle vorhandenen DNS-Abfragen innerhalb einer VPC verfügbar sind. 

**account\$1id**  
Die ID des AWS Kontos, das die VPC erstellt hat.

**Region**  
Die AWS Region, in der Sie die VPC erstellt haben.

**vpc\$1id**  
Die ID der VPC, in der die Abfrage stammt.

**query\$1timestamp**  
Das Datum und die Uhrzeit, an dem/zu der auf die Anforderung geantwortet hat; im ISO 8601-Format und in koordinierter Weltzeit (Coordinated Universal Time, UTC), z. B. `2017-03-16T19:20:177Z`.   
Informationen zum ISO 8601-Format finden Sie im Wikipedia-Artikel [ISO 8601](https://en.wikipedia.org/wiki/ISO_8601). Informationen zu UTC finden Sie im Wikipedia-Artikel [Coordinated Universal Time](https://en.wikipedia.org/wiki/Coordinated_Universal_Time).

**query\$1name**  
Der Domainnamen (example.com) oder Subdomainname (www.example.com), der in der Abfrage angegeben wurde.

**query\$1type**  
Entweder der DNS-Datensatztyp, der in der Anfrage angegeben wurde, oder `ANY`. Informationen zu den von Route 53 unterstützten Typen finden Sie unter [Unterstützte DNS-Datensatztypen](ResourceRecordTypes.md).

**query\$1class**  
Die ID der Abfrage.

**rcode**  
Der DNS-Antwortcode, den VPC Resolver als Antwort auf die DNS-Anfrage zurückgegeben hat. Ein Code, der angibt, ob die Abfrage gültig war oder nicht. Der gängigste Antwortcode ist `NOERROR` und bedeutet, dass die Abfrage gültig war. Wenn die Antwort nicht gültig ist, gibt Resolver einen Antwortcode mit Erklärung aus. Eine Liste möglicher Antwortcodes finden Sie unter [DNS RCODEs](https://www.iana.org/assignments/dns-parameters/dns-parameters.xhtml#dns-parameters-6) auf der IANA-Website.

**Antwort\$1Typ**  
Der DNS-Eintragstyp (z. B. A, MX oder CNAME) des Werts, den VPC Resolver als Antwort auf die Abfrage zurückgibt. Informationen zu den von Route 53 unterstützten Typen finden Sie unter [Unterstützte DNS-Datensatztypen](ResourceRecordTypes.md).

**rdata**  
Der Wert, den VPC Resolver als Antwort auf die Abfrage zurückgegeben hat. Für einen A-Datensatz ist dies beispielsweise eine IP-Adresse im IPv4 Format. Für einen CNAME-Datensatz ist dies der Domainname im CNAME-Datensatz. 

**Antwort\$1Klasse**  
Die Klasse der VPC-Resolver-Antwort auf die Abfrage.

**srcaddr**  
IP-Adresse des Hosts, von dem die Anfrage stammt. 

**srcport**  
Der Port auf der Instance, von der die Abfrage stammt.

**Transport**  
Das Protokoll, das zum Senden der DNS-Abfrage verwendet wird.

**srcids**  
IDs von dem`instance`, und dem`resolver_endpoint`, von dem `resolver_network_interface` die DNS-Abfrage stammt oder über die die DNS-Anfrage weitergeleitet wurde.

**Instance**  
Die ID der Instance, von der die Abfrage stammt.  
 Wenn Sie in den Route 53 VPC Resolver-Abfrageprotokollen eine Instance-ID sehen, die in Ihrem Konto nicht sichtbar ist, kann das daran liegen, dass die DNS-Abfrage entweder AWS CloudShell von der Amazon EKS- oder der Fargate-Konsole stammt, die von Ihnen verwendet wurde. AWS Lambda

**resolver\$1endpoint**  
Die ID des Auflösungsendpunkts, der die DNS-Abfrage an On-Premises-DNS-Server weiterleitet.  
Wenn Sie CNAME-Einträge haben, die über verschiedene Weiterleitungsregeln mit unterschiedlichen Resolver-Endpunkten verknüpft sind, zeigen Abfrageprotokolle nur die ID des letzten Resolver-Endpunkts an, der in der Kette verwendet wurde. Um den gesamten Auflösungspfad über mehrere Endpunkte hinweg nachzuverfolgen, können Sie die Protokolle verschiedener Konfigurationen der Abfrageprotokollierung korrelieren.

**firewall\$1rule\$1group\$1id**  
Die ID des DNS-Firewall-Regelgruppe, die dem Domainnamen in der Abfrage entspricht. Diese Option wird nur aufgefüllt, wenn die DNS-Firewall eine Übereinstimmung für eine Regel gefunden hat, deren Aktion auf Warnung oder Blockierung festgelegt ist.  
Weitere Informationen zu Firewll-Regelgruppen finden Sie in der [DNS-Firewall-Regelgruppen und -Regeln](resolver-dns-firewall-rule-groups.md).

**firewall\$1rule\$1action**  
Die Aktion, die von der Regel angegeben wurde, die dem Domainnamen in der Abfrage entspricht. Diese Option wird nur aufgefüllt, wenn die DNS-Firewall eine Übereinstimmung für eine Regel gefunden hat, deren Aktion auf Warnung oder Blockierung festgelegt ist.

**Firewall\$1domain\$1list\$1id**  
Die Domainliste, die von der Regel verwendet wurde, die dem Domainnamen in der Abfrage entspricht. Diese Option wird nur aufgefüllt, wenn die DNS-Firewall eine Übereinstimmung für eine Regel gefunden hat, deren Aktion auf Warnung oder Blockierung festgelegt ist.

**additional\$1properties**  
Zusätzliche Informationen zu den Protokollübermittlungsereignissen. **is\$1delayed**: Wenn es zu einer Verzögerung bei der Übermittlung der Protokolle kommt.

# Beispiel für das Route 53 VPC Resolver-Abfrageprotokoll
<a name="resolver-query-logs-example-json"></a>

Hier ist ein Beispiel für ein Resolver-Abfrageprotokoll:

```
          
      {
        "srcaddr": "4.5.64.102",
        "vpc_id": "vpc-7example",
        "answers": [
            {
                "Rdata": "203.0.113.9",
                "Type": "PTR",
                "Class": "IN"
            }
        ],
        "firewall_rule_group_id": "rslvr-frg-01234567890abcdef",
        "firewall_rule_action": "BLOCK",
        "query_name": "15.3.4.32.in-addr.arpa.",
        "firewall_domain_list_id": "rslvr-fdl-01234567890abcdef",
        "query_class": "IN",
        "srcids": {
            "instance": "i-0d15cd0d3example"
        },
        "rcode": "NOERROR",
        "query_type": "PTR",
        "transport": "UDP",
        "version": "1.100000",
        "account_id": "111122223333",
        "srcport": "56067",
        "query_timestamp": "2021-02-04T17:51:55Z",
        "region": "us-east-1"
    }
```

# Konfiguration der Resolver-Abfrageprotokollierung mit anderen Konten teilen AWS
<a name="query-logging-configurations-managing-sharing"></a>

Sie können die Konfigurationen für die Abfrageprotokollierung, die Sie mit einem AWS Konto erstellt haben, mit anderen AWS Konten teilen. Um Konfigurationen gemeinsam zu nutzen, ist die Route 53 VPC Resolver-Konsole in AWS Resource Access Manager integriert. Weitere Informationen zu Resource Access Manager finden Sie im [Benutzerhandbuch zu Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).

Beachten Sie Folgendes:

**Zuordnen zu gemeinsam genutzten Konfigurationen für die VPCs Abfrageprotokollierung**  
Wenn ein anderes AWS Konto eine oder mehrere Konfigurationen mit Ihrem Konto gemeinsam genutzt hat, können Sie sie auf dieselbe Weise VPCs mit der Konfiguration verknüpfen, wie Sie sie VPCs mit Konfigurationen verknüpfen, die Sie erstellt haben.

**Löschen oder Aufheben der Freigabe einer Konfiguration**  
Wenn Sie eine Konfiguration mit anderen Konten teilen und dann entweder die Konfiguration löschen oder die gemeinsame Nutzung beenden und wenn eine oder mehrere mit der Konfiguration verknüpft VPCs waren, beendet Route 53 VPC Resolver die Protokollierung von DNS-Abfragen, die ihren Ursprung in diesen Konten haben. VPCs

**Maximale Anzahl von Konfigurationen für die Abfrageprotokollierung VPCs , die einer Konfiguration zugeordnet werden können**  
Wenn ein Konto eine Konfiguration erstellt und sie mit einem oder mehreren anderen Konten gemeinsam nutzt, wird die maximale Anzahl davon VPCs , die der Konfiguration zugeordnet werden kann, pro Konto angewendet. Wenn Sie beispielsweise 10.000 Konten in Ihrer Organisation haben, können Sie die Konfiguration für die Abfrageprotokollierung im zentralen Konto erstellen und sie über teilen, AWS RAM um sie für die Organisationskonten freizugeben. Die Organisationskonten verknüpfen die Konfiguration dann damit, dass sie sie VPCs anhand der VPC-Zuordnungen für die Abfrageprotokollkonfiguration ihres Kontos pro AWS-Region Limit von 100 zählen. Wenn sich jedoch alle in einem einzigen Konto VPCs befinden, müssen die Dienstlimits des Kontos möglicherweise erhöht werden.  
Aktuelle VPC-Resolver-Kontingente finden Sie unter. [Kontingente auf Route 53 VPC Resolver](DNSLimitations.md#limits-api-entities-resolver)

**Berechtigungen**  
Um eine Regel mit einem anderen AWS Konto zu teilen, benötigen Sie die Berechtigung, die [PutResolverQueryLogConfigPolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutResolverQueryLogConfigPolicy.html)Aktion zu verwenden.

**Einschränkungen für das AWS Konto, mit dem eine Regel geteilt wird**  
Das Konto, für das eine Regel freigegeben werden, kann die Regel nicht ändern oder löschen. 

**Tagging**  
Nur das Konto, das eine Regel erstellt hat, kann Tags zu dieser hinzufügen, löschen oder anzeigen.

Führen Sie die folgenden Schritte aus, um den aktuellen Freigabestatus einer Regel (einschließlich des Kontos, das die Regel freigegeben hat, oder des Kontos, für das eine Regel freigegeben wurde) anzuzeigen und um Regeln für ein anderes Konto freizugeben.<a name="resolver-rules-managing-sharing-procedure"></a>

**Um den Freigabestatus anzuzeigen und Konfigurationen für die Abfrageprotokollierung mit einem anderen AWS Konto zu teilen**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Wählen Sie im Navigationsbereich die Option **Query Editor (Abfrage-Editor)** aus.

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie die Regel erstellt haben.

   Die Spalte **Sharing status (Freigabestatus)** zeigt den aktuellen Freigabestatus der Regeln, die von dem aktuellen Konto erstellt wurden oder die für das aktuelle Konto freigegeben wurden:
   + **Nicht geteilt**: Das aktuelle AWS Konto hat die Regel erstellt, und die Regel wird nicht mit anderen Konten geteilt.
   + **Shared by me (Von mir freigegeben)**: Das aktuelle Konto hat die Regel erstellt und für ein oder mehrere Konten freigegeben.
   + **Shared with me (Für mich freigegeben)**: Ein anderes Konto hat die Regel erstellt und für das aktuelle Konto freigegeben.

1. Wählen Sie den Namen der Regel, für die Sie Freigabeinformationen anzeigen möchten oder die Sie für ein anderes Konto freigeben möchten.

   Auf der *rule name* Seite **Regel:** zeigt der Wert unter **Besitzer** die ID des Kontos an, mit dem die Regel erstellt wurde. Dies ist das aktuelle Konto, sofern der Wert unter **Sharing Status (Freigabestatus)** nicht **Shared with me (Für mich freigegeben)** lautet. In diesem Fall handelt es sich bei **Owner (Eigentümer)** um das Konto, das die Regel erstellt und für das aktuelle Konto freigegeben hat.

   Der Freigabestatus wird ebenfalls angezeigt.

1. Wählen Sie **Konfiguration teilen**, um die AWS RAM Konsole zu öffnen

1. Um eine Ressourcenfreigabe zu erstellen, folgen Sie den Schritten [unter Erstellen einer Ressourcenfreigabe AWS RAM im AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) *Benutzerhandbuch*.
**Anmerkung**  
Sie können keine Freigabeeinstellungen aktualisieren. Wenn Sie eine der folgenden Einstellungen ändern möchten, müssen Sie eine Regel mit den neuen Einstellungen freigeben und die alten Freigabeeinstellungen anschließend entfernen.

# Überwachung von Domainregistrierungen
<a name="monitoring-domain-registrations"></a>

Das Amazon Route 53-Dashboard liefert detaillierte Informationen über den Status Ihrer Domainregistrierungen, einschließlich der folgenden:
+ Status neuer Domainregistrierungen
+ Status von Domainübertragungen in Route 53
+ Liste der Domains, die kurz vor dem Ablaufdatum stehen

Wir empfehlen, dass Sie regelmäßig das Dashboard in der Route 53-Konsole überprüfen, vor allem nach der Registrierung einer neuen Domain oder der Übertragung einer Domain in Route 53, um zu bestätigen, dass es keine Probleme gibt. 

Außerdem sollten Sie überprüfen, ob die Kontaktinformationen für Ihre Domains auf dem neuesten Stand sind. Wenn das Ablaufdatum für eine Domain naht, senden wir eine E-Mail an den Kontakt für die Domain mit Informationen darüber, wann die Domain abläuft und wie sie verlängert werden kann.

# Überwachen Sie Ihre Ressourcen mit Amazon Route 53 Health Checks und Amazon CloudWatch
<a name="monitoring-cloudwatch"></a>

Sie können Ihre Ressourcen überwachen, indem Sie Amazon Route 53-Zustandsprüfungen erstellen, mit denen Rohdaten gesammelt und CloudWatch zu lesbaren Metriken nahezu in Echtzeit verarbeitet werden. Diese Statistiken werden für einen Zeitraum von zwei Wochen aufgezeichnet, damit Sie auf Verlaufsinformationen zugreifen können und einen besseren Überblick darüber erhalten, wie Ihre Ressourcen ausgeführt werden. Standardmäßig werden Metrikdaten für Route 53-Zustandsprüfungen automatisch in Intervallen von einer CloudWatch Minute gesendet.

Weitere Informationen zu Route 53-Zustandsprüfungen finden Sie unter [Überwachung von Zustandsprüfungen mit CloudWatch](monitoring-health-checks.md). Weitere Informationen zu CloudWatch finden Sie unter [Was ist Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) im * CloudWatch Amazon-Benutzerhandbuch*.

## Metriken und Dimensionen für Route 53-Zustandsprüfungen
<a name="metrics_dimensions_health_checks"></a>

Wenn Sie eine Zustandsprüfung erstellen, beginnt Amazon Route 53, einmal pro Minute Metriken und Dimensionen an CloudWatch etwa die von Ihnen angegebene Ressource zu senden. In der Route 53-Konsole können Sie den Status Ihrer Zustandsprüfungen anzeigen. Sie können auch die folgenden Verfahren verwenden, um die Metriken in der CloudWatch Konsole oder mithilfe von AWS Command Line Interface (AWS CLI) anzuzeigen.

**So zeigen Sie Metriken mit der CloudWatch Konsole an**

1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Wählen Sie im Navigationsbereich **Metriken** aus.

1. Klicken Sie auf der Registerkarte **All Metrics** auf **Route 53**.

1. Wählen Sie **Health Check Metrics**.

**Um Metriken mit dem anzuzeigen AWS CLI**
+ Geben Sie in einer Eingabeaufforderung den folgenden Befehl ein:

  ```
  1. aws cloudwatch list-metrics --namespace "AWS/Route53"
  ```

**Topics**
+ [CloudWatch Metriken für Route 53-Zustandsprüfungen](#cloudwatch-metrics)
+ [Dimensionen für Route 53-Metriken für Zustandsprüfungen](#cloudwatch-dimensions-route-53-metrics)

### CloudWatch Metriken für Route 53-Zustandsprüfungen
<a name="cloudwatch-metrics"></a>

Der Namespace `AWS/Route53` enthält die folgenden Metriken zu Route 53-Zustandsprüfungen.

**ChildHealthCheckHealthyCount**  
Zur Berechnung einer Zustandsprüfung, die Anzahl der fehlerfreien Zustandsprüfungen.  
Gültige Statistiken: Durchschnitt (empfohlen), Minimum, Maximum  
Einheiten: Anzahl

**ConnectionTime**  
Die Durchschnittszeit in Millisekunden, die die Route 53-Zustandsprüfungen benötigten, um eine TCP-Verbindung mit dem Endpunkt herzustellen. Sie können `ConnectionTime` für eine Zustandsprüfung für die gesamten Regionen oder für eine ausgewählte geografische Region angezeigt bekommen.  
Gültige Statistiken: Durchschnitt (empfohlen), Minimum, Maximum  
Einheiten: Millisekunden

**HealthCheckPercentageHealthy**  
Die Prozentzahl von Route 53-Zustandsprüfungen, die den ausgewählten Endpunkt als fehlerfrei betrachten.  
Gültige Statistiken: Durchschnitt, Minimum, Maximum  
Einheiten: Prozent

**HealthCheckStatus**  
Der Status des Endpunkts für die Integritätsprüfung, der CloudWatch die Prüfung durchführt. **1** steht für gesund und **0** für ungesund.   
Gültige Statistiken: Minimum, Durchschnitt und Maximum  
Einheiten: keine

**SSLHandshakeZeit**  
Die Durchschnittszeit in Millisekunden, die die Route 53-Zustandsprüfungen benötigten, um den SSL-Handshake abzuschließen. Sie können `SSLHandshakeTime` für eine Zustandsprüfung für die gesamten Regionen oder für eine ausgewählte geografische Region angezeigt bekommen.  
Gültige Statistiken: Durchschnitt (empfohlen), Minimum, Maximum  
Einheiten: Millisekunden

**TimeToFirstByte**  
Die Durchschnittszeit in Millisekunden, bis die Route 53-Zustandsprüfungen die ersten Byte von einer Antwort auf eine HTTP- oder HTTPS-Anforderung erhalten haben. Sie können `TimeToFirstByte` für eine Zustandsprüfung für die gesamten Regionen oder für eine ausgewählte geografische Region angezeigt bekommen.  
Gültige Statistiken: Durchschnitt (empfohlen), Minimum, Maximum  
Einheiten: Millisekunden

### Dimensionen für Route 53-Metriken für Zustandsprüfungen
<a name="cloudwatch-dimensions-route-53-metrics"></a>

Route 53-Metriken für Zustandsprüfungen verwenden den Namespace `AWS/Route53` und stellen Metriken für `HealthCheckId` bereit. Wenn Sie Metriken abrufen, müssen Sie die Dimension `HealthCheckId` angeben.

Für `ConnectionTime`, `SSLHandshakeTime` und `TimeToFirstByte` können Sie optional `Region` hinzufügen. Wenn Sie den Wert weglassen`Region`, werden Kennzahlen für alle Regionen CloudWatch zurückgegeben. Wenn Sie angeben`Region`, werden nur Kennzahlen für die angegebene Region CloudWatch zurückgegeben.

Weitere Informationen finden Sie unter [Überwachung von Zustandsprüfungen mit CloudWatch](monitoring-health-checks.md).

# Überwachung von Hosting-Zonen mit Amazon CloudWatch
<a name="monitoring-hosted-zones-with-cloudwatch"></a>

Sie können Ihre öffentlich gehosteten Zonen überwachen, indem Sie Amazon verwenden CloudWatch , um Rohdaten zu sammeln und zu lesbaren Metriken fast in Echtzeit zu verarbeiten. Metriken sind verfügbar, kurz nachdem Route 53 die DNS-Abfragen empfangen hat, auf denen die Metriken basieren. CloudWatch Metrikdaten für von Route 53 gehostete Zonen haben eine Granularität von einer Minute.

Weitere Informationen finden Sie in der folgenden Dokumentation
+ Eine Übersicht und Informationen zum Anzeigen von Metriken in der CloudWatch Amazon-Konsole und zum Abrufen von Metriken mithilfe von AWS Command Line Interface (AWS CLI) finden Sie unter [Anzeigen von DNS-Abfragemetriken für eine öffentliche gehostete Zone](hosted-zone-public-viewing-query-metrics.md)
+ Informationen zur Aufbewahrungsfrist für Metriken finden Sie [GetMetricStatistics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html)in der *Amazon CloudWatch API-Referenz*.
+ Weitere Informationen zu CloudWatch finden Sie unter [Was ist Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) im * CloudWatch Amazon-Benutzerhandbuch*.
+ Weitere Informationen zu CloudWatch Metriken finden Sie unter [Verwenden von CloudWatch Amazon-Metriken](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) im * CloudWatch Amazon-Benutzerhandbuch*.

**Topics**
+ [CloudWatch Metriken für öffentlich gehostete Route 53-Zonen](#cloudwatch-metrics-route-53-hosted-zones)
+ [CloudWatch Dimension für Metriken der öffentlich gehosteten Zone von Route 53](#cloudwatch-dimensions-route-53-hosted-zones)

## CloudWatch Metriken für öffentlich gehostete Route 53-Zonen
<a name="cloudwatch-metrics-route-53-hosted-zones"></a>

Der `AWS/Route53`-Namespace enthält die folgenden Metriken für gehostete Route-53-Zonen:

**DNSQueries**  
In einer gehosteten Zone die Anzahl der DNS-Abfragen, die Route 53 in einem angegebenen Zeitraum beantwortet.  
Gültige Statistiken: Summe, SampleCount  
Einheiten: Anzahl  
Region: Route 53 ist ein globaler Service. Um Metriken für gehostete Zonen abzurufen, müssen Sie als Region USA Ost (Nord-Virginia) angeben. 

**DNSSECInternalFehlschlag**  
Der Wert ist 1, wenn ein Objekt in der gehosteten Zonein INTERNAL\$1FAILUREZustand. Andernfalls lautet der Wert 0.  
Gültige Statistiken: Summe  
Einheiten: Anzahl  
Volumen: 1 pro 4 Stunden und gehosteter Zone  
Region: Route 53 ist ein globaler Service. Um Metriken für gehostete Zonen abzurufen, müssen Sie als Region USA Ost (Nord-Virginia) angeben.

**DNSSECKeySigningKeysNeedingAction**  
Anzahl der Schlüssel zur Schlüsselsignatur (KSKs), die den Status ACTION\$1NEEDED haben (aufgrund eines KMS-Fehlers).  
Gültige Statistiken: Summe, SampleCount  
Einheiten: Anzahl  
Volumen: 1 pro 4 Stunden und gehosteter Zone  
Region: Route 53 ist ein globaler Service. Um Metriken für gehostete Zonen abzurufen, müssen Sie als Region USA Ost (Nord-Virginia) angeben. 

**DNSSECKeySigningKeyMaxNeedingActionAge**  
Die Zeit ist verstrichen, seit der Schlüsselsignierschlüssel (KSK) auf den Status ACTION\$1NEEDED gesetzt wurde.  
Gültige Statistiken: Maximum  
Einheiten: Sekunden  
Volumen: 1 pro 4 Stunden und gehosteter Zone  
Region: Route 53 ist ein globaler Service. Um Metriken für gehostete Zonen abzurufen, müssen Sie als Region USA Ost (Nord-Virginia) angeben. 

**DNSSECKeySigningKeyAge**  
Die Zeit, die seit der Erstellung des Schlüsselsignierschlüssels (KSK) verstrichen ist (nicht seit der Aktivierung).  
Gültige Statistiken: Maximum  
Einheiten: Sekunden  
Volumen: 1 pro 4 Stunden und gehosteter Zone  
Region: Route 53 ist ein globaler Service. Um Metriken für gehostete Zonen abzurufen, müssen Sie als Region USA Ost (Nord-Virginia) angeben. 

## CloudWatch Dimension für Metriken der öffentlich gehosteten Zone von Route 53
<a name="cloudwatch-dimensions-route-53-hosted-zones"></a>

Route 53-Metriken für gehostete Zonen verwenden den `AWS/Route53`-Namespace und stellen Metriken für `HostedZoneId` bereit. Um die Anzahl der DNS-Abfragen zu erhalten, müssen Sie die ID der gehosteten Zone in der Dimension `HostedZoneId` angeben.

# Überwachung von Route 53 VPC Resolver-Endpunkten mit Amazon CloudWatch
<a name="monitoring-resolver-with-cloudwatch"></a>

Sie können Amazon verwenden CloudWatch , um die Anzahl der DNS-Abfragen zu überwachen, die von Route 53 VPC Resolver-Endpunkten weitergeleitet werden. Amazon CloudWatch sammelt und verarbeitet Rohdaten zu lesbaren Kennzahlen, die nahezu in Echtzeit verfügbar sind. Diese Statistiken werden für einen Zeitraum von zwei Wochen aufgezeichnet, damit Sie auf Verlaufsinformationen zugreifen können und einen besseren Überblick darüber erhalten, wie Ihre Ressourcen ausgeführt werden. Standardmäßig werden Metrikdaten für Resolver-Endpunkte automatisch in Intervallen von fünf Minuten CloudWatch gesendet. Das Fünf-Minuten-Intervall ist auch das kleinste Intervall, in dem die Metrikdaten gesendet werden können.

Weitere Informationen zu VPC Resolver finden Sie unter. [Was ist Route 53 VPC Resolver?](resolver.md) Weitere Informationen zu CloudWatch finden Sie unter [Was ist Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) im * CloudWatch Amazon-Benutzerhandbuch*.

## Metriken und Dimensionen für Route 53 VPC Resolver
<a name="metrics-dimensions-resolver"></a>

Wenn Sie VPC Resolver so konfigurieren, dass DNS-Abfragen an Ihr Netzwerk weitergeleitet werden oder umgekehrt, beginnt VPC Resolver, alle fünf Minuten [Metriken](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-resolver-with-cloudwatch.html#cloudwatch-metrics-resolver) und [Dimensionen](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-resolver-with-cloudwatch.html#cloudwatch-dimensions-resolver) zu senden, CloudWatch was ungefähr der Anzahl der weitergeleiteten Abfragen entspricht. Sie können die folgenden Verfahren verwenden, um die Metriken in der CloudWatch Konsole oder mithilfe von () anzuzeigen. AWS Command Line Interface AWS CLI

**So zeigen Sie VPC-Resolver-Metriken mit der Konsole an CloudWatch**

1. Öffnen Sie die CloudWatch Konsole unter. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)

1. Wählen Sie in der Navigationsleiste die Region, in der Sie den Endpunkt erstellt haben.

1. Wählen Sie im Navigationsbereich **Metriken** aus.

1. Wählen Sie auf der Registerkarte **All metrics (Alle Metriken)** die Option **Route 53 Resolver**.

1. Wählen Sie **By Endpoint (Nach Endpunkt)**, um die Anzahl der Abfragen für einen bestimmten Endpunkt anzuzeigen. Wählen Sie dann die Endpunkte aus, für die Sie die Anzahl der Abfragen anzeigen möchten. 

   Wählen Sie **Across All Endpoints**, um die Anzahl der Abfragen für alle eingehenden Endpunkte oder für alle ausgehenden Endpunkte anzuzeigen, die vom aktuellen Konto erstellt wurden. AWS Wählen Sie dann **InboundQueryVolume**oder, um die gewünschten Zählungen **OutboundQueryVolume**anzuzeigen.

**Um Metriken anzuzeigen, verwenden Sie AWS CLI**
+ Geben Sie in einer Eingabeaufforderung den folgenden Befehl ein:

  ```
  1. aws cloudwatch list-metrics --namespace "AWS/Route53Resolver"
  ```

**Topics**
+ [CloudWatch Grundlegende Metriken für Route 53 VPC Resolver](#cloudwatch-metrics-resolver)
+ [CloudWatch Detaillierte Metriken für Route 53 VPC Resolver](#cloudwatch-detailed-metrics-resolver)
+ [Dimensionen für Route 53 VPC Resolver-Metriken](#cloudwatch-dimensions-resolver)

### CloudWatch Grundlegende Metriken für Route 53 VPC Resolver
<a name="cloudwatch-metrics-resolver"></a>

`AWS/Route53Resolver`Der Namespace enthält kostenlos grundlegende Metriken für Route 53 53-VPC-Resolver-Endpunkte und für IP-Adressen.

**Topics**
+ [Metriken für Route 53 VPC Resolver-Endpunkte](#cloudwatch-metrics-resolver-endpoint)
+ [Metriken für Route 53 VPC Resolver-IP-Adressen](#cloudwatch-metrics-resolver-ip-address)

#### Metriken für Route 53 VPC Resolver-Endpunkte
<a name="cloudwatch-metrics-resolver-endpoint"></a>

Der `AWS/Route53Resolver` Namespace umfasst die folgenden Metriken für Route 53 VPC Resolver-Endpunkte.

**EndpointHealthyENICount**  
 Die Anzahl der Elastic Network-Schnittstellen im `OPERATIONAL`-Status. Die Amazon VPC-Netzwerkschnittstellen für diesen Endpunkt (spezifiziert von `EndpointId`) sind ordnungsgemäß konfiguriert und können eingehende oder ausgehende DNS-Abfragen zwischen Ihrem Netzwerk und Resolver weitergeben.  
Gültige Statistiken: Minimum, Maximum, Durchschnitt  
Einheiten: Anzahl

**EndpointUnhealthyENICount**  
 Die Anzahl der Elastic Network-Schnittstellen im `AUTO_RECOVERING`-Status.  
Dies bedeutet, dass der Resolver versucht, eine oder mehrere der Amazon VPC Netzwerkschnittstellen wiederherzustellen, die dem Endpunkt zugeordnet sind (angegeben durch `EndpointId`). Während des Wiederherstellungsprozesses funktioniert der Endpunkt mit begrenzter Kapazität und kann keine DNS-Abfragen verarbeiten, bis er vollständig wiederhergestellt ist.  
Gültige Statistiken: Minimum, Maximum, Durchschnitt  
Einheiten: Anzahl

**InboundQueryVolume**  
Für eingehende Endpunkte die Anzahl der DNS-Abfragen, die von Ihrem Netzwerk VPCs über den von angegebenen Endpunkt an Sie weitergeleitet wurden. `EndpointId`  
Gültige Statistiken: Summe  
Einheiten: Anzahl

**OutboundQueryVolume**  
Bei ausgehenden Endpunkten die Anzahl der DNS-Anfragen, die von Ihrem an Ihr Netzwerk über VPCs den von angegebenen Endpunkt weitergeleitet wurden. `EndpointId`  
Gültige Statistiken: Summe  
Einheiten: Anzahl

**OutboundQueryAggregateVolume**  
Für ausgehende Endpunkte die Gesamtzahl der DNS-Anfragen, die von Amazon VPCs an Ihr Netzwerk weitergeleitet wurden, einschließlich der folgenden:  
+ Die Anzahl der DNS-Anfragen, die von Ihrem VPCs an Ihr Netzwerk über den von angegebenen Endpunkt weitergeleitet wurden. `EndpointId`
+ Wenn das aktuelle Konto die Resolver-Regeln mit anderen Konten teilt, werden Abfragen von VPCs diesem Konto von anderen Konten erstellt, die über den von `EndpointId` angegebenen Endpunkt an Ihr Netzwerk weitergeleitet werden. 
Gültige Statistiken: Summe  
Einheiten: Anzahl

**ResolverEndpointCapacityStatus**  
Der Kapazitätsstatus des Resolver-Endpunkts. Die Metrik gibt den aktuellen Kapazitätsauslastungsstatus an, wobei: 0 = OK (normale Betriebskapazität), 1 = Warnung (mindestens eine Elastic Network-Schnittstelle überschreitet die Kapazitätsauslastung von 50%) und 2 = Kritisch (mindestens eine elastic network interface überschreitet die Kapazitätsauslastung von 75%).  
Der Kapazitätsstatus wird durch mehrere Faktoren bestimmt, darunter Abfragevolumen, Abfragelatenz, DNS-Protokolle, DNS-Paketgröße und Verbindungsverfolgungsstatus.  
Gültige Statistiken: Maximum  
Einheiten: keine

**Bewährte Methoden für das Kapazitätsmanagement von VPC Resolver Endpoints**  
Um Kapazitätsprobleme zu beheben, empfehlen wir generell, die Anzahl der Elastic Network-Schnittstellen für Ihren Resolver-Endpunkt zu erhöhen. Es gibt jedoch wichtige Überlegungen zu bestimmten Endpunkttypen:

Bei **eingehenden Endpunkten** hängt der Lastenausgleich des Datenverkehrs vom Kunden ab. Daher können Kapazitätswarnungen oder kritische Warnmeldungen auf einen „Hotspot“ hinweisen, an dem eine Untergruppe von Elastic Network-Schnittstellen überproportional genutzt wird.
+ Um potenzielle Probleme mit dem Lastenausgleich zu identifizieren, sollten Sie die [InboundQueryVolume](#cloudwatch-metrics-resolver-ip-address)Metriken für jede elastic network interface einzeln untersuchen.

Bei **ausgehenden Endpunkten** wird der Datenverkehr automatisch über elastische Netzwerkschnittstellen verteilt. Kapazitätsprobleme können auf Probleme mit dem Ziel-Name-Server zurückzuführen sein oder darauf, dass Timeout-Abfragen mit hoher Latenz die Resolver-Netzwerkschnittstellen überfordern.
+ In diesen Fällen ist es möglicherweise nicht effektiv, einfach die Elastic Network-Schnittstellen zu erhöhen, und wir empfehlen, den Ziel-Name-Server zu reparieren.

#### Metriken für Route 53 VPC Resolver-IP-Adressen
<a name="cloudwatch-metrics-resolver-ip-address"></a>

Der `AWS/Route53Resolver`-Namespace umfasst die folgenden Metriken für jede IP-Adresse, die einem Resolver-Eingangs- oder -Ausgangsendpunkt zugeordnet ist. (Wenn Sie einen Endpunkt angeben, erstellt VPC Resolver eine Amazon VPC [elastic network](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) interface.)

**InboundQueryVolume**  
Für jede IP-Adresse für Ihre eingehenden Endpunkte die Anzahl der DNS-Abfragen, die von Ihrem Netzwerk an die angegebene IP-Adresse weitergeleitet werden. Jede IP-Adresse wird durch die IP-Adress-ID identifiziert. Sie können diesen Wert über die Route 53-Konsole abrufen. Auf der Seite für den betreffenden Endpunkt finden Sie im Abschnitt IP-Adressen die Spalte **IP-Adress-ID**. Sie können den Wert auch programmgesteuert abrufen, indem Sie [ListResolverEndpointIpAddresses](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_ListResolverEndpointIpAddresses.html)   
Gültige Statistiken: Summe  
Einheiten: Anzahl

**OutboundQueryAggregateVolume**  
Für jede IP-Adresse Ihrer ausgehenden Endpunkte die Gesamtzahl der DNS-Anfragen, die von Amazon VPCs an Ihr Netzwerk weitergeleitet wurden, einschließlich der folgenden:  
+ Die Anzahl der DNS-Anfragen, die unter Verwendung der angegebenen IP-Adresse von Ihrem VPCs an Ihr Netzwerk weitergeleitet wurden.
+ Wenn das aktuelle Konto die Resolver-Regeln mit anderen Konten teilt, werden Abfragen von VPCs diesem Konto von anderen Konten erstellt, die über die angegebene IP-Adresse an Ihr Netzwerk weitergeleitet werden. 
Jede IP-Adresse wird durch die IP-Adress-ID identifiziert. Sie können diesen Wert über die Route 53-Konsole abrufen. Auf der Seite für den betreffenden Endpunkt finden Sie im Abschnitt IP-Adressen die Spalte **IP-Adress-ID**. Sie können den Wert auch programmgesteuert abrufen, indem Sie [ListResolverEndpointIpAddresses](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_ListResolverEndpointIpAddresses.html)   
Gültige Statistiken: Summe  
Einheiten: Anzahl

### CloudWatch Detaillierte Metriken für Route 53 VPC Resolver
<a name="cloudwatch-detailed-metrics-resolver"></a>

Route 53 VPC Resolver bietet RNI Enhanced und Target Name Server Metrics als optionale Funktionen für Endgeräte. Diese Metriken werden in Intervallen von 1 Minute gesendet CloudWatch .

**Anmerkung**  
Detaillierte Metriken sind standardmäßig nicht aktiviert, können aber auf Endpunktebene aktiviert werden. Diese Metriken können beim Erstellen oder Aktualisieren von Endpunkten mithilfe der Flags und programmgesteuert aktiviert werden. RniEnhancedMetricsEnabled TargetNameServerMetricsEnabled Weitere Informationen erhalten Sie unter [CreateResolverEndpoint](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_CreateResolverEndpoint.html) und [UpdateResolverEndpoint](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_UpdateResolverEndpoint.html).
Für die Nutzung der detaillierten Metriken für den Route 53 Resolver-Endpunkt fallen CloudWatch Standardpreise und Gebühren an. Weitere Informationen finden Sie unter [ CloudWatch Amazon-Preise](https://aws.amazon.com/cloudwatch/pricing/).

**Topics**
+ [Verbesserte RNI-Metriken](#cloudwatch-detailed-metrics-resolver-endpoints-ip-addresses)
+ [Metriken für Ziel-Nameserver](#cloudwatch-detailed-metrics-resolver-endpoints-target-nameservers)

#### Verbesserte RNI-Metriken
<a name="cloudwatch-detailed-metrics-resolver-endpoints-ip-addresses"></a>

Route 53 Resolver veröffentlicht erweiterte RNI-Metriken an Amazon CloudWatch zur Überwachung der Leistung und des Zustands von Resolver-Endpunkten und Resolver-IP-Adressen. Der `AWS/Route53Resolver` Namespace umfasst die folgenden erweiterten RNI-Metriken für eingehende und ausgehende Route 53 Resolver-Endpunkte in der Dimension: `EndpointId` `RniId`

**P90 ResponseTime**  
Das 90. Perzentil der Antwortlatenz von DNS-Anfragen, die von der Resolver-IP (`RniId`) empfangen wurden, die dem Resolver-Endpunkt () zugeordnet ist `EndpointId`  
Gültige Statistiken: Maximum  
Einheiten: Mikrosekunden

**ServFailQueries**  
Anzahl der SERVFAIL-Antworten für DNS-Abfragen, die an die dem Resolver-Endpunkt () zugeordnete Resolver-IP () `RniId` gesendet wurden `EndpointId`  
Gültige Statistiken: Summe  
Einheiten: Anzahl

**NxDomainQueries**  
Anzahl der NXDOMAIN-Antworten für DNS-Abfragen, die an die Resolver-IP (`RniId`) gesendet wurden, die dem Resolver-Endpunkt () zugeordnet ist `EndpointId`  
Gültige Statistiken: Summe  
Einheiten: Anzahl

**RefusedQueries**  
Anzahl der REFUSED-Antworten für DNS-Anfragen, die an die dem Resolver-Endpunkt (`RniId`) zugeordnete Resolver-IP () gesendet wurden `EndpointId`  
Gültige Statistiken: Summe  
Einheiten: Anzahl

**FormErrorQueries**  
Anzahl der FORMERR-Antworten für DNS-Abfragen, die an die Resolver-IP (`RniId`) gesendet wurden, die dem Resolver-Endpunkt () zugeordnet ist `EndpointId`  
Gültige Statistiken: Summe  
Einheiten: Anzahl

**TimeoutQueries**  
Anzahl der Timeouts für DNS-Abfragen, die an die dem Resolver-Endpunkt (`RniId`) zugeordnete Resolver-IP () gesendet wurden `EndpointId`  
Gültige Statistiken: Summe  
Einheiten: Anzahl

#### Metriken für Ziel-Nameserver
<a name="cloudwatch-detailed-metrics-resolver-endpoints-target-nameservers"></a>

Route 53 Resolver veröffentlicht Ziel-Nameserver-Metriken an Amazon CloudWatch , um die Leistung und Verfügbarkeit von Ziel-Nameservern zu überwachen, die Resolver-Endpunkten zugeordnet sind. Der `AWS/Route53Resolver` Namespace umfasst die folgenden detaillierten Metriken für ausgehende Route 53-Resolver-Endpunkte in den Dimensionen: `EndpointID` `TargetNameServerIP`

**P90 ResponseTime**  
Die 90. Perzentil-Antwortlatenz der Ziel-Name-Server-IP (`TargetNameServerIP`) für DNS-Abfragen, die über den Resolver-Endpunkt () gesendet werden `EndpointID`  
Gültige Statistiken: Maximum  
Einheiten: Mikrosekunden

**RequestQueries**  
Anzahl der DNS-Abfragen, die über den Resolver-Endpunkt () an die Ziel-Name-Server-IP (`TargetNameServerIP`) gesendet wurden. `EndpointID`  
Gültige Statistiken: Summe  
Einheiten: Anzahl

**TimeoutQueries**  
Anzahl der DNS-Abfragen, die über den Resolver-Endpunkt (`EndpointID`) gesendet wurden und bei denen das Timeout an der Ziel-Nameserver-IP () überschritten wurde. `TargetNameServerIP`  
Gültige Statistiken: Summe  
Einheiten: Anzahl

**Anmerkung**  
In einigen Fällen können Lücken in den VPC Resolver-Metriken (ResolverEndpointCapacityStatus) und den erweiterten RNI-Metriken beobachtet werden. Diese Lücken können auftreten, wenn Ihre Netzwerkschnittstellen aufeinanderfolgend planmäßig gewartet oder aktualisiert werden. Nachdem wir eine Netzwerkschnittstelle wieder in Betrieb genommen haben, dauert es mindestens 1 Minute, bis unser Service Betriebsdaten erfasst und diese Kennzahlen veröffentlicht. Diese Lücken deuten nicht darauf hin, dass Ihr VPC Resolver-Endpunkt ausgefallen ist. Wenn Sie einen CloudWatch Alarm für diese Metriken konfigurieren, empfehlen wir Folgendes:  
Stellen Sie den Alarm auf „Fehlende Daten als ignoriert behandeln“ ein, oder
Konfigurieren Sie einen Evaluierungszeitraum von mehr als fünf Minuten für den Alarmschwellenwert.
Diese Einstellungen tragen dazu bei, Fehlalarme bei normalen Wartungsarbeiten zu reduzieren.

### Dimensionen für Route 53 VPC Resolver-Metriken
<a name="cloudwatch-dimensions-resolver"></a>

Route 53 VPC Resolver-Metriken für eingehende und ausgehende Endpoints verwenden den `AWS/Route53Resolver` Namespace und stellen Metriken für die folgenden Dimensionen bereit:
+ `EndpointId`: Wenn Sie einen Wert für die `EndpointId` Dimension angeben, wird die Anzahl der DNS-Abfragen für den angegebenen Endpunkt CloudWatch zurückgegeben. Wenn Sie keinen Wert angeben`EndpointId`, wird die Anzahl der DNS-Abfragen für alle Endpunkte CloudWatch zurückgegeben, die vom aktuellen AWS Konto erstellt wurden.
+ `RniId`Dimension wird für `OutboundQueryAggregateVolume` `InboundQueryVolume` Metriken unterstützt.
+ `EndpointId`, `RniId` Dimension wird für`P90ResponseTime`,,, `ServFailQueries` `NxDomainQueries` `RefusedQueries``FormErrorQueries`, und `TimeoutQueries` für die Resolver-IP-Adresse unterstützt, die dem Resolver-Endpunkt zugeordnet ist.
+ `EndpointID`, `TargetNameServerIP` Dimension wird für `P90ResponseTime``RequestQueries`, und `TimeoutQueries` für den Ziel-Name-Server unterstützt, der dem Resolver-Endpunkt zugeordnet ist.

# Überwachung von Resolver-DNS-Firewall-Regelgruppen mit Amazon CloudWatch
<a name="monitoring-resolver-dns-firewall-with-cloudwatch"></a>

Sie können Amazon verwenden CloudWatch , um die Anzahl der DNS-Abfragen zu überwachen, die von Resolver DNS Firewall-Regelgruppen gefiltert werden. Amazon CloudWatch sammelt und verarbeitet Rohdaten zu lesbaren Kennzahlen, die nahezu in Echtzeit verfügbar sind. Diese Statistiken werden für einen Zeitraum von zwei Wochen aufgezeichnet, damit Sie auf Verlaufsinformationen zugreifen können und einen besseren Überblick darüber erhalten, wie Ihre Ressourcen ausgeführt werden. Standardmäßig werden Metrikdaten für DNS-Firewall-Regelgruppen automatisch CloudWatch in Intervallen von fünf Minuten gesendet.

Weitere Informationen zu DNS Firewall finden Sie unter [Verwenden der DNS-Firewall zum Filtern von ausgehendem DNS-Verkehr](resolver-dns-firewall.md). Weitere Informationen zu CloudWatch finden Sie unter [Was ist Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) im * CloudWatch Amazon-Benutzerhandbuch*.

## Metriken und Dimensionen für die Resolver DNS Firewall
<a name="metrics-dimensions-resolver-dns-firewall"></a>

Wenn Sie einer VPC eine Resolver-DNS-Firewall-Regelgruppe zuordnen, um DNS-Abfragen zu filtern, beginnt die DNS-Firewall, alle 5 Minuten Metriken und Dimensionen an CloudWatch etwa die Abfragen zu senden, die sie filtert. Weitere Informationen zur Metrik und Dimension für DNS Firewall finden Sie unter [CloudWatch Metriken für Resolver DNS Firewall](#cloudwatch-metrics-resolver-dns-firewall). 

Sie können die folgenden Verfahren verwenden, um die Metriken in der CloudWatch Konsole oder mithilfe von AWS Command Line Interface ()AWS CLI anzuzeigen.

**So zeigen Sie DNS-Firewall-Metriken mit der CloudWatch Konsole an**

1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Wählen Sie auf der Navigationsleiste die Region aus, die Sie anzeigen möchten.

1. Wählen Sie im Navigationsbereich **Metriken** aus.

1. Wählen Sie auf der Registerkarte **Alle Metriken** die Option **Route 53 VPC Resolver** aus.

1. Wählen Sie eine Metrik aus, die Sie interessieren. 

**Um Metriken anzuzeigen, verwenden Sie AWS CLI**
+ Geben Sie in einer Eingabeaufforderung den folgenden Befehl ein:

  ```
  1. aws cloudwatch list-metrics --namespace "AWS/Route53Resolver"
  ```

**Topics**
+ [CloudWatch Metriken für Resolver DNS Firewall](#cloudwatch-metrics-resolver-dns-firewall)

### CloudWatch Metriken für Resolver DNS Firewall
<a name="cloudwatch-metrics-resolver-dns-firewall"></a>

Der `AWS/Route53Resolver` Namespace enthält Metriken für Resolver DNS-Firewall-Regelgruppen.

**Topics**
+ [Metriken für Resolver-DNS-Firewall-Regelgruppen](#cloudwatch-metrics-resolver-dns-firewall-rule-group)
+ [Metriken für VPCs](#cloudwatch-metrics-resolver-vpc)
+ [Metriken für Firewall-Regelgruppe und VPC Zuordnung](#cloudwatch-metrics-resolver-firewall-vpc)
+ [Metriken für eine Domainliste in einer Firewall-Regelgruppe](#cloudwatch-metrics-domain-list-firewall)

#### Metriken für Resolver-DNS-Firewall-Regelgruppen
<a name="cloudwatch-metrics-resolver-dns-firewall-rule-group"></a>

**FirewallRuleGroupQueryVolume**  
Die Anzahl der DNS-Firewall-Abfragen, die einer Firewall-Regelgruppe entsprechen (angegeben durch`FirewallRuleGroupId`) enthalten.  
Maße: `FirewallRuleGroupId`  
Gültige Statistiken: Summe  
Einheiten: Anzahl

#### Metriken für VPCs
<a name="cloudwatch-metrics-resolver-vpc"></a>

**VpcFirewallQueryVolume**  
Die Anzahl der DNS-Firewall-Abfragen von einer VPC (angegeben durch`VpcId`) enthalten.  
Maße: `VpcId`  
Gültige Statistiken: Summe  
Einheiten: Anzahl

#### Metriken für Firewall-Regelgruppe und VPC Zuordnung
<a name="cloudwatch-metrics-resolver-firewall-vpc"></a>

**FirewallRuleGroupVpcQueryVolume**  
Die Anzahl der DNS-Firewall-Abfragen von einer VPC (angegeben durch`VpcId`), die mit einer Firewall-Regelgruppe übereinstimmen (angegeben durch`FirewallRuleGroupId`) enthalten.  
Maße: `FirewallRuleGroupId, VpcId`  
Gültige Statistiken: Summe  
Einheiten: Anzahl

#### Metriken für eine Domainliste in einer Firewall-Regelgruppe
<a name="cloudwatch-metrics-domain-list-firewall"></a>

**FirewallRuleQueryVolume**  
Die Anzahl der DNS-Firewall-Abfragen, die einer Firewall-Domainliste entsprechen (angegeben durch`FirewallDomainListId`) innerhalb einer Firewall-Regelgruppe (angegeben durch `FirewallRuleGroupId`) enthalten.  
Maße: `FirewallRuleGroupId, FirewallDomainListId`  
Gültige Statistiken: Summe  
Einheiten: Anzahl

# Verwaltung von Resolver-DNS-Firewall-Ereignissen mithilfe von Amazon EventBridge
<a name="dns-firewall-eventbridge-integration"></a>

Amazon EventBridge ist ein serverloser Dienst, der Ereignisse verwendet, um Anwendungskomponenten miteinander zu verbinden, sodass Sie leichter skalierbare, ereignisgesteuerte Anwendungen erstellen können. Bei der ereignisgesteuerten Architektur werden lose gekoppelte Softwaresysteme entwickelt, die zusammenarbeiten, indem sie Ereignisse senden und darauf reagieren. Ereignisse stellen eine Veränderung in einer Ressource oder Umgebung dar. 

Wie bei vielen AWS Diensten generiert die DNS-Firewall Ereignisse und sendet sie an den EventBridge Standard-Ereignisbus. (Der Standard-Event-Bus wird automatisch in jedem AWS Konto bereitgestellt.) Ein Event Bus ist ein Router, der Ereignisse empfängt und sie an null oder mehr *Ziele* weiterleitet. Die Regeln, die Sie für den Event Bus festlegen, werten die Ereignisse aus, sobald sie eintreffen. Jede Regel prüft, ob ein Ereignis dem Ereignismuster *der Regel*entspricht. Wenn das Ereignis übereinstimmt, sendet der Event Bus das Ereignis an das/die angegebene(n) Ziel(e).

![\[AWS Dienste senden Ereignisse an den EventBridge Standard-Event-Bus. Wenn das Ereignis mit dem Ereignismuster einer Regel übereinstimmt, wird das Ereignis an die für diese Regel angegebenen Ziele EventBridge gesendet.\]](http://docs.aws.amazon.com/de_de/Route53/latest/DeveloperGuide/images/eventbridge-integration-how-it-works.png)


**Topics**
+ [Löst DNS-Firewall-Ereignisse auf](#supported-events)
+ [Senden von Resolver-DNS-Firewall-Ereignissen mithilfe von Regeln EventBridge](#eventbridge-using-events-rules)
+ [Amazon EventBridge Berechtigungen](#eventbridge-permissions)
+ [Zusätzliche EventBridge Ressourcen](#eventbridge-additonal-resources)
+ [Detailreferenz zu Resolver-DNS-Firewall-Ereignissen](events-detail-reference.md)

## Löst DNS-Firewall-Ereignisse auf
<a name="supported-events"></a>

VPC Resolver sendet DNS-Firewall-Ereignisse automatisch an den EventBridge Standardereignisbus. Sie können Regeln für den Event-Bus erstellen. Jede Regel umfasst ein Ereignismuster und ein oder mehrere Ziele. Ereignisse, die dem Ereignismuster einer Regel entsprechen, werden nach [bestem Wissen und Gewissen an die angegebenen Ziele übermittelt.](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-service-event.html#eb-service-event-delivery-level) Ereignisse werden möglicherweise nicht in der richtigen Reihenfolge zugestellt.

Die folgenden Ereignisse werden von der DNS-Firewall generiert. Weitere Informationen finden Sie [EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html)im *Amazon EventBridge Benutzerhandbuch.* .


| Ereignisdetailtyp | Description | 
| --- | --- | 
|  [DNS-Firewall-Blockierung](events-detail-reference.md#dns-firewall-alert)  |  Jede Blockaktion, die auf einer Domain ausgeführt wird. | 
|  [DNS-Firewall-Warnung](events-detail-reference.md#dns-firewall-block)  |  Jede Warnungsaktion, die auf einer Domain ausgeführt wurde. | 

## Senden von Resolver-DNS-Firewall-Ereignissen mithilfe von Regeln EventBridge
<a name="eventbridge-using-events-rules"></a>

Damit der EventBridge Standardereignisbus DNS-Firewallereignisse an ein Ziel sendet, müssen Sie eine Regel erstellen, die ein Ereignismuster enthält, das den Daten in den gewünschten DNS-Firewallereignissen entspricht. 

Das Erstellen einer Regel besteht aus den folgenden allgemeinen Schritten:

1. Erstellen eines Ereignismusters für die Regel, das Folgendes festlegt: 
   + VPC Resolver ist die Quelle der Ereignisse, die von der Regel ausgewertet werden.
   + (Optional): Alle anderen Ereignisdaten, mit denen ein Abgleich durchgeführt werden kann.

   Weitere Informationen finden Sie unter [Ereignismuster für Resolver DNS Firewall-Ereignisse erstellen](#eventbridge-using-events-rules-patterns).

1. (Optional): Erstellen eines *Eingangstransformators*, der die Daten aus dem Ereignis anpasst, EventBridge bevor die Informationen an das Ziel der Regel weitergegeben werden.

   Weitere Informationen finden Sie unter [Eingabetransformation](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-transform-target-input.html) im *EventBridge Benutzerhandbuch*.

1. Geben Sie die Ziele an, an die Sie Ereignisse EventBridge senden möchten, die dem Ereignismuster entsprechen.

   Ziele können andere AWS Dienste, software-as-a-service (SaaS-) Anwendungen, API-Ziele oder andere benutzerdefinierte Endpunkte sein. Weitere Informationen finden Sie unter [Ziele](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) im *Benutzerhandbuch für EventBridge *.

Umfassende Anweisungen zum Erstellen von Event-Bus-Regeln finden Sie im *EventBridge Benutzerhandbuch* unter [Erstellen von Regeln, die auf Ereignisse reagieren](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html).

### Ereignismuster für Resolver DNS Firewall-Ereignisse erstellen
<a name="eventbridge-using-events-rules-patterns"></a>

Wenn die DNS-Firewall ein Ereignis an den Standardereignisbus übermittelt, bestimmt sie EventBridge anhand des für jede Regel definierten Ereignismusters, ob das Ereignis an die Ziele der Regel übermittelt werden soll. Ein Ereignismuster entspricht den Daten in den gewünschten DNS-Firewall-Ereignissen. Jedes Ereignismuster ist ein JSON-Objekt, das Folgendes enthält:
+ Ein `source`-Attribut, das den Service identifiziert, der das Ereignis sendet. Für DNS-Firewall-Ereignisse lautet die Quelle`aws.route53resolver`.
+ (Optional): Ein `detail-type`-Attribut, das ein Array der zuzuordnenden Ereignistypen enthält.
+ (Optional): Ein `detail`-Attribut, das alle anderen Ereignisdaten für den Abgleich enthält.

Das folgende Ereignismuster entspricht beispielsweise sowohl den Warnungs- als auch den Blockierungsereignissen der DNS-Firewall:

```
{
  "source": ["aws.route53resolver"],
  "detail-type": ["DNS Firewall Block", "DNS Firewall Alert"]
}
```

Das folgende Ereignismuster entspricht zwar einer BLOCK-Aktion:

```
{
  "source": ["aws.route53resolver"],
  "detail-type": ["DNS Firewall Block"]
}
```

Die DNS-Firewall sendet dasselbe Ereignis für dieselbe Domain nur einmal innerhalb eines 6-Stunden-Fensters. Beispiel: 

1. Die Instanz i-123 hat zum Zeitpunkt T1 eine DNS-Abfrage exampledomain.com gesendet. Die DNS-Firewall sendet eine Warnung oder ein Blockierungsereignis, da dies das erste Ereignis ist.

1. Die Instanz i-123 hat zum Zeitpunkt DNSquery T1\$130 Minuten eine Datei exampledomain.com gesendet. Die DNS-Firewall sendet keine Warnung und blockiert kein Ereignis, da es sich um ein wiederholtes Ereignis innerhalb des 6-Stunden-Fensters handelt.

1. Die Instanz i-123 hat zum Zeitpunkt T1\$17 Stunden eine DNS-Abfrage exampledomain.com gesendet. Die DNS-Firewall sendet eine Warnung oder ein Blockierungsereignis, wenn dieses Ereignis außerhalb des 6-Stunden-Fensters auftritt.

Weitere Informationen zum Schreiben von Ereignismustern finden Sie unter [Ereignismuster](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) im *EventBridge Benutzerhandbuch*.

### Testen von Ereignismustern für DNS-Firewall-Ereignisse in EventBridge
<a name="eventbridge-using-events-testing"></a>

Sie können die EventBridge Sandbox verwenden, um schnell ein Ereignismuster zu definieren und zu testen, ohne den größeren Prozess der Erstellung oder Bearbeitung einer Regel abschließen zu müssen. Mithilfe der Sandbox können Sie ein Ereignismuster definieren und anhand eines Beispielereignisses überprüfen, ob das Muster mit den gewünschten Ereignissen übereinstimmt. EventBridge bieten Ihnen die Möglichkeit, anhand dieses Ereignismusters direkt in der Sandbox eine neue Regel zu erstellen.

Weitere Informationen finden Sie unter [Testen eines Ereignismusters mithilfe der EventBridge Sandbox](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-pattern-sandbox.html) im *EventBridge Benutzerhandbuch*.

### Eine EventBridge Regel und ein Ziel für die DNS-Firewall erstellen
<a name="dns-firewall-rule-to-lambda-example"></a>

Das folgende Verfahren zeigt Ihnen, wie Sie eine Regel erstellen, die das Senden von Ereignissen für alle Warnungs- und Blockierungsaktionen der DNS-Firewall ermöglicht EventBridge , und wie Sie eine AWS Lambda Funktion als Ziel für die Regel hinzufügen.

1. Verwenden Sie AWS CLI , um eine EventBridge Regel zu erstellen:

   ```
   aws events put-rule \
   --event-pattern "{\"source\":
   [\"aws.route53resolver\"],\"detail-type\":
   [\"DNS Firewall Block\", \"DNS Firewall Alert\"]}" \
   --name dns-firewall-rule
   ```

1. Hängen Sie eine Lambda-Funktion als Ziel für die Regel an:

   `AWS events put-targets --rule dns-firewall-rule --targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:<your_function>`

1. Führen Sie den folgenden AWS CLI Lambda-Befehl aus, um die zum Aufrufen des Ziels erforderlichen Berechtigungen hinzuzufügen:

   `AWS lambda add-permission --function-name <your_function> --statement-id 1 --action 'lambda:InvokeFunction' --principal events.amazonaws.com`

## Amazon EventBridge Berechtigungen
<a name="eventbridge-permissions"></a>

Für die DNS-Firewall sind keine zusätzlichen Berechtigungen für die Übermittlung von Ereignissen erforderlich Amazon EventBridge.

Die von Ihnen angegebenen Ziele benötigen möglicherweise bestimmte Berechtigungen oder Konfigurationen. Weitere Informationen zur Verwendung bestimmter Dienste für [Amazon EventBridge Ziele](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) finden Sie im *Amazon EventBridge Benutzerhandbuch* unter Ziele.

## Zusätzliche EventBridge Ressourcen
<a name="eventbridge-additonal-resources"></a>

Weitere Informationen zur Verarbeitung und Verwaltung von Ereignissen finden Sie EventBridge in den folgenden Themen im [https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).
+ Ausführliche Informationen zur Funktionsweise von Eventbussen finden Sie unter [Amazon EventBridge Event-Bus](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html).
+ Informationen zur Veranstaltungsstruktur finden Sie unter [Ereignisse](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html).
+ Informationen zur Erstellung von Ereignismustern, die beim EventBridge Abgleich von Ereignissen mit Regeln verwendet werden können, finden Sie unter [Ereignismuster](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html).
+ Informationen zum Erstellen von Regeln, mit denen angegeben wird, welche Ereignisse EventBridge verarbeitet werden, finden Sie unter [Regeln](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html).
+ Informationen zur Angabe, an welche Dienste oder andere Ziele EventBridge übereinstimmende Ereignisse senden, finden Sie unter [Ziele](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html).

# Detailreferenz zu Resolver-DNS-Firewall-Ereignissen
<a name="events-detail-reference"></a>

Alle Ereignisse von AWS Diensten haben einen gemeinsamen Satz von Feldern, die Metadaten zu dem Ereignis enthalten, z. B. den AWS Dienst, der die Quelle des Ereignisses darstellt, den Zeitpunkt, zu dem das Ereignis generiert wurde, das Konto und die Region, in der das Ereignis stattgefunden hat, und andere. Definitionen dieser allgemeinen Felder finden Sie unter [Referenz zur Ereignisstruktur](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events-structure.html) im *Amazon EventBridge Benutzerhandbuch*. 

Darüber hinaus weist jedes Ereignis ein `detail`-Feld auf, das spezifische Daten für das betreffende Ereignis enthält. In der folgenden Referenz werden die Detailfelder für die verschiedenen DNS-Firewall-Ereignisse definiert.

Bei der EventBridge Auswahl und Verwaltung von DNS-Firewall-Ereignissen ist es hilfreich, Folgendes zu beachten:
+ Das `source` Feld für alle Ereignisse der DNS-Firewall ist auf gesetzt`aws.route53resolver`.
+ Das Feld `detail-type` gibt den Ereignistyp an. 

  Zum Beispiel `DNS Firewall Block` oder `DNS Firewall Alert`.
+ Das Feld `detail` enthält die Daten, die für das betreffende Ereignis spezifisch sind. 

Informationen zur Erstellung von Ereignismustern, die es Regeln ermöglichen, DNS-Firewall-Ereignissen zu entsprechen, finden Sie unter [Ereignismuster](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) im *Amazon EventBridge Benutzerhandbuch*.

Weitere Informationen zu Ereignissen und deren EventBridge Verarbeitung finden Sie im *Amazon EventBridge Benutzerhandbuch* unter [Amazon EventBridge Ereignisse](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html).

**Topics**
+ [Einzelheiten zum Ereignis der DNS-Firewall-Warnung](#dns-firewall-alert)
+ [Einzelheiten zum DNS-Firewall-Blockereignis](#dns-firewall-block)

## Einzelheiten zum Ereignis der DNS-Firewall-Warnung
<a name="dns-firewall-alert"></a>

Im Folgenden finden Sie die Detailfelder für Details zum Warnstatus-Ereignis.

Die `detail-type` Felder `source` und sind enthalten, da sie spezifische Werte für Route 53-Ereignisse enthalten.

```
{...,
 "detail-type": "DNS Firewall Alert",
  "source": "aws.route53resolver",
 ...,
 "detail": {
      "account-id": "string",
      "last-observed-at": "string",
      "query-name": "string",
      "query-type": "string",
      "query-class": "string",
      "transport": "string",
      "firewall-rule-action": "string",
      "firewall-rule-group-id": "string",
      "firewall-domain-list-id": "string",
      "firewall-protection": "string",
      "resources": [{
         "resource-type": "string",
         "instance-details": {
             "id": "string",
       }
     },
     { 
         "resource-type": "string",
         "resolver-endpoint-details": {
         "id": "string"
       }
     }
 ]
```

`detail-type`  
Identifiziert den Ereignistyp.  
Für dieses Ereignis ist dieser Wert`DNS Firewall Alert`.

`source`  
Identifiziert den Service, aus dem das Ereignis stammt. Für DNS-Firewall-Ereignisse ist dieser Wert`aws.route53resolver`.

`detail`  
Ein JSON-Objekt, das Informationen zum Ereignis enthält. Der Service, der das Ereignis generiert, bestimmt den Inhalt dieses Feldes.  
Für dieses Ereignis beinhalten diese Daten:    
`account-id`  
Die ID desjenigen AWS-Konto , der die VPC erstellt hat.  
`last-observed-at`  
Der Zeitstempel, zu dem die Alert/Block Abfrage in der VPC gestellt wurde.  
`query-name`  
Der Domainnamen (example.com) oder Subdomainname (www.example.com), der in der Abfrage angegeben wurde.  
`query-type`  
Entweder der DNS-Eintragstyp, der in der Anfrage angegeben wurde, oder ANY. Informationen zu den von Route 53 unterstützten Typen finden Sie unter [Unterstützte DNS-Datensatztypen](ResourceRecordTypes.md).  
`query-class`  
Die ID der Abfrage.  
`transport`  
Das Protokoll, das zum Senden der DNS-Abfrage verwendet wird.  
`firewall-rule-action`  
Die Aktion, die von der Regel angegeben wurde, die dem Domainnamen in der Abfrage entspricht. Entweder `ALERT` oder `BLOCK`.  
`firewall-rule-group-id`  
Die ID des DNS-Firewall-Regelgruppe, die dem Domainnamen in der Abfrage entspricht. Weitere Informationen zu den Firewall-Regelgruppen finden Sie unter DNS-Firewall[DNS-Firewall-Regelgruppen und -Regeln](resolver-dns-firewall-rule-groups.md).  
`firewall-domain-list-id`  
Die Domainliste, die von der Regel verwendet wurde, die dem Domainnamen in der Abfrage entspricht.   
`firewall-protection`  
Erweiterter Schutz durch die DNS-Firewall: DGA, DICTIONARY\$1DGA oder DNS\$1TUNNELING. Weitere Informationen finden [Resolver, DNS, Firewall, Erweitert](firewall-advanced.md) Sie unter DNS-Firewall.   
`resourcese`  
Enthält Ressourcentypen und zusätzliche Informationen zu ihnen.  
`resource-type`  
Gibt den Ressourcentyp an, z. B. den Resolver-Endpunkt oder eine VPC-Instanz.  
`resource-type-detail`  
Zusätzliche Details zur Ressource.

**Example DNS-Firewall-Warnungsereignis**  <a name="dns-firewall-alert.example"></a>
Im Folgenden finden Sie ein Beispiel für ein Alarmereignis.  

```
{
 "version": "1.0",
 "id": "8e5622f9-d81c-4d81-612a-9319e7ee2506",
 "detail-type": "DNS Firewall Alert",
 "source": "aws.route53resolver",
 "account": "123456789012",
 "time": "2023-05-30T21:52:17Z",
 "region": "us-west-2",
 "resources": [],
 "detail": {
 "account-id": "123456789012",
 "last-observed-at": "2023-05-30T20:15:15.900Z",
 "query-name": "15.3.4.32.in-addr.arpa.",
 "query-type": "A",
 "query-class": "IN",
 "transport": "UDP",
 "firewall-rule-action": "ALERT",
 "firewall-rule-group-id": "rslvr-frg-01234567890abcdef",
 "firewall-domain-list-id": "rslvr-fdl-01234567890abcdef",
 "firewall-protection": "DGA",
 "resources": [{
      "resource-type": "instance",
      "instance-details": {
         "id": "i-05746eb48123455e0",
       }
     },
     { 
      "resource-type": "resolver-endpoint",
      "resolver-endpoint-details": {
         "id": "i-05746eb48123455e0"
       }
     }
 ],
"src-addr": "4.5.64.102",
"src-port": "56067",
"vpc-id": "vpc-7example"
 }
}
```

## Einzelheiten zum DNS-Firewall-Blockereignis
<a name="dns-firewall-block"></a>

Nachfolgend finden Sie die Detailfelder für*event name*.

Die `detail-type` Felder `source` und sind enthalten, da sie spezifische Werte für Route 53-Ereignisse enthalten.

```
{...,
 "detail-type": "DNS Firewall Block",
  "source": "aws.route53resolver",
 ...,
 "detail": {
      "account-id": "string",
      "last-observed-at": "string",
      "query-name": "string",
      "query-type": "string",
      "query-class": "string",
      "transport": "string",
      "firewall-rule-action": "string",
      "firewall-rule-group-id": "string",
      "firewall-domain-list-id": "string",
      "firewall-protection": "string",
      "resources": [{
         "resource-type": "string",
         "instance-details": {
             "id": "string",
       }
     },
     { 
         "resource-type": "string",
         "resolver-endpoint-details": {
         "id": "string"
       }
     }
 ]
```

`detail-type`  
Identifiziert den Ereignistyp.  
Für dieses Ereignis ist dieser Wert`DNS Firewall Alert`.

`source`  
Identifiziert den Service, aus dem das Ereignis stammt. Für DNS-Firewall-Ereignisse ist dieser Wert`aws.route53resolver`.

`detail`  
Ein JSON-Objekt, das Informationen zum Ereignis enthält. Der Service, der das Ereignis generiert, bestimmt den Inhalt dieses Feldes.  
Für dieses Ereignis beinhalten diese Daten:    
`account-id`  
Die ID desjenigen AWS-Konto , der die VPC erstellt hat.  
`last-observed-at`  
Der Zeitstempel, zu dem die Alert/Block Abfrage in der VPC gestellt wurde.  
`query-name`  
Der Domainnamen (example.com) oder Subdomainname (www.example.com), der in der Abfrage angegeben wurde.  
`query-type`  
Entweder der DNS-Eintragstyp, der in der Anfrage angegeben wurde, oder ANY. Informationen zu den von Route 53 unterstützten Typen finden Sie unter [Unterstützte DNS-Datensatztypen](ResourceRecordTypes.md).  
`query-class`  
Die ID der Abfrage.  
`transport`  
Das Protokoll, das zum Senden der DNS-Abfrage verwendet wird.  
`firewall-rule-action`  
Die Aktion, die von der Regel angegeben wurde, die dem Domainnamen in der Abfrage entspricht. Entweder `ALERT` oder `BLOCK`.  
`firewall-rule-group-id`  
Die ID des DNS-Firewall-Regelgruppe, die dem Domainnamen in der Abfrage entspricht. Weitere Informationen zu den Firewall-Regelgruppen finden Sie unter DNS-Firewall[DNS-Firewall-Regelgruppen und -Regeln](resolver-dns-firewall-rule-groups.md).  
`firewall-domain-list-id`  
Die Domainliste, die von der Regel verwendet wurde, die dem Domainnamen in der Abfrage entspricht.   
`firewall-protection`  
Erweiterter Schutz durch die DNS-Firewall: DGA, DICTIONARY\$1DGA oder DNS\$1TUNNELING. Weitere Informationen finden [Resolver, DNS, Firewall, Erweitert](firewall-advanced.md) Sie unter DNS-Firewall.   
`resourcese`  
Enthält Ressourcentypen und zusätzliche Informationen zu ihnen.  
`resource-type`  
Gibt den Ressourcentyp an, z. B. den Resolver-Endpunkt oder eine VPC-Instanz.  
`resource-type-detail`  
Zusätzliche Details zur Ressource.

**Example Beispielereignis**  <a name="dns-firewall-block.example"></a>
Im Folgenden finden Sie ein Beispiel für ein Blockereignis.  

```
{
 "version": "1.0",
 "id": "8e5622f9-d81c-4d81-612a-9319e7ee2506",
 "detail-type": "DNS Firewall Block",
 "source": "aws.route53resolver",
 "account": "123456789012",
 "time": "2023-05-30T21:52:17Z",
 "region": "us-west-2",
 "resources": [],
 "detail": {
 "account-id": "123456789012",
 "last-observed-at": "2023-05-30T20:15:15.900Z",
 "query-name": "15.3.4.32.in-addr.arpa.",
 "query-type": "A",
 "query-class": "IN",
 "transport": "UDP",
 "firewall-rule-action": "BLOCK",
 "firewall-rule-group-id": "rslvr-frg-01234567890abcdef",
 "firewall-domain-list-id": "rslvr-fdl-01234567890abcdef",
 "firewall-protection": "DNS_TUNNELING",
 "resources": [{
      "resource-type": "instance",
      "instance-details": {
         "id": "i-05746eb48123455e0"
       }
     },
     { 
      "resource-type": "resolver-endpoint",
      "resolver-endpoint-details": {
         "id": "i-05746eb48123455e0",
       }
     }
 ],
"src-addr": "4.5.64.102",
"src-port": "56067",
"vpc-id": "vpc-7example"
 }
}
```

# Protokollieren von Amazon Route 53-API-Aufrufen mit AWS CloudTrail
<a name="logging-using-cloudtrail"></a>

Route 53 ist in einen Service integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Service in Route 53 ausgeführt wurden. CloudTrail erfasst alle API-Aufrufe für Route 53 als Ereignisse, einschließlich Aufrufe von der Route 53-Konsole und von Codeaufrufen an Route APIs 53. Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Übermittlung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für Route 53. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem in der CloudTrail Konsole im **Ereignisverlauf** anzeigen. Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an Route 53 gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln. 

**Topics**
+ [Route 53-Informationen in CloudTrail](#route-53-info-in-cloudtrail)
+ [Anzeigen von Route 53-Ereignissen mit dem Ereignisverlauf](#route-53-events-in-cloudtrail-event-history)
+ [Grundlagen zu Route 53 log Protokolldateieinträgen](#understanding-route-53-entries-in-cloudtrail)

## Route 53-Informationen in CloudTrail
<a name="route-53-info-in-cloudtrail"></a>

CloudTrail ist in Ihrem AWS Konto aktiviert, wenn Sie das Konto erstellen. Wenn auf Route 53 Aktivitäten auftreten, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen im CloudTrail **Ereignisverlauf in einem Ereignis** aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem AWS Konto anzeigen, suchen und herunterladen. Weitere Informationen finden Sie unter [Ereignisse mit CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html). 

Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem AWS Konto, einschließlich der Ereignisse für Route 53, erstellen Sie einen Trail. Ein Trail ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie einen Trail in der Konsole anlegen, gilt dieser für alle -Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie unter: 
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) und [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)

Alle Route 53-Aktionen werden von der [Amazon Route 53 API-Referenz](https://docs.aws.amazon.com/Route53/latest/APIReference/) protokolliert CloudTrail und sind in dieser dokumentiert. Aufrufe der `RegisterDomain` Aktionen, `CreateHostedZone``CreateHealthCheck`, und generieren beispielsweise Einträge in den CloudTrail Protokolldateien. 

Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte: 
+ Gibt an, ob die Anforderung mit Root- oder IAM-Benutzer-Anmeldeinformationen ausgeführt wurde.
+ Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
+ Ob die Anfrage von einem anderen AWS Dienst gestellt wurde.

Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).

## Anzeigen von Route 53-Ereignissen mit dem Ereignisverlauf
<a name="route-53-events-in-cloudtrail-event-history"></a>

CloudTrail ermöglicht es Ihnen, aktuelle Ereignisse im **Ereignisverlauf** anzuzeigen. Um Ereignisse für Route 53-API-Anforderungen anzuzeigen, müssen Sie die Option **USA Ost (Nord-Virginia)** in der Regionsauswahl oben in der Konsole auswählen. Weitere Informationen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Ereignisse mit CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).

## Grundlagen zu Route 53 log Protokolldateieinträgen
<a name="understanding-route-53-entries-in-cloudtrail"></a>

Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar und enthält Informationen über die angeforderte Aktion, Datum und Uhrzeit der Aktion, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass sie nicht in einer bestimmten Reihenfolge angezeigt werden. 

Das `eventName`-Element kennzeichnet die erfolgte Aktion. (In CloudTrail Protokollen ist der erste Buchstabe für Domainregistrierungsaktionen ein Kleinbuchstabe, obwohl er in den Namen der Aktionen in Großbuchstaben geschrieben ist. `UpdateDomainContact`Erscheint beispielsweise wie `updateDomainContact` in den Protokollen). CloudTrail unterstützt alle Route 53-API-Aktionen. Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die folgenden Aktionen demonstriert:
+ Listet die Hosting-Zonen auf, die einem AWS Konto zugeordnet sind
+ Erstellen einer Zustandsprüfung
+ Erstellen von zwei Datensätzen
+ Löschen einer gehosteten Zone
+ Aktualisieren der Informationen für eine registrierte Domain
+ Erstellen Sie einen ausgehenden Route 53 VPC Resolver-Endpunkt

```
{
    "Records": [
        {
            "apiVersion": "2013-04-01",
            "awsRegion": "us-east-1",
            "eventID": "1cdbea14-e162-43bb-8853-f9f86d4739ca",
            "eventName": "ListHostedZones",
            "eventSource": "route53.amazonaws.com",
            "eventTime": "2015-01-16T00:41:48Z",
            "eventType": "AwsApiCall",
            "eventVersion": "1.02",
            "recipientAccountId": "444455556666",
            "requestID": "741e0df7-9d18-11e4-b752-f9c6311f3510",
            "requestParameters": null,
            "responseElements": null,
            "sourceIPAddress": "192.0.2.92",
            "userAgent": "Apache-HttpClient/4.3 (java 1.5)",
            "userIdentity": {
                "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
                "accountId": "111122223333",
                "arn": "arn:aws:iam::111122223333:user/smithj",
                "principalId": "A1B2C3D4E5F6G7EXAMPLE",
                "type": "IAMUser",
                "userName": "smithj"
            }
        },
        {
            "apiVersion": "2013-04-01",
            "awsRegion": "us-east-1",
            "eventID": "45ec906a-1325-4f61-b133-3ef1012b0cbc",
            "eventName": "CreateHealthCheck",
            "eventSource": "route53.amazonaws.com",
            "eventTime": "2018-01-16T00:41:57Z",
            "eventType": "AwsApiCall",
            "eventVersion": "1.02",
            "recipientAccountId": "444455556666",
            "requestID": "79915168-9d18-11e4-b752-f9c6311f3510",
            "requestParameters": {
                "callerReference": "2014-05-06 64832",
                "healthCheckConfig": {
                    "iPAddress": "192.0.2.249",
                    "port": 80,
                    "type": "TCP"
                }
            },
            "responseElements": {
                "healthCheck": {
                    "callerReference": "2014-05-06 64847",
                    "healthCheckConfig": {
                        "failureThreshold": 3,
                        "iPAddress": "192.0.2.249",
                        "port": 80,
                        "requestInterval": 30,
                        "type": "TCP"
                    },
                    "healthCheckVersion": 1,
                    "id": "b3c9cbc6-cd18-43bc-93f8-9e557example"
                },
                "location": "https://route53.amazonaws.com/2013-04-01/healthcheck/b3c9cbc6-cd18-43bc-93f8-9e557example"
            },
            "sourceIPAddress": "192.0.2.92",
            "userAgent": "Apache-HttpClient/4.3 (java 1.5)",
            "userIdentity": {
                "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
                "accountId": "111122223333",
                "arn": "arn:aws:iam::111122223333:user/smithj",
                "principalId": "A1B2C3D4E5F6G7EXAMPLE",
                "type": "IAMUser",
                "userName": "smithj"
            }
        },
        {
            "additionalEventData": {
                "Note": "Do not use to reconstruct hosted zone"
            },
            "apiVersion": "2013-04-01",
            "awsRegion": "us-east-1",
            "eventID": "883b14d9-2f84-4005-8bc5-c7bf0cebc116",
            "eventName": "ChangeResourceRecordSets",
            "eventSource": "route53.amazonaws.com",
            "eventTime": "2018-01-16T00:41:43Z",
            "eventType": "AwsApiCall",
            "eventVersion": "1.02",
            "recipientAccountId": "444455556666",
            "requestID": "7081d4c6-9d18-11e4-b752-f9c6311f3510",
            "requestParameters": {
                "changeBatch": {
                    "changes": [
                        {
                            "action": "CREATE",
                            "resourceRecordSet": {
                                "name": "prod.example.com.",
                                "resourceRecords": [
                                    {
                                        "value": "192.0.1.1"
                                    },
                                    {
                                        "value": "192.0.1.2"
                                    },
                                    {
                                        "value": "192.0.1.3"
                                    },
                                    {
                                        "value": "192.0.1.4"
                                    }
                                ],
                                "tTL": 300,
                                "type": "A"
                            }
                        },
                        {
                            "action": "CREATE",
                            "resourceRecordSet": {
                                "name": "test.example.com.",
                                "resourceRecords": [
                                    {
                                        "value": "192.0.1.1"
                                    },
                                    {
                                        "value": "192.0.1.2"
                                    },
                                    {
                                        "value": "192.0.1.3"
                                    },
                                    {
                                        "value": "192.0.1.4"
                                    }
                                ],
                                "tTL": 300,
                                "type": "A"
                            }
                        }
                    ],
                    "comment": "Adding subdomains"
                },
                "hostedZoneId": "Z1PA6795UKMFR9"
            },
            "responseElements": {
                "changeInfo": {
                    "comment": "Adding subdomains",
                    "id": "/change/C156SRE0X2ZB10",
                    "status": "PENDING",
                    "submittedAt": "Jan 16, 2018 12:41:43 AM"
                }
            },
            "sourceIPAddress": "192.0.2.92",
            "userAgent": "Apache-HttpClient/4.3 (java 1.5)",
            "userIdentity": {
                "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
                "accountId": "111122223333",
                "arn": "arn:aws:iam::111122223333:user/smithj",
                "principalId": "A1B2C3D4E5F6G7EXAMPLE",
                "type": "IAMUser",
                "userName": "smithj"
            }
        },
        {
            "apiVersion": "2013-04-01",
            "awsRegion": "us-east-1",
            "eventID": "0cb87544-ebee-40a9-9812-e9dda1962cb2",
            "eventName": "DeleteHostedZone",
            "eventSource": "route53.amazonaws.com",
            "eventTime": "2018-01-16T00:41:37Z",
            "eventType": "AwsApiCall",
            "eventVersion": "1.02",
            "recipientAccountId": "444455556666",
            "requestID": "6d5d149f-9d18-11e4-b752-f9c6311f3510",
            "requestParameters": {
                "id": "Z1PA6795UKMFR9"
            },
            "responseElements": {
                "changeInfo": {
                    "id": "/change/C1SIJYUYIKVJWP",
                    "status": "PENDING",
                    "submittedAt": "Jan 16, 2018 12:41:36 AM"
                }
            },
            "sourceIPAddress": "192.0.2.92",
            "userAgent": "Apache-HttpClient/4.3 (java 1.5)",
            "userIdentity": {
                "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
                "accountId": "111122223333",
                "arn": "arn:aws:iam::111122223333:user/smithj",
                "principalId": "A1B2C3D4E5F6G7EXAMPLE",
                "type": "IAMUser",
                "userName": "smithj"
            }
        },
        {
            "eventVersion": "1.05",
            "userIdentity": {
                "type": "IAMUser",
                "principalId": "A1B2C3D4E5F6G7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:user/smithj",
                "accountId": "111122223333",
                "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
                "userName": "smithj",
                "sessionContext": {
                    "attributes": {
                        "mfaAuthenticated": "false",
                        "creationDate": "2018-11-01T19:43:59Z"
                    }
                },
                "invokedBy": "test"
            },
            "eventTime": "2018-11-01T19:49:36Z",
            "eventSource": "route53domains.amazonaws.com",
            "eventName": "updateDomainContact",
            "awsRegion": "us-west-2",
            "sourceIPAddress": "192.0.2.92",
            "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:52.0) Gecko/20100101 Firefox/52.0",
            "requestParameters": {
                "domainName": {
                    "name": "example.com"
                }
            },
            "responseElements": {
                "requestId": "034e222b-a3d5-4bec-8ff9-35877ff02187"
            },
            "additionalEventData": "Personally-identifying contact information is not logged in the request",
            "requestID": "015b7313-bf3d-11e7-af12-cf75409087f6",
            "eventID": "f34f3338-aaf4-446f-bf0e-f72323bac94d",
            "eventType": "AwsApiCall",
            "recipientAccountId": "444455556666"
        },
        {
            "eventVersion": "1.05",
            "userIdentity": {
                "type": "IAMUser",
                "principalId": "A1B2C3D4E5F6G7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:user/smithj",
                "accountId": "111122223333",
                "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
                "sessionContext": {
                    "attributes": {
                        "mfaAuthenticated": "false",
                        "creationDate": "2018-11-01T14:33:09Z"
                    },
                    "sessionIssuer": {
                        "type": "Role",
                        "principalId": "AROAIUZEZLWWZOEXAMPLE",
                        "arn": "arn:aws:iam::123456789012:role/Admin",
                        "accountId": "123456789012",
                        "userName": "Admin"
                    }
                }
            },
            "eventTime": "2018-11-01T14:37:19Z",
            "eventSource": "route53resolver.amazonaws.com",
            "eventName": "CreateResolverEndpoint",
            "awsRegion": "us-west-2",
            "sourceIPAddress": "192.0.2.176",
            "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:52.0) Gecko/20100101 Firefox/52.0",
            "requestParameters": {
                "creatorRequestId": "123456789012",
                "name": "OutboundEndpointDemo",
                "securityGroupIds": [
                    "sg-05618b249example"
                ],
                "direction": "OUTBOUND",
                "ipAddresses": [
                    {
                        "subnetId": "subnet-01cb0c4676example"
                    },
                    {
                        "subnetId": "subnet-0534819b32example"
                    }
                ],
                "tags": []
            },
            "responseElements": {
                "resolverEndpoint": {
                    "id": "rslvr-out-1f4031f1f5example",
                    "creatorRequestId": "123456789012",
                    "arn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-endpoint/rslvr-out-1f4031f1f5example",
                    "name": "OutboundEndpointDemo",
                    "securityGroupIds": [
                        "sg-05618b249example"
                    ],
                    "direction": "OUTBOUND",
                    "ipAddressCount": 2,
                    "hostVPCId": "vpc-0de29124example",
                    "status": "CREATING",
                    "statusMessage": "[Trace id: 1-5bd1d51e-f2f3032eb75649f71example] Creating the Resolver Endpoint",
                    "creationTime": "2018-11-01T14:37:19.045Z",
                    "modificationTime": "2018-11-01T14:37:19.045Z"
                }
            },
            "requestID": "3f066d98-773f-4628-9cba-4ba6eexample",
            "eventID": "cb05b4f9-9411-4507-813b-33cb0example",
            "eventType": "AwsApiCall",
            "recipientAccountId": "123456789012"
        }
    ]
}
```