Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Öffentliche DNS-Abfrageprotokollierung
<a name="query-logs"></a>

Sie können Amazon Route 53 so konfigurieren, dass Informationen zu den öffentlichen DNS-Abfragen protokolliert werden, die Route 53 empfängt, z. B. die folgenden:
+ Domain oder Subdomain, die angefordert wurde
+ Das Datum und die Uhrzeit der Anforderung
+ DNS-Datensatztyp (z. B. A oder AAAA)
+ Der Edge-Standort von Route 53, der auf die DNS-Abfrage geantwortet hat
+ Der DNS-Antwortcode, wie z. B. `NoError` oder `ServFail`

Sobald Sie die Abfrageprotokollierung konfiguriert haben, sendet Route 53 CloudWatch Protokolle an Logs. Sie verwenden CloudWatch Logs-Tools, um auf die Abfrageprotokolle zuzugreifen.

Abfrageprotokolle enthalten nur die Abfragen, die DNS-Resolver an Route 53 senden. Wenn ein DNS-Resolver die Antwort auf eine Anfrage bereits zwischengespeichert hat (z. B. die IP-Adresse für einen Load Balancer, z. B. .com), gibt der Resolver weiterhin die zwischengespeicherte Antwort zurück, ohne die Abfrage an Route 53 zu senden, bis die TTL für den entsprechenden Datensatz abläuft. 

Abhängig davon, wie viele DNS-Abfragen für einen Domainnamen (example.com) oder Subdomainnamen (www.example.com) übermittelt werden, welche Auflöser von Ihren Benutzern verwendet werden und welche TTL für den Datensatz gilt, enthalten die Abfrageprotokolle möglicherweise Informationen zu nur einer von mehreren tausend Abfragen, die an DNS-Auflöser übermittelt wurden. Weitere Information zur Funktionsweise von DNS finden Sie unter [Wie Internetdatenverkehr an Ihre Website oder die Webanwendung geleitet wird](welcome-dns-service.md).

Wenn Sie keine detaillierten Protokollierungsinformationen benötigen, können Sie mithilfe von CloudWatch Amazon-Metriken die Gesamtzahl der DNS-Abfragen ermitteln, auf die Route 53 für eine gehostete Zone antwortet. Weitere Informationen finden Sie unter [Anzeigen von DNS-Abfragemetriken für eine öffentliche gehostete Zone](hosted-zone-public-viewing-query-metrics.md).

**Topics**
+ [Konfigurieren der Protokollierung für DNS-Abfragen](#query-logs-configuring)
+ [Amazon CloudWatch für den Zugriff auf DNS-Abfrageprotokolle verwenden](#query-logs-viewing)
+ [Ändern des Aufbewahrungszeitraums für Protokolle und Exportieren von Protokollen zu Amazon S3](#query-logs-changing-retention-period)
+ [Anhalten der Abfrageprotokollierung](#query-logs-deleting-configuration)
+ [Werte in DNS-Abfrageprotokollen](#query-logs-format)
+ [Beispiel für ein Abfrageprotokoll:](#query-logs-example)

## Konfigurieren der Protokollierung für DNS-Abfragen
<a name="query-logs-configuring"></a>

Um die Protokollierung von DNS-Abfragen für eine bestimmte gehostete Zone zu starten, führen Sie die folgenden Aufgaben in der Amazon-Route 53-Konsole aus:
+ Wählen Sie die CloudWatch Logs-Protokollgruppe aus, in der Route 53 Protokolle veröffentlichen soll, oder erstellen Sie eine neue Protokollgruppe.
**Anmerkung**  
Die Lambda-Funktion muss sich in der Region USA Ost (Nord-Virginia) befinden.
+ Wählen Sie **Erstellen** aus, um den Vorgang abzuschließen.

**Anmerkung**  
Wenn Benutzer DNS-Abfragen für Ihre Domain übermitteln, sollten Ihnen wenige Minuten nach Erstellung der Konfiguration für die Abfrageprotokollierung Abfragen in den Protokollen angezeigt werden. <a name="query-logs-configuring-procedure"></a>

**So konfigurieren Sie die Protokollierung für DNS-Abfragen**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Klicken Sie im Navigationsbereich auf **Hosted Zones (Gehostete Zonen)**.

1. Wählen Sie die gehostete Zone aus, für die Sie die Abfrageprotokollierung konfigurieren möchten.

1. Wählen Sie im Bereich **Hosted zone details** **Configure query logging**.

1. Wählen Sie eine vorhandene Protokollgruppe aus, oder erstellen Sie eine neue Protokollgruppe.

1. Wenn Sie eine Warnung zu Berechtigungen erhalten (dies geschieht, wenn Sie die Abfrageprotokollierung noch nicht mit der neuen Konsole konfiguriert haben), führen Sie einen der folgenden Schritte aus:
   +  Wenn Sie bereits 10 Ressourcenrichtlinien haben, können Sie nicht mehr erstellen. Wählen Sie eine Ihrer Ressourcenrichtlinien aus und wählen Sie**Bearbeiten**aus. Die Bearbeitung gewährt Route 53 Berechtigungen zum Schreiben von Protokollen in Ihre Protokollgruppen. Wählen Sie **Speichern**. Der Alarm verschwindet, und Sie können mit dem nächsten Schritt fortfahren. 
   + Wenn Sie die Abfrageprotokollierung noch nie konfiguriert haben (oder wenn Sie noch nicht 10 Ressourcenrichtlinien erstellt haben), müssen Sie Route 53 Berechtigungen zum Schreiben von Protokollen in Ihre CloudWatch Logs-Gruppen erteilen. Klicken Sie auf**Gewähren von Berechtigungen**aus. Der Alarm verschwindet, und Sie können mit dem nächsten Schritt fortfahren. 

1. Wählen Sie **Berechtigungen — optional**, um eine Tabelle aufzurufen, aus der hervorgeht, ob die Ressourcenrichtlinie mit der CloudWatch Protokollgruppe übereinstimmt und ob Route 53 berechtigt ist, Protokolle zu veröffentlichen CloudWatch.

1. Wählen Sie **Erstellen** aus.

## Amazon CloudWatch für den Zugriff auf DNS-Abfrageprotokolle verwenden
<a name="query-logs-viewing"></a>

Amazon Route 53 sendet Abfrageprotokolle direkt an CloudWatch Logs; auf die Protokolle kann nie über Route 53 zugegriffen werden. Stattdessen verwenden Sie Logs, um CloudWatch Logs nahezu in Echtzeit anzusehen, Daten zu suchen und zu filtern und Logs nach Amazon S3 zu exportieren. 

Route 53 erstellt für jeden Route 53-Edge-Standort einen CloudWatch Logs-Log-Stream, der auf DNS-Anfragen für die angegebene Hosting-Zone reagiert und Abfrageprotokolle an den entsprechenden Log-Stream sendet. Das Format für den Namen jedes Protokollstreams ist*hosted-zone-id*/*edge-location-ID*, zum Beispiel`Z1D633PJN98FT9/DFW3`.

Jede Kantenposition wird durch einen aus drei Buchstaben bestehenden Code und eine willkürlich zugewiesene Zahl identifiziert, z. B. DFW3 Der Code aus drei Buchstaben entspricht dem Code der International Air Transport Association für einen Flughafen in der Nähe des Edge-Standorts. (Diese Abkürzungen ändern sich möglicherweise in der Zukunft.) Eine Liste der Edge-Standorte finden Sie unter „Das globale Route 53-Netzwerk“ auf der Seite mit den [Route 53-Produktdetails](https://aws.amazon.com/route53/details/). 

**Anmerkung**  
Möglicherweise sehen Sie einige Präfixe oder Suffixe, die nicht der obigen Konvention entsprechen. Diese kodieren Attribute, die nur für den internen Gebrauch bestimmt sind.

Weitere Informationen finden Sie in der entsprechenden Dokumentation:
+ [Amazon CloudWatch Logs-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)
+ [Amazon CloudWatch Logs API-Referenz](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/)
+ [CloudWatch Abschnitt „Logs“ der AWS CLI Befehlsreferenz](https://docs.aws.amazon.com/cli/latest/reference/logs/index.html)
+ [Werte in DNS-Abfrageprotokollen](#query-logs-format)

## Ändern des Aufbewahrungszeitraums für Protokolle und Exportieren von Protokollen zu Amazon S3
<a name="query-logs-changing-retention-period"></a>

Standardmäßig speichert CloudWatch Logs Abfrageprotokolle auf unbestimmte Zeit. Sie können optional einen Aufbewahrungszeitraum angeben, sodass CloudWatch Logs Protokolle löscht, die älter als der Aufbewahrungszeitraum sind. Weitere Informationen finden Sie unter [Ändern der Aufbewahrung von Protokolldaten in CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SettingLogRetention.html) im * CloudWatch Amazon-Benutzerhandbuch*.

Wenn Sie Protokolldaten behalten möchten, aber keine CloudWatch Logs-Tools zum Anzeigen und Analysieren der Daten benötigen, können Sie Protokolle nach Amazon S3 exportieren, wodurch Ihre Speicherkosten gesenkt werden können. Weitere Informationen finden Sie unter [Exportieren von Protokolldaten zu Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html).

Informationen zu Preisen finden Sie auf der entsprechenden Seite mit den Preisen:
+ „Amazon CloudWatch Logs“ auf der [CloudWatch Preisseite](https://aws.amazon.com/cloudwatch/pricing)
+ [Amazon S3 – Preise](https://aws.amazon.com/s3/pricing)

**Anmerkung**  
Wenn Sie Route 53 für die Protokollierung von DNS-Abfragen konfigurieren, fallen keine -Gebühren an.

## Anhalten der Abfrageprotokollierung
<a name="query-logs-deleting-configuration"></a>

Wenn Sie möchten, dass Amazon Route 53 keine Abfrageprotokolle mehr an Logs sendet, gehen Sie wie folgt vor, um die Konfiguration der Abfrageprotokollierung zu löschen. CloudWatch <a name="query-logs-deleting-configuration-procedure"></a>

**So löschen Sie eine Konfiguration für die Abfrageprotokollierung**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Klicken Sie im Navigationsbereich auf **Hosted Zones (Gehostete Zonen)**.

1. Wählen Sie das Optionsfeld (nicht den Namen) für die gehostete Zone aus, für die Sie die Konfiguration für die Abfrageprotokollierung löschen möchten.

1. Wählen Sie im Bereich **Hosted zone details** **Configure query logging**.

1. Wählen Sie zur Bestätigung **Delete**.

## Werte in DNS-Abfrageprotokollen
<a name="query-logs-format"></a>

Jede Protokolldatei enthält einen einzelnen Protokolleintrag für jede DNS-Abfrage, die Amazon Route 53 von DNS-Resolvern am entsprechenden Edge-Standort erhalten hat. Jeder Protokolleintrag enthält die folgenden Werte:

**Protokollformatversion**  
Die Versionsnummer dieses Abfrageprotokolls. Wenn dem Protokoll Felder hinzugefügt werden oder das Format vorhandener Felder geändert wird, wird dieser Wert erhöht.

**Abfragezeitstempel**  
Das Datum und die Uhrzeit, an dem/zu der Route 53 auf die Anforderung geantwortet hat; im ISO 8601-Format und in koordinierter Weltzeit (Coordinated Universal Time, UTC), z. B. `2017-03-16T19:20:25.177Z`.   
Informationen zum ISO 8601-Format finden Sie im Wikipedia-Artikel [ISO 8601](https://en.wikipedia.org/wiki/ISO_8601). Informationen zu UTC finden Sie im Wikipedia-Artikel [Coordinated Universal Time](https://en.wikipedia.org/wiki/Coordinated_Universal_Time).

**ID der gehosteten Zone**  
Die ID der gehosteten Zone, die mit allen DNS-Abfragen in diesem Protokoll verknüpft ist.

**Abfragename**  
Die Domain oder Subdomain, die in der Anfrage angegeben wurde.

**Abfragetyp**  
Entweder der DNS-Datensatztyp, der in der Anfrage angegeben wurde, oder `ANY`. Informationen zu den von Route 53 unterstützten Typen finden Sie unter [Unterstützte DNS-Datensatztypen](ResourceRecordTypes.md).

**Antwortcode**  
Der DNS-Antwortcode, den Route 53 als Antwort auf die DNS-Abfrage zurückgegeben hat. 

**Layer 4-Protokoll**  
Das Protokoll, das zum Übermitteln der Abfrage verwendet wurde, entweder `TCP` oder `UDP`.

**Route-53-Edge-Standort**  
Der Route 53-Edge-Standort, der auf die Abfrage geantwortet hat. Jede Edge-Position wird durch einen aus drei Buchstaben bestehenden Code und eine beliebige Zahl identifiziert, DFW3 z. B. Der Code aus drei Buchstaben entspricht dem Code der International Air Transport Association für einen Flughafen in der Nähe des Edge-Standorts. (Diese Abkürzungen ändern sich möglicherweise in der Zukunft.)  
Eine Liste der Edge-Standorte finden Sie unter „Das globale Route 53-Netzwerk“ auf der Seite mit den [Route 53-Produktdetails](https://aws.amazon.com/route53/details/).

**Resolver-IP-Adresse**  
Die IP-Adresse des DNS-Auflösers, der die Anfrage an Route 53 übermittelt hat.

**EDNS-Client-Subnetz**  
Eine teilweise IP-Adresse für den Client, von dem die Anfrage gesendet wurde, wenn über den DNS-Auflöser verfügbar.  
Weitere Informationen finden Sie im IETF-Entwurf [Client-Subnetz in DNS-Anfragen](https://tools.ietf.org/html/draft-ietf-dnsop-edns-client-subnet-08).

## Beispiel für ein Abfrageprotokoll:
<a name="query-logs-example"></a>

Ein Beispiel für ein Abfrageprotokoll (Region ist ein Platzhalter):

```
1.0 2017-12-13T08:16:02.130Z Z123412341234 example.com A NOERROR UDP Region 192.168.1.1 -
1.0 2017-12-13T08:15:50.235Z Z123412341234 example.com AAAA NOERROR TCP Region 192.168.3.1 192.168.222.0/24
1.0 2017-12-13T08:16:03.983Z Z123412341234 example.com ANY NOERROR UDP Region 2001:db8::1234 2001:db8:abcd::/48
1.0 2017-12-13T08:15:50.342Z Z123412341234 bad.example.com A NXDOMAIN UDP Region 192.168.3.1 192.168.111.0/24
1.0 2017-12-13T08:16:05.744Z Z123412341234 txt.example.com TXT NOERROR UDP Region 192.168.1.2 -
```