Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Monitoreo de Amazon Route 53
<a name="monitoring-overview"></a>

La supervisión es una parte importante del mantenimiento de la confiabilidad, la disponibilidad y el rendimiento de sus AWS soluciones. Debe recopilar los datos de supervisión de todas las partes de la AWS solución para poder depurar más fácilmente una falla multipunto en caso de que se produzca. No obstante, antes de comenzar a monitorizar, debe crear un plan de monitorización que incluya respuestas a las siguientes preguntas:
+ ¿Cuáles son los objetivos de la supervisión?
+ ¿Qué recursos va a supervisar?
+ ¿Con qué frecuencia va a supervisar estos recursos?
+ ¿Qué herramientas de supervisión va a utilizar?
+ ¿Quién se encargará de realizar las tareas de supervisión?
+ ¿Quién debería recibir una notificación cuando surjan problemas?

**Topics**
+ [Registro de consultas de DNS públicas](query-logs.md)
+ [Registro de consultas de Resolver](resolver-query-logs.md)
+ [Monitorizar los registros de dominios](monitoring-domain-registrations.md)
+ [Supervisión de sus recursos con los controles de estado de Amazon Route 53 y Amazon CloudWatch](monitoring-cloudwatch.md)
+ [Supervisión de zonas alojadas mediante Amazon CloudWatch](monitoring-hosted-zones-with-cloudwatch.md)
+ [Supervisión de los puntos finales de VPC Resolver de Route 53 con Amazon CloudWatch](monitoring-resolver-with-cloudwatch.md)
+ [Supervisión de los grupos de reglas de Resolver DNS Firewall con Amazon CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md)
+ [Administrar los eventos de Resolver DNS Firewall mediante Amazon EventBridge](dns-firewall-eventbridge-integration.md)
+ [Registrar llamadas a la API de Amazon Route 53 con AWS CloudTrail](logging-using-cloudtrail.md)

# Registro de consultas de DNS públicas
<a name="query-logs"></a>

Puede configurar Amazon Route 53 para que registre información sobre las consultas de DNS públicas que recibe Route 53; por ejemplo:
+ Dominio o subdominio que se solicitó
+ La fecha y la hora de la solicitud
+ El tipo de registro de DNS (por ejemplo, A o AAAA)
+ La ubicación periférica de Route 53 que ha respondido a la consulta de DNS
+ El código de respuesta de DNS como, por ejemplo, `NoError` o `ServFail`

Una vez que configure el registro de consultas, Route 53 enviará los CloudWatch registros a Logs. Utilice las herramientas CloudWatch de registro para acceder a los registros de consultas.

Los registros de consultas contienen únicamente las consultas que los solucionadores de DNS envían a Route 53. Si un solucionador de DNS ya ha almacenado en caché la respuesta a una consulta (por ejemplo, la dirección IP de un equilibrador de carga para example.com), el solucionador continuará devolviendo la respuesta almacenada en caché sin enviar la consulta a Route 53 hasta que venza el TTL del registro correspondiente. 

Dependiendo de la cantidad de las consultas de DNS se envíen para un nombre de dominio (example.com) o nombre de subdominio(www.example.com), cuyos solucionadores están utilizando sus usuarios y el TTL para el registro, los registros de consulta puede contener información sobre una única consulta de cada varios miles de consultas que se enviaron a los solucionadores de DNS. Para obtener más información sobre cómo funciona DNS, consulte [se dirige el tráfico de Internet a su sitio web o aplicación web](welcome-dns-service.md).

Si no necesitas información de registro detallada, puedes usar CloudWatch las métricas de Amazon para ver el número total de consultas de DNS a las que responde Route 53 en una zona alojada. Para obtener más información, consulte [Visualización de métricas de consultas de DNS para una zona alojada pública](hosted-zone-public-viewing-query-metrics.md).

**Topics**
+ [Configuración de registros para consultas del DNS](#query-logs-configuring)
+ [Uso de Amazon CloudWatch para acceder a los registros de consultas de DNS](#query-logs-viewing)
+ [Cambio del período de retención de registros y exportación de registros a Amazon S3](#query-logs-changing-retention-period)
+ [Parar el registro de consultas](#query-logs-deleting-configuration)
+ [Valores que aparecen en los registros de consulta de DNS](#query-logs-format)
+ [Ejemplo de registro de consulta](#query-logs-example)

## Configuración de registros para consultas del DNS
<a name="query-logs-configuring"></a>

Para comenzar a registrar consultas de DNS para una determinada zona alojada especificada, realice las siguientes tareas en la consola de Amazon Route 53:
+ Elija el grupo de CloudWatch registros en el que desea que Route 53 publique los registros o cree un grupo de registros nuevo.
**nota**  
El grupo de registro debe estar en la región EE. UU. Este (Norte de Virginia).
+ Para terminar, seleccione **Crear**.

**nota**  
Si los usuarios envían consultas de DNS a su dominio, debe empezar a ver consultas en los registros varios minutos después de crear la configuración de registro de consulta. <a name="query-logs-configuring-procedure"></a>

**Para configurar el registro para consultas de DNS**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. En el panel de navegación, elija **Zonas alojadas**.

1. Elija la zona alojada para la que desea configurar el registro de consultas.

1. En el panel **Hosted zone details**, seleccione **Configure query logging**.

1. Elija un grupo de registro de ya existente o cree uno nuevo.

1. Si recibe una alerta acerca de los permisos (esto sucede si no ha configurado el registro de consultas con la nueva consola antes), realice una de las siguientes acciones:
   +  Si ya tiene 10 políticas de recursos, no podrá crear más. Seleccione cualquiera de sus políticas de recursos y seleccione **Edit** (Editar). La edición otorgará permisos a Route 53 para escribir registros en los grupos de registro. Seleccione **Save**. La alerta desaparece y puede continuar con el paso siguiente. 
   + Si nunca ha configurado el registro de consultas (o si aún no ha creado 10 políticas de recursos), debe conceder permisos a Route 53 para escribir registros en sus grupos de CloudWatch registros. Elija **Grant permissions** (Conceder permisos). La alerta desaparece y puede continuar con el paso siguiente. 

1. Elija **Permisos (opcional)** para ver una tabla que muestre si la política de recursos coincide con el grupo de CloudWatch registros y si Route 53 tiene permiso para publicar registros en él CloudWatch.

1. Seleccione **Crear**.

## Uso de Amazon CloudWatch para acceder a los registros de consultas de DNS
<a name="query-logs-viewing"></a>

Amazon Route 53 envía los registros de consultas directamente a CloudWatch Logs; nunca se puede acceder a los registros a través de Route 53. En su lugar, utiliza CloudWatch Logs para ver los registros prácticamente en tiempo real, buscar y filtrar datos y exportar los registros a Amazon S3. 

Route 53 crea un flujo de CloudWatch registros para cada ubicación de borde de Route 53 que responde a las consultas de DNS de la zona alojada especificada y envía los registros de consultas al flujo de registro correspondiente. El formato del nombre de cada flujo de registro es*hosted-zone-id*/*edge-location-ID*, por ejemplo,`Z1D633PJN98FT9/DFW3`.

Cada ubicación de borde se identifica mediante un código de tres letras y un número asignado arbitrariamente, por ejemplo,. DFW3 El código de tres letras normalmente se corresponde con el código de aeropuerto (según la Asociación de Transporte Aéreo Internacional) más cercano a la ubicación periférica. Estas abreviaturas pueden cambiar en el futuro. Para ver una lista de ubicaciones periféricas, consulte “La red global de Amazon Route 53” en la página [Características de Amazon Route 53](https://aws.amazon.com/route53/details/). 

**nota**  
Es posible que vea algunos prefijos o sufijos que no siguen la convención anterior. Estos codifican atributos que son solo para uso interno.

Para obtener más información, consulte la documentación aplicable:
+ [Guía del usuario CloudWatch de Amazon Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)
+ [Referencia de la API CloudWatch de Amazon Logs](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/)
+ [CloudWatch Sección de registros de la Referencia de AWS CLI comandos](https://docs.aws.amazon.com/cli/latest/reference/logs/index.html)
+ [Valores que aparecen en los registros de consulta de DNS](#query-logs-format)

## Cambio del período de retención de registros y exportación de registros a Amazon S3
<a name="query-logs-changing-retention-period"></a>

De forma predeterminada, CloudWatch Logs almacena los registros de consultas de forma indefinida. Si lo desea, puede especificar un período de retención para que CloudWatch Logs elimine los registros anteriores al período de retención. Para obtener más información, consulta [Cambiar la retención de datos de registro en CloudWatch los registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SettingLogRetention.html) en la *Guía del CloudWatch usuario de Amazon*.

Si desea conservar los datos de registro pero no necesita CloudWatch herramientas de registro para ver y analizar los datos, puede exportar los registros a Amazon S3, lo que puede reducir sus costes de almacenamiento. Para obtener más información, consulte [Exportación de datos de registro a Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html).

Para obtener más información sobre precios, consulte la página de precios aplicable:
+ «Amazon CloudWatch Logs» en la página [CloudWatch de precios](https://aws.amazon.com/cloudwatch/pricing)
+ [Precios de Amazon S3](https://aws.amazon.com/s3/pricing)

**nota**  
Al configurar Route 53 para registrar consultas de DNS, no incurrirá en ningún cargo de Route 53.

## Parar el registro de consultas
<a name="query-logs-deleting-configuration"></a>

Si desea que Amazon Route 53 deje de enviar registros de consultas a CloudWatch Logs, lleve a cabo el siguiente procedimiento para eliminar la configuración del registro de consultas. <a name="query-logs-deleting-configuration-procedure"></a>

**Para eliminar una configuración de registro de consultas**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. En el panel de navegación, elija **Zonas alojadas**.

1. Elija el nombre de la zona alojada cuya configuración del registro de consultas desee eliminar.

1. En el panel **Hosted zone details** (Detalles de zona alojada), seleccione **Configure query logging** (Configuración de registro de consultas).

1. Elija **Eliminar** para confirmar.

## Valores que aparecen en los registros de consulta de DNS
<a name="query-logs-format"></a>

Cada archivo de registros contiene una entrada de registro por cada consulta de DNS que recibe Amazon Route 53 desde solucionadores de DNS en la ubicación periférica correspondiente. Cada entrada de registro incluye los valores siguientes:

**Versión de formato de registro**  
El número de versión de este registro de consulta. Si añadimos campos al registro o cambiamos el formato de los campos existentes, aumentaremos este valor.

**Marca de tiempo de consulta**  
La fecha y hora en que Route 53 respondió a la solicitud, en formato ISO 8601 y la hora universal coordinada (UTC, por sus siglas en inglés); por ejemplo, `2017-03-16T19:20:25.177Z`.   
Para obtener información acerca del formato ISO 8601, consulte el artículo de Wikipedia [ISO 8601](https://en.wikipedia.org/wiki/ISO_8601). Para obtener información sobre UTC, consulte el artículo de Wikipedia sobre [Hora universal coordinada](https://en.wikipedia.org/wiki/Coordinated_Universal_Time).

**ID de zona alojada**  
El ID del nombre de la zona alojada que está asociado a todas las consultas de DNS en este registro.

**Nombre de consulta**  
El dominio o subdominio que se ha especificado en la solicitud.

**Tipo de consulta**  
El tipo de registro DNS que se ha especificado en la solicitud o `ANY`. Para obtener información acerca de los tipos que admite Route 53, consulte [Tipos de registros de DNS admitidos](ResourceRecordTypes.md).

**Código de respuesta**  
El código de respuesta de DNS que devolvió Route 53 en respuesta a la consulta de DNS. 

**Protocolo de capa 4**  
El protocolo que se utilizó para enviar la consulta, bien `TCP` o `UDP`.

**Ubicación periférica de Route 53**  
Ubicación periférica en la que Route 53 ha respondido a la consulta. Cada ubicación de borde se identifica mediante un código de tres letras y un número arbitrario, por ejemplo, DFW3. El código de tres letras normalmente se corresponde con el código de aeropuerto (según la Asociación de Transporte Aéreo Internacional) más cercano a la ubicación periférica. Estas abreviaturas pueden cambiar en el futuro.  
Para ver una lista de ubicaciones periféricas, consulte “La red global de Amazon Route 53” en la página [Características de Amazon Route 53](https://aws.amazon.com/route53/details/).

**Dirección IP de solucionador**  
La dirección IP del solucionador de DNS que envió la solicitud a Route 53.

**Subred del cliente EDNS**  
Una dirección IP parcial para el cliente desde el que se originó la solicitud, si está disponible desde el solucionador de DNS.  
Para obtener más información, consulte el borrador de IETF [Client Subnet in DNS Requests](https://tools.ietf.org/html/draft-ietf-dnsop-edns-client-subnet-08).

## Ejemplo de registro de consulta
<a name="query-logs-example"></a>

A continuación se muestra un ejemplo de registro de consulta (la región es un marcador de posición):

```
1.0 2017-12-13T08:16:02.130Z Z123412341234 example.com A NOERROR UDP Region 192.168.1.1 -
1.0 2017-12-13T08:15:50.235Z Z123412341234 example.com AAAA NOERROR TCP Region 192.168.3.1 192.168.222.0/24
1.0 2017-12-13T08:16:03.983Z Z123412341234 example.com ANY NOERROR UDP Region 2001:db8::1234 2001:db8:abcd::/48
1.0 2017-12-13T08:15:50.342Z Z123412341234 bad.example.com A NXDOMAIN UDP Region 192.168.3.1 192.168.111.0/24
1.0 2017-12-13T08:16:05.744Z Z123412341234 txt.example.com TXT NOERROR UDP Region 192.168.1.2 -
```

# Registro de consultas de Resolver
<a name="resolver-query-logs"></a>

Puede registrar las siguientes consultas de DNS: 
+ Consultas que se originan en Amazon Virtual Private Cloud VPCs que especifique, así como las respuestas a esas consultas de DNS.
+ Consultas de recursos en las instalaciones que utilizan un punto de conexión de entrada de Resolver.
+ Consultas que utilizan un punto de conexión de salida de Resolver para la resolución de DNS recursiva.
+ Consultas que utilizan las reglas del firewall DNS de Resolver para bloquear, permitir o supervisar las listas de dominios.

Los registros de consultas de VPC Resolver incluyen valores como los siguientes:
+ La AWS región en la que se creó la VPC
+ El ID de VPC desde el que se originó la consulta
+ La dirección IP de la instancia desde la que se originó la consulta
+ El ID de instancia del recurso desde el que se originó la consulta
+ La fecha y la hora en que se efectuó la consulta por primera vez
+ El nombre de DNS solicitado (como prod.example.com)
+ El tipo de registro DNS (como, por ejemplo, A o AAAA)
+ El código de respuesta de DNS como, por ejemplo, `NoError` o `ServFail`
+ Los datos de respuesta de DNS, como la dirección IP que se devuelve en respuesta a la consulta de DNS
+ Una respuesta a una acción de regla de DNS Firewall

Para obtener una lista detallada de todos los valores registrados y un ejemplo, consulte [Valores que aparecen en los registros de consultas de VPC Resolver](resolver-query-logs-format.md).

**nota**  
Como es habitual en los solucionadores de DNS, los solucionadores almacenan en caché las consultas de DNS durante un período de tiempo determinado por el time-to-live TTL del solucionador. El solucionador de VPC de Route 53 almacena en caché las consultas que se originan en usted VPCs y responde desde la memoria caché siempre que es posible para acelerar las respuestas. El registro de consultas de VPC Resolver solo registra consultas únicas, no consultas a las que VPC Resolver puede responder desde la memoria caché.  
Por ejemplo, supongamos que una instancia de EC2 en una de las VPCs que una configuración de registro de consultas registra consultas envía una solicitud a accounting.example.com. El solucionador de VPC almacena en caché la respuesta a esa consulta y la registra. Si la interfaz de red elástica de la misma instancia realiza una consulta para accounting.example.com en el TTL de la memoria caché del solucionador de VPC, el solucionador de VPC responde a la consulta desde la memoria caché. La segunda consulta no se registra.

Puede enviar los registros a uno de los siguientes recursos: AWS 
+ Grupo de CloudWatch registros de Amazon CloudWatch Logs (Logs)
+ Bucket de Amazon S3 (S3)
+ Flujo de entrega de Firehose

Para obtener más información, consulte [AWS recursos a los que puede enviar registros de consultas de VPC Resolver](resolver-query-logs-choosing-target-resource.md).

**Topics**
+ [AWS recursos a los que puede enviar registros de consultas de VPC Resolver](resolver-query-logs-choosing-target-resource.md)
+ [Administración de configuraciones de registro de consultas de Resolver](resolver-query-logging-configurations-managing.md)

# AWS recursos a los que puede enviar registros de consultas de VPC Resolver
<a name="resolver-query-logs-choosing-target-resource"></a>

**nota**  
Si espera registrar consultas para cargas de trabajo con consultas altas por segundo (QPS), debe utilizar Amazon S3 para asegurarse de que los registros de consulta no se ven limitados de forma controlada al escribirlos en su destino. Si utilizas Amazon CloudWatch, puedes aumentar el límite de solicitudes por segundo para la `PutLogEvents` operación. Para obtener más información sobre cómo aumentar tus CloudWatch límites, consulta [las cuotas de CloudWatch registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html) en la *Guía del CloudWatch usuario de Amazon*.

Puede enviar los registros de consultas de VPC Resolver a los siguientes recursos: AWS 

**Grupo de CloudWatch registros de Amazon CloudWatch Logs (Amazon Logs)**  
Puede analizar registros con Logs Insights y crear métricas y alarmas.  
Para obtener más información, consulta la [Guía del usuario CloudWatch de Amazon Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).

**Bucket de Amazon S3 (S3)**  
El bucket de S3 es económico para archivar registros a largo plazo. La latencia suele ser mayor.  
Se admiten todas las opciones de cifrado en el lado del servidor de S3. Para obtener más información, consulte [Protección de datos mediante cifrado del lado del servidor](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) en la *Guía del usuario de Amazon S3*.  
Si elige el cifrado del lado del servidor con AWS KMS claves (SSE-KMS), debe actualizar la política de claves de su clave administrada por el cliente para que la cuenta de entrega de registros pueda escribir en su bucket de Amazon S3. *Para obtener más información sobre la política de claves necesaria para su uso con SSE-KMS, consulte el cifrado del [lado del servidor de bucket de Amazon S3 en la Guía del usuario](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-infrastructure-V2-S3.html#AWS-logs-SSE-KMS-S3-V2) de Amazon. CloudWatch *  
Si el bucket de S3 está en una cuenta de su propiedad, los permisos necesarios se agregan automáticamente a su política de bucket. Si desea enviar registros a un bucket de S3 en una cuenta que no posee, el propietario del bucket de S3 debe agregar permisos para su cuenta en su política de bucket. Por ejemplo:    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "CrossAccountAccess",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::your_bucket_name/AWSLogs/your_caller_account/*"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::your_bucket_name"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "iam_user_arn_or_account_number_for_root"
            },
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::your_bucket_name"
        }
    ]
}
```
 Si desea almacenar registros en un bucket de S3 central para su organización, le recomendamos que realice la configuración del registro de consultas desde una cuenta centralizada (con los permisos necesarios para escribir en un bucket central) y que use [RAM](query-logging-configurations-managing-sharing.md) para compartir la configuración entre cuentas.
Para obtener más información, consulte la [Guía del usuario de Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/).

**Flujo de entrega de Firehose**  
Puede transmitir registros en tiempo real a Amazon OpenSearch Service, Amazon Redshift u otras aplicaciones.  
Para obtener más información, consulte la [Guía para desarrolladores de Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/).

Para obtener información sobre los precios del registro de consultas de Resolver, consulta [ CloudWatch los precios de Amazon](https://aws.amazon.com/cloudwatch/pricing/).

CloudWatch Se aplican cargos por Vended Logs al utilizar los registros de VPC Resolver, incluso cuando los registros se publican directamente en Amazon S3. Para obtener más información, consulta [*los precios de Logs en los* CloudWatch precios de Amazon](https://aws.amazon.com//cloudwatch/pricing/#Vended_Logs).

# Administración de configuraciones de registro de consultas de Resolver
<a name="resolver-query-logging-configurations-managing"></a>

## Configuración (registro de consultas de VPC Resolver)
<a name="resolver-query-logs-configuring"></a>

Puede configurar el registro de consultas de VPC Resolver de dos maneras:
+ **Asociación directa de VPC**: se asocia VPCs directamente a una configuración de registro de consultas.
+ **Asociación de perfiles**: asocie una configuración de registro de consultas a un perfil de Route 53, que aplica el registro a todos los VPCs asociados a ese perfil. Para obtener más información, consulte [Asocie las configuraciones de registro de consultas de VPC Resolver a un perfil de Route 53](profile-associate-query-logging.md).

Para empezar a registrar las consultas de DNS que se originan en su VPCs, realice las siguientes tareas en la consola de Amazon Route 53:<a name="resolver-query-logs-configuring-procedure"></a>

**Para configurar el registro de consultas de Resolver**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Expanda el menú de la consola de Route 53. En la esquina superior izquierda de la consola, elija el icono de las tres barras horizontales (![\[Menu icon\]](http://docs.aws.amazon.com/es_es/Route53/latest/DeveloperGuide/images/menu-icon.png)).

1. En el menú Resolver, elija **Registro de consultas**.

1. En el selector de regiones, elija la AWS región en la que desee crear la configuración de registro de consultas. Debe ser la misma región en la que creó la región para la VPCs que desea registrar las consultas de DNS. Si está VPCs en varias regiones, debe crear al menos una configuración de registro de consultas para cada región.

1. Elija **Configure query logging** (Configuración del registro de consultas).

1. Especifique los siguientes valores:  
**Nombre de configuración del registro de consultas**  
Ingrese un nombre para la configuración del registro de consultas. El nombre aparece en la consola en la lista de configuraciones del registro de consultas. Ingrese un nombre que le ayude a encontrar esta configuración más tarde.  
**Destino de los registros de consulta**  
Elija el tipo de AWS recurso al que quiere que VPC Resolver envíe los registros de consultas. Para obtener información sobre cómo elegir entre las opciones (grupo de CloudWatch registros, depósito S3 y transmisión de entrega Firehose), consulte. [AWS recursos a los que puede enviar registros de consultas de VPC Resolver](resolver-query-logs-choosing-target-resource.md)  
Tras elegir el tipo de recurso, puede crear otro recurso de ese tipo o elegir un recurso existente creado por la AWS cuenta corriente.  
Solo puede elegir recursos que se hayan creado en la región de AWS que eligió en el paso 4, la región donde está creando la configuración del registro de consultas. Si decide crear un recurso nuevo, ese recurso se creará en la misma región.  
**VPCs para registrar consultas para**  
Esta configuración de registro de consultas registrará las consultas de DNS que se originen en el VPCs que elija. **Marque la casilla de verificación de cada VPC de la región actual en la que desee que VPC Resolver registre las consultas y, a continuación, seleccione Elegir.**  
**Alternativa**: en lugar de VPCs asociarla directamente, puede asociar esta configuración de registro de consultas a un perfil de Route 53, que aplicará el registro a todos los VPCs asociados a ese perfil. Para obtener más información, consulte [Asocie las configuraciones de registro de consultas de VPC Resolver a un perfil de Route 53](profile-associate-query-logging.md).  
La entrega de registros de VPC solo se puede habilitar una vez para un tipo de destino específico. Los registros no se pueden enviar a varios destinos del mismo tipo; por ejemplo, los registros de VPC no se pueden entregar a dos destinos de Amazon S3.

1. Elija **Configure query logging** (Configuración del registro de consultas).

**nota**  
Debe comenzar a ver consultas de DNS realizadas por los recursos de su VPC en los registros unos minutos después de crear correctamente la configuración del registro de consultas.

# Valores que aparecen en los registros de consultas de VPC Resolver
<a name="resolver-query-logs-format"></a>

Cada archivo de registros contiene una entrada de registro por cada consulta de DNS que recibe Amazon Route 53 desde solucionadores de DNS en la ubicación de borde correspondiente. Cada entrada de registro incluye los valores siguientes:

**versión**  
El número de versión de este formato de registro de consultas. La versión actual es `1.1`.  
El valor de versión contiene una versión principal y una versión secundaria con el formato **major\$1version.minor\$1version**. Por ejemplo, puede tener un valor `version` de `1.7`, donde `1 ` es la versión principal y `7` es la versión secundaria.  
Route 53 incrementa la versión principal si se realiza un cambio en la estructura del registro que no es compatible con versiones anteriores. Esto incluye eliminar un campo JSON existente o cambiar la forma en que se representa el contenido de un campo (por ejemplo, un formato de fecha).  
 Route 53 incrementa la versión secundaria si un cambio agrega nuevos campos al archivo de registros. Esto puede ocurrir cuando hay nueva información disponible para algunas o todas las consultas de DNS existentes dentro de una VPC. 

**account\$1id**  
El ID de la AWS cuenta que creó la VPC.

**region**  
La AWS región en la que creó la VPC.

**vpc\$1id**  
El ID de VPC en la que se originó la consulta.

**query\$1timestamp**  
La fecha y hora en que las que se envió la consulta, en formato ISO 8601 y hora universal coordinada (UTC, por sus siglas en inglés); por ejemplo, `2017-03-16T19:20:177Z`.   
Para obtener información acerca del formato ISO 8601, consulte el artículo de Wikipedia [ISO 8601](https://en.wikipedia.org/wiki/ISO_8601). Para obtener información sobre UTC, consulte el artículo de Wikipedia sobre [Hora universal coordinada](https://en.wikipedia.org/wiki/Coordinated_Universal_Time).

**query\$1name**  
El nombre de dominio (example.com) o nombre del subdominio (www.example.com) que se especificó en la consulta.

**query\$1type**  
El tipo de registro DNS que se ha especificado en la solicitud o `ANY`. Para obtener información acerca de los tipos que admite Route 53, consulte [Tipos de registros de DNS admitidos](ResourceRecordTypes.md).

**query\$1class**  
La clase de consulta.

**rcode**  
El código de respuesta de DNS que VPC Resolver devolvió en respuesta a la consulta de DNS. El código de respuesta indica si la consulta era válida o no. El código de respuesta más habitual es `NOERROR`, para indicar que la consulta era válida. Si la respuesta no es válida, Resolver devuelve un código de respuesta que explica el motivo. Para obtener una lista de los posibles códigos de respuesta, consulte [DNS RCODEs](https://www.iana.org/assignments/dns-parameters/dns-parameters.xhtml#dns-parameters-6) en el sitio web de la IANA.

**answer\$1type**  
El tipo de registro DNS (como A, MX o CNAME) del valor que VPC Resolver devuelve en respuesta a la consulta. Para obtener información acerca de los tipos que admite Route 53, consulte [Tipos de registros de DNS admitidos](ResourceRecordTypes.md).

**rdata**  
El valor que VPC Resolver devolvió en respuesta a la consulta. Por ejemplo, para un registro A, se trata de una dirección IP en IPv4 formato. Para un registro CNAME, será el nombre de dominio en el registro CNAME. 

**answer\$1class**  
La clase de la respuesta del solucionador de VPC a la consulta.

**srcaddr**  
La dirección IP del host que originó la consulta. 

**srcport**  
El puerto de la instancia desde la que se originó la consulta.

**transport**  
El protocolo utilizado para enviar la consulta de DNS.

**srcids**  
IDs del `instance``resolver_endpoint`, y del origen o por el `resolver_network_interface` que ha pasado la consulta de DNS.

**instancia**  
El ID de la instancia desde la que se originó la consulta.  
 Si ve un ID de instancia en los registros de consultas de VPC Resolver de Route 53 que no está visible en su cuenta, puede deberse a que la consulta de DNS se originó en la consola AWS Lambda Amazon EKS o AWS CloudShell Fargate, que utilizó usted.

**resolver\$1endpoint**  
El ID del punto de conexión del solucionador que pasa la consulta de DNS a los servidores DNS en las instalaciones.  
Si tiene registros CNAME que utilizan diferentes reglas de reenvío en cadena con distintos puntos de conexión del solucionador, los registros de consultas muestran solo el ID del último punto de conexión del solucionador utilizado en la cadena. Para rastrear la ruta de resolución completa a través de varios puntos de conexión, puede correlacionar los registros en diferentes configuraciones de registro de consultas.

**firewall\$1rule\$1group\$1id**  
El ID del grupo de reglas de DNS Firewall de que coincidió con el nombre de dominio de la consulta. Esto solo se rellena si DNS Firewall encontró una coincidencia para una regla con la acción configurada de alerta o bloqueo.  
Para obtener más información sobre los grupos de reglas de firewall, consulte [Reglas y grupos de reglas de DNS Firewall](resolver-dns-firewall-rule-groups.md).

**firewall\$1rule\$1action**  
La acción especificada por la regla que coincidió con el nombre de dominio de la consulta. Esto solo se rellena si DNS Firewall encontró una coincidencia para una regla con la acción configurada de alerta o bloqueo.

**firewall\$1domain\$1list\$1id**  
La lista de dominios utilizada por la regla que coincidió con el nombre de dominio de la consulta. Esto solo se rellena si DNS Firewall encontró una coincidencia para una regla con la acción configurada de alerta o bloqueo.

**additional\$1properties**  
Información adicional sobre los eventos de entrega del registro. **is\$1delay**: si hay una demora en la entrega de los registros.

# Ejemplo de registro de consultas de VPC Resolver de Route 53
<a name="resolver-query-logs-example-json"></a>

Presentamos un ejemplo de registro de consultas del solucionador:

```
          
      {
        "srcaddr": "4.5.64.102",
        "vpc_id": "vpc-7example",
        "answers": [
            {
                "Rdata": "203.0.113.9",
                "Type": "PTR",
                "Class": "IN"
            }
        ],
        "firewall_rule_group_id": "rslvr-frg-01234567890abcdef",
        "firewall_rule_action": "BLOCK",
        "query_name": "15.3.4.32.in-addr.arpa.",
        "firewall_domain_list_id": "rslvr-fdl-01234567890abcdef",
        "query_class": "IN",
        "srcids": {
            "instance": "i-0d15cd0d3example"
        },
        "rcode": "NOERROR",
        "query_type": "PTR",
        "transport": "UDP",
        "version": "1.100000",
        "account_id": "111122223333",
        "srcport": "56067",
        "query_timestamp": "2021-02-04T17:51:55Z",
        "region": "us-east-1"
    }
```

# Compartir las configuraciones de registro de consultas de Resolver con otras cuentas AWS
<a name="query-logging-configurations-managing-sharing"></a>

Puede compartir las configuraciones de registro de consultas que creó con una AWS cuenta con otras AWS cuentas. Para compartir configuraciones, la consola de resolución de VPC de Route 53 se integra con AWS Resource Access Manager. Para obtener más información acerca de Resource Access Manager, consulte la [Guía del usuario de Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).

Tenga en cuenta lo siguiente:

**Asociación VPCs con configuraciones de registro de consultas compartidas**  
Si otra AWS cuenta ha compartido una o más configuraciones con la suya, puede VPCs asociarla a la configuración del mismo modo que a VPCs las configuraciones que creó.

**Eliminación o dejar de compartir una configuración**  
Si comparte una configuración con otras cuentas y, a continuación, la elimina o deja de compartirla, y si hay una o más asociadas a la configuración, Route 53 VPC Resolver deja de registrar las consultas de DNS que VPCs se originan en esas cuentas. VPCs

**Número máximo de configuraciones de registro de consultas VPCs que se pueden asociar a una configuración**  
Cuando una cuenta crea una configuración y la comparte con una o más cuentas, se aplica el número máximo de cuentas VPCs que se pueden asociar a la configuración por cuenta. Por ejemplo, si tiene 10 000 cuentas en su organización, puede crear la configuración de registro de consultas en la cuenta central y compartirla AWS RAM a través de ella para compartirla con las cuentas de la organización. A continuación, las cuentas de la organización asociarán la configuración a su VPCs contabilización en función de las asociaciones de VPC de la configuración del registro de consultas de su cuenta por Región de AWS límite de 100. Sin embargo, si todas VPCs están en una sola cuenta, es posible que sea necesario aumentar los límites de servicio de la cuenta.  
Para conocer las cuotas actuales de VPC Resolver, consulte. [Cuotas en el solucionador de VPC Route 53](DNSLimitations.md#limits-api-entities-resolver)

**Permisos**  
Para compartir una regla con otra AWS cuenta, debe tener permiso para usar la [PutResolverQueryLogConfigPolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutResolverQueryLogConfigPolicy.html)acción.

**Restricciones en la AWS cuenta con la que se comparte una regla**  
La cuenta con la que se comparte una regla no puede cambiar o eliminar la regla. 

**Etiquetado**  
Solo la cuenta que creó una regla puede añadir, eliminar o consultar etiquetas de la regla.

Para ver el estado actual de uso compartido de una regla (incluida la cuenta que compartió la regla o la cuenta con la que se comparte una regla) y para compartir reglas con otra cuenta, siga el procedimiento que se indica a continuación.<a name="resolver-rules-managing-sharing-procedure"></a>

**Para ver el estado del uso compartido y compartir las configuraciones del registro de consultas con otra AWS cuenta**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. En el panel de navegación, elija **Query Logging** (Registro de consultas).

1. En la barra de navegación, elija la región en la que creó la regla.

   La columna **Sharing status** (Estado de uso compartido) muestra el estado actual de uso compartido de las reglas creadas por la cuenta actual o que se comparten con la cuenta actual:
   + **No compartida**: la AWS cuenta actual creó la regla y la regla no se comparte con ninguna otra cuenta.
   + **Shared by me** (Compartido por mí): la cuenta actual creó la regla y la compartió con una o varias cuentas.
   + **Shared with me** (Compartido conmigo): otra cuenta creó la regla y la compartió con la cuenta actual.

1. Elija el nombre de la regla cuya información de uso compartido desea mostrar o que desea compartir con otra cuenta.

   En la *rule name* página **Regla:**, el valor de **Propietario** muestra el ID de la cuenta que creó la regla. Es la cuenta actual a menos que el valor de **Sharing status** (Estado de uso compartido) sea **Shared with me** (Compartido conmigo). En ese caso, **Owner** (Propietario) es la cuenta que creó la regla y la compartió con la cuenta actual.

   También se muestra el estado de uso compartido.

1. Seleccione **Compartir configuración** para abrir la AWS RAM consola

1. Para crear un recurso compartido, siga los pasos descritos en [Crear un recurso compartido en AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) en la *Guía del usuario de AWS RAM *.
**nota**  
No se puede actualizar la configuración de uso compartido. Si desea cambiar cualquiera de los siguientes valores, debe volver a compartir una regla con la nueva configuración y, a continuación, quitar la configuración de uso compartido anterior.

# Monitorizar los registros de dominios
<a name="monitoring-domain-registrations"></a>

El panel de Amazon Route 53 ofrece información detallada sobre el estado de sus registros de dominios, incluido lo siguiente:
+ Estado de los nuevos registros de dominios
+ Estado de las transferencias de dominio a Route 53
+ Lista de dominios que se aproximan a la fecha de vencimiento

Le recomendamos que consulte periódicamente el panel de la consola de Route 53, especialmente después de registrar un nuevo dominio o transferirlo a Route 53, para confirmar que no hay problemas pendientes de solución. 

También le recomendamos que confirme que la información de contacto de sus dominios está actualizada. A medida que se aproxima la fecha de vencimiento de un dominio, enviamos un email al contacto del registrante del dominio con información acerca de cuándo vence el dominio y cómo renovarlo.

# Supervisión de sus recursos con los controles de estado de Amazon Route 53 y Amazon CloudWatch
<a name="monitoring-cloudwatch"></a>

Puede supervisar sus recursos mediante la creación de comprobaciones de estado de Amazon Route 53, que se utilizan CloudWatch para recopilar y procesar datos sin procesar en métricas legibles prácticamente en tiempo real. Estas estadísticas se registran durante un periodo de dos semanas, de forma que pueda obtener acceso a información histórica y obtener una mejor perspectiva sobre el desempeño de sus recursos. De forma predeterminada, los datos métricos de las comprobaciones de estado de Route 53 se envían automáticamente a CloudWatch intervalos de un minuto.

Para obtener más información sobre las comprobaciones de estado de Route 53, consulte [Supervisar los controles de estado mediante CloudWatch](monitoring-health-checks.md). Para obtener más información CloudWatch, consulta [¿Qué es Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) en la *Guía del CloudWatch usuario de Amazon*.

## Métricas y dimensiones para comprobaciones de estado de Route 53
<a name="metrics_dimensions_health_checks"></a>

Cuando crea una comprobación de estado, Amazon Route 53 comienza a enviar métricas y dimensiones una vez por minuto a CloudWatch aproximadamente el recurso que especifique. La consola de Route 53 le permite ver la situación de las comprobaciones de estado. También puede usar los siguientes procedimientos para ver las métricas en la CloudWatch consola o visualizarlas mediante AWS Command Line Interface (AWS CLI).

**Para ver las métricas mediante la CloudWatch consola**

1. Abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. En el panel de navegación, seleccione **Métricas**.

1. En la pestaña **All Metrics**, elija **Route 53**.

1. Elija **Health Check Metrics**.

**Para ver las métricas mediante el AWS CLI**
+ En el símbolo del sistema, ejecute el siguiente comando:

  ```
  1. aws cloudwatch list-metrics --namespace "AWS/Route53"
  ```

**Topics**
+ [CloudWatch métricas de las comprobaciones de estado de Route 53](#cloudwatch-metrics)
+ [Dimensiones para métricas de comprobaciones de estado de Route 53](#cloudwatch-dimensions-route-53-metrics)

### CloudWatch métricas de las comprobaciones de estado de Route 53
<a name="cloudwatch-metrics"></a>

El espacio de nombres `AWS/Route53` incluye las siguientes métricas para las comprobaciones de estado de Route 53.

**ChildHealthCheckHealthyCount**  
Para una comprobación de estado calculada, el número de comprobaciones de estado que son buenas.  
Estadísticas válidas: Average (recomendado), Minimum, Maximum  
Unidades: recuento

**ConnectionTime**  
El tiempo medio, en milisegundos, que tardan los comprobadores de estado de Route 53 en establecer una conexión TCP con el punto de conexión. Puede consultar `ConnectionTime` para una comprobación de estado en todas las regiones o para una región geográfica seleccionada.  
Estadísticas válidas: Average (recomendado), Minimum, Maximum  
Unidades: milisegundos

**HealthCheckPercentageHealthy**  
El porcentaje de comprobadores de estado de Route 53 que consideran que el punto de conexión seleccionado está en buen estado.  
Estadísticas válidas: promedio, mínimo, máximo  
Unidad: porcentaje

**HealthCheckStatus**  
El estado del punto final de la comprobación de estado que CloudWatch se está comprobando. **1** indica que está en buen estado y **0** indica que no está bien.   
Estadísticas válidas: Minimum, Average y Maximum  
Unidades: ninguna

**SSLHandshakeHora**  
El tiempo medio, en milisegundos, que tardan los comprobadores de estado de Route 53 en completar el protocolo SSL. Puede consultar `SSLHandshakeTime` para una comprobación de estado en todas las regiones o para una región geográfica seleccionada.  
Estadísticas válidas: Average (recomendado), Minimum, Maximum  
Unidades: milisegundos

**TimeToFirstByte**  
El tiempo medio, en milisegundos, que tardan los comprobadores de estado de Route 53 en recibir el primer byte de la respuesta a una solicitud HTTP o HTTPS. Puede consultar `TimeToFirstByte` para una comprobación de estado en todas las regiones o para una región geográfica seleccionada.  
Estadísticas válidas: Average (recomendado), Minimum, Maximum  
Unidades: milisegundos

### Dimensiones para métricas de comprobaciones de estado de Route 53
<a name="cloudwatch-dimensions-route-53-metrics"></a>

Las métricas de Route 53 para las comprobaciones de estado utilizan el espacio de nombres `AWS/Route53` y proporcionan métricas para `HealthCheckId`. Cuando recupere métricas, debe proporcionar la dimensión `HealthCheckId`.

Además, para `ConnectionTime`, `SSLHandshakeTime` y `TimeToFirstByte`, puede especificar `Region` si lo desea. Si lo omites`Region`, CloudWatch devuelve las métricas de todas las regiones. Si las incluyes`Region`, solo CloudWatch devuelve las métricas de la región especificada.

Para obtener más información, consulte [Supervisar los controles de estado mediante CloudWatch](monitoring-health-checks.md).

# Supervisión de zonas alojadas mediante Amazon CloudWatch
<a name="monitoring-hosted-zones-with-cloudwatch"></a>

Puedes monitorizar tus zonas alojadas de forma pública mediante Amazon CloudWatch para recopilar y procesar datos sin procesar en métricas legibles prácticamente en tiempo real. Las métricas están disponibles poco después de que Route 53 reciba las consultas de DNS en las que se basan las métricas. CloudWatch los datos métricos de las zonas alojadas de Route 53 tienen una granularidad de un minuto.

Para obtener más información, consulte la documentación siguiente
+ Para obtener información general e información sobre cómo ver las métricas en la CloudWatch consola de Amazon y cómo recuperar las métricas con AWS Command Line Interface (AWS CLI), consulta [Visualización de métricas de consultas de DNS para una zona alojada pública](hosted-zone-public-viewing-query-metrics.md)
+ Para obtener información sobre el período de retención de las métricas, consulta [GetMetricStatistics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html)la *referencia de la CloudWatch API de Amazon*.
+ Para obtener más información CloudWatch, consulta [¿Qué es Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) en la *Guía del CloudWatch usuario de Amazon*.
+ Para obtener más información sobre CloudWatch las métricas, consulta [Uso de CloudWatch las métricas de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) en la *Guía del CloudWatch usuario de Amazon*.

**Topics**
+ [CloudWatch métricas para las zonas alojadas públicas de Route 53](#cloudwatch-metrics-route-53-hosted-zones)
+ [CloudWatch dimensión de las métricas de zonas alojadas públicas de Route 53](#cloudwatch-dimensions-route-53-hosted-zones)

## CloudWatch métricas para las zonas alojadas públicas de Route 53
<a name="cloudwatch-metrics-route-53-hosted-zones"></a>

El espacio de nombres `AWS/Route53` incluye la siguiente métrica para zonas alojadas de Route 53:

**DNSQueries**  
Para una zona alojada, el número de consultas de DNS a las que responde Route 53 en un período de tiempo especificado.  
Estadísticas válidas: suma, SampleCount  
Unidades: recuento  
Región: Route 53 es un servicio global. Para obtener métricas de zona alojada, debe especificar Este de EE. UU. (Norte de Virginia) para la región. 

**DNSSECInternalFallo**  
El valor es 1 si cualquier objeto en la zona alojada tiene un estado INTERNAL\$1FAILURE. De lo contrario, el valor es 0.  
Estadísticas válidas: Sum  
Unidades: recuento  
Volumen: 1 cada 4 horas por zona alojada  
Región: Route 53 es un servicio global. Para obtener métricas de zona alojada, debe especificar Este de EE. UU. (Norte de Virginia) para la región.

**DNSSECKeySigningKeysNeedingAction**  
Número de claves de firma clave (KSKs) que tienen el estado ACTION\$1NEEDED (debido a un error del KMS).  
Estadísticas válidas: suma, SampleCount  
Unidades: recuento  
Volumen: 1 cada 4 horas por zona alojada  
Región: Route 53 es un servicio global. Para obtener métricas de zona alojada, debe especificar Este de EE. UU. (Norte de Virginia) para la región. 

**DNSSECKeySigningKeyMaxNeedingActionAge**  
Ha transcurrido el tiempo desde que la clave de firma de claves (KSK) se estableció en el estado ACTION\$1NEEDED.  
Estadísticas válidas: Maximum  
Unidades: segundos  
Volumen: 1 cada 4 horas por zona alojada  
Región: Route 53 es un servicio global. Para obtener métricas de zona alojada, debe especificar Este de EE. UU. (Norte de Virginia) para la región. 

**DNSSECKeySigningKeyAge**  
El tiempo transcurrido desde que se creó la clave de firma de claves (KSK) (no desde que se activó).  
Estadísticas válidas: Maximum  
Unidades: segundos  
Volumen: 1 cada 4 horas por zona alojada  
Región: Route 53 es un servicio global. Para obtener métricas de zona alojada, debe especificar Este de EE. UU. (Norte de Virginia) para la región. 

## CloudWatch dimensión de las métricas de zonas alojadas públicas de Route 53
<a name="cloudwatch-dimensions-route-53-hosted-zones"></a>

Las métricas de Route 53 para las zonas alojadas utilizan el espacio de nombres `AWS/Route53` y proporcionan métricas para `HostedZoneId`. Para obtener el número de consultas de DNS, debe especificar el ID de la zona alojada en la dimensión `HostedZoneId`.

# Supervisión de los puntos finales de VPC Resolver de Route 53 con Amazon CloudWatch
<a name="monitoring-resolver-with-cloudwatch"></a>

Puede usar Amazon CloudWatch para supervisar la cantidad de consultas de DNS que reenvían los puntos de enlace de VPC Resolver de Route 53. Amazon CloudWatch recopila y procesa datos sin procesar para convertirlos en métricas legibles y prácticamente en tiempo real. Estas estadísticas se registran durante un periodo de dos semanas, de forma que pueda obtener acceso a información histórica y obtener una mejor perspectiva sobre el desempeño de sus recursos. De forma predeterminada, los datos de las métricas de los puntos finales de Resolver se envían automáticamente a CloudWatch intervalos de cinco minutos. El intervalo de cinco minutos es también el intervalo más reducido en el que se pueden enviar los datos de las métricas.

Para obtener más información sobre VPC Resolver, consulte. [¿Qué es Route 53 VPC Resolver?](resolver.md) Para obtener más información CloudWatch, consulta [¿Qué es Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) en la *Guía del CloudWatch usuario de Amazon*.

## Métricas y dimensiones del solucionador de VPC Route 53
<a name="metrics-dimensions-resolver"></a>

Al configurar el Resolver de VPC para que reenvíe consultas de DNS a la red o viceversa, el Resolver de VPC comienza a enviar [métricas](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-resolver-with-cloudwatch.html#cloudwatch-metrics-resolver) y [dimensiones](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-resolver-with-cloudwatch.html#cloudwatch-dimensions-resolver) una vez cada cinco minutos hasta CloudWatch aproximadamente el número de consultas que se reenvían. Puede usar los siguientes procedimientos para ver las métricas en la CloudWatch consola o consultarlas mediante AWS Command Line Interface ()AWS CLI.

**Para ver las métricas de VPC Resolver mediante la consola CloudWatch**

1. Abra la CloudWatch consola en. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)

1. En la barra de navegación, elija la región en la que creó el punto de conexión.

1. En el panel de navegación, seleccione **Métricas**.

1. En la pestaña **All metrics (Todas las métricas)**, elija **Route 53 Resolver**.

1. Elija **By Endpoint (Por punto de conexión)** para ver los recuentos de consultas de un punto de conexión especificado. A continuación, elija los puntos de conexión de los que desea ver el número de consultas. 

   Seleccione **Todos los puntos de conexión** para ver los recuentos de consultas de todos los puntos de conexión entrantes o de todos los puntos de conexión salientes creados por la cuenta actual. AWS A continuación, elija **InboundQueryVolume**o desee ver los recuentos **OutboundQueryVolume**deseados.

**Para ver las métricas mediante el AWS CLI**
+ En el símbolo del sistema, ejecute el siguiente comando:

  ```
  1. aws cloudwatch list-metrics --namespace "AWS/Route53Resolver"
  ```

**Topics**
+ [CloudWatch Métricas básicas del solucionador de VPC Route 53](#cloudwatch-metrics-resolver)
+ [CloudWatch Métricas detalladas del solucionador de VPC Route 53](#cloudwatch-detailed-metrics-resolver)
+ [Dimensiones de las métricas de Route 53 VPC Resolver](#cloudwatch-dimensions-resolver)

### CloudWatch Métricas básicas del solucionador de VPC Route 53
<a name="cloudwatch-metrics-resolver"></a>

`AWS/Route53Resolver`el espacio de nombres incluye métricas básicas para los puntos finales de VPC Resolver de Route 53 y para las direcciones IP de forma gratuita.

**Topics**
+ [Métricas de los puntos finales de VPC Resolver Route 53](#cloudwatch-metrics-resolver-endpoint)
+ [Métricas de las direcciones IP de los solucionadores de VPC de Route 53](#cloudwatch-metrics-resolver-ip-address)

#### Métricas de los puntos finales de VPC Resolver Route 53
<a name="cloudwatch-metrics-resolver-endpoint"></a>

El espacio de `AWS/Route53Resolver` nombres incluye las siguientes métricas para los puntos de conexión de VPC Resolver de Route 53.

**EndpointHealthyENICount**  
 El número de interfaces de red elásticas con el estado `OPERATIONAL`. Esto significa que las interfaces de red de Amazon VPC para el punto de conexión (especificado por `EndpointId`) están configuradas correctamente y pueden pasar consultas de DNS de entrada o salida entre la red y Resolver.  
Estadísticas válidas: mínimo, máximo y promedio  
Unidades: recuento

**EndpointUnhealthyENICount**  
 El número de interfaces de red elásticas con el estado `AUTO_RECOVERING`.  
Esto significa que el solucionador está intentando recuperar una o más interfaces de red de Amazon VPC asociadas al punto de conexión (especificado por `EndpointId`). Durante el proceso de recuperación, el punto de conexión funciona con una capacidad limitada y no puede procesar consultas de DNS hasta que esté completamente recuperado.  
Estadísticas válidas: mínimo, máximo, promedio  
Unidades: recuento

**InboundQueryVolume**  
En el caso de los puntos de enlace entrantes, el número de consultas de DNS reenviadas desde la red a la suya a VPCs través del punto de conexión especificado por. `EndpointId`  
Estadísticas válidas: Sum  
Unidades: recuento

**OutboundQueryVolume**  
En el caso de los puntos de conexión salientes, el número de consultas de DNS reenviadas desde la red VPCs a través del punto de conexión especificado por. `EndpointId`  
Estadísticas válidas: Sum  
Unidades: recuento

**OutboundQueryAggregateVolume**  
En el caso de los puntos de enlace salientes, el número total de consultas de DNS reenviadas desde Amazon VPCs a la red, incluidas las siguientes:  
+ El número de consultas de DNS reenviadas desde su red VPCs a través del punto final especificado por. `EndpointId`
+ Cuando la cuenta corriente comparte las reglas de VPCs Resolver con otras cuentas, las consultas las crean otras cuentas y las reenvían a la red a través del punto de conexión especificado por`EndpointId`. 
Estadísticas válidas: Sum  
Unidades: recuento

**ResolverEndpointCapacityStatus**  
El estado de la capacidad del punto de conexión de Resolver. La métrica indica el estado de utilización de la capacidad actual, donde: 0 = OK (capacidad operativa normal), 1 = Advertencia (al menos una interfaz de red elástica supera el 50 % de utilización de la capacidad) y 2 = Crítico (al menos una interfaz de red elástica supera el 75 % de utilización de la capacidad).  
El estado de la capacidad está determinado por varios factores, como el volumen de consultas, la latencia de las consultas, los protocolos DNS, el tamaño de los paquetes DNS y el estado del seguimiento de las conexiones.  
Estadísticas válidas: máximo  
Unidades: ninguna

**Mejores prácticas para la gestión de la capacidad de los terminales de resolución de VPC**  
Para solucionar los problemas de capacidad, generalmente recomendamos aumentar la cantidad de interfaces de red elásticas para su punto de conexión de Resolver. Sin embargo, hay factores importantes que se deben tener en cuenta para tipos de puntos de conexión específicos:

En el caso de los **puntos de conexión de entrada**, el equilibrio de carga del tráfico depende del cliente. Por lo tanto, las advertencias de capacidad o las alertas críticas pueden indicar un “punto crítico” en el que se utiliza de forma desproporcionada un subconjunto de interfaces de red elásticas.
+ Para identificar posibles problemas de equilibrio de carga, examine las [InboundQueryVolume](#cloudwatch-metrics-resolver-ip-address)métricas de cada interfaz de red elástica de forma individual.

En el caso de los **puntos de conexión de salida**, el tráfico se equilibra automáticamente entre las interfaces de red elásticas. Los problemas de capacidad pueden deberse a problemas con el servidor de nombres de destino o a que las consultas de alta latencia sobre los tiempos de espera sobrecargan las interfaces de red de Resolver.
+ En estos casos, es posible que el solo hecho de aumentar las interfaces de red elásticas no sea eficaz, por lo que recomendamos arreglar el servidor de nombres de destino.

#### Métricas de las direcciones IP de los solucionadores de VPC de Route 53
<a name="cloudwatch-metrics-resolver-ip-address"></a>

El espacio de nombres `AWS/Route53Resolver` incluye las siguientes métricas para cada dirección IP asociada a un punto de conexión de entrada o salida de Resolver. (Al especificar un punto de conexión, VPC Resolver crea una interfaz de red [elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) de Amazon VPC).

**InboundQueryVolume**  
Para cada dirección IP de los puntos de conexión entrantes, el número de consultas de DNS reenviadas desde la red a la dirección IP especificada. Cada dirección IP se identifica mediante el ID de la dirección IP. Puede obtener este valor usando la consola de Route 53. En la página del punto de conexión correspondiente, en la sección de direcciones IP, consulte la columna **IP address ID (ID de dirección IP)**. También puede obtener el valor mediante programación. [ListResolverEndpointIpAddresses](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_ListResolverEndpointIpAddresses.html)   
Estadísticas válidas: Sum  
Unidades: recuento

**OutboundQueryAggregateVolume**  
Para cada dirección IP de tus puntos de conexión salientes, el número total de consultas de DNS reenviadas desde Amazon VPCs a tu red, incluidas las siguientes:  
+ El número de consultas de DNS reenviadas desde tu red VPCs a través de la dirección IP especificada.
+ Cuando la cuenta corriente comparte las reglas de Resolver con otras cuentas, otras cuentas crean consultas desde VPCs esa cuenta y las reenvían a la red mediante la dirección IP especificada. 
Cada dirección IP se identifica mediante el ID de la dirección IP. Puede obtener este valor usando la consola de Route 53. En la página del punto de conexión correspondiente, en la sección de direcciones IP, consulte la columna **IP address ID (ID de dirección IP)**. También puede obtener el valor mediante programación utilizando. [ListResolverEndpointIpAddresses](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_ListResolverEndpointIpAddresses.html)   
Estadísticas válidas: Sum  
Unidades: recuento

### CloudWatch Métricas detalladas del solucionador de VPC Route 53
<a name="cloudwatch-detailed-metrics-resolver"></a>

El solucionador de VPC Route 53 proporciona métricas de RNI mejoradas y de servidores de nombres de destino como funciones opcionales para los puntos finales. Estas métricas se envían a CloudWatch intervalos de 1 minuto.

**nota**  
Las métricas detalladas no están habilitadas de forma predeterminada, pero se pueden habilitar a nivel de punto final. Estas métricas se pueden habilitar mediante programación al crear o actualizar los puntos finales mediante los RniEnhancedMetricsEnabled indicadores y. TargetNameServerMetricsEnabled Para obtener más información, consulte [CreateResolverEndpoint](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_CreateResolverEndpoint.html) y [UpdateResolverEndpoint](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_UpdateResolverEndpoint.html).
Se aplican CloudWatch precios y cargos estándar por el uso de las métricas detalladas de los puntos finales de Route 53 Resolver. Para obtener más información, consulta los [ CloudWatch precios de Amazon](https://aws.amazon.com/cloudwatch/pricing/).

**Topics**
+ [Métricas mejoradas de RNI](#cloudwatch-detailed-metrics-resolver-endpoints-ip-addresses)
+ [Métricas del servidor de nombres de destino](#cloudwatch-detailed-metrics-resolver-endpoints-target-nameservers)

#### Métricas mejoradas de RNI
<a name="cloudwatch-detailed-metrics-resolver-endpoints-ip-addresses"></a>

Route 53 Resolver publica métricas mejoradas de RNI en Amazon CloudWatch para monitorear el rendimiento y el estado de los puntos finales y las direcciones IP de Resolver. El espacio de `AWS/Route53Resolver` nombres incluye las siguientes métricas mejoradas de RNI para los puntos de conexión entrantes y salientes de Route 53 Resolver en la dimensión R: `EndpointId` `RniId`

**P90 ResponseTime**  
El percentil 90 de latencia de respuesta de las consultas de DNS recibidas por la IP del Resolver (`RniId`) asociada al punto final del Resolver () `EndpointId`  
Estadísticas válidas: máximo  
Unidades: microsegundos

**ServFailQueries**  
Número de respuestas SERVFAIL a las consultas de DNS enviadas a la IP del Resolver (`RniId`) asociada al punto final del Resolver () `EndpointId`  
Estadísticas válidas: Sum  
Unidades: recuento

**NxDomainQueries**  
Número de respuestas de NXDOMAIN a las consultas de DNS enviadas a la IP del Resolver (`RniId`) asociada al punto final del Resolver () `EndpointId`  
Estadísticas válidas: Sum  
Unidades: recuento

**RefusedQueries**  
Número de respuestas RECHAZADAS a las consultas de DNS enviadas a la IP del Resolver (`RniId`) asociada al punto final del Resolver (`EndpointId`)  
Estadísticas válidas: Sum  
Unidades: recuento

**FormErrorQueries**  
Número de respuestas anteriores a las consultas de DNS enviadas a la IP del Resolver (`RniId`) asociada al punto final del Resolver () `EndpointId`  
Estadísticas válidas: Sum  
Unidades: recuento

**TimeoutQueries**  
Número de tiempos de espera de las consultas de DNS enviadas a la IP del Resolver (`RniId`) asociada al punto final del Resolver () `EndpointId`  
Estadísticas válidas: Sum  
Unidades: recuento

#### Métricas del servidor de nombres de destino
<a name="cloudwatch-detailed-metrics-resolver-endpoints-target-nameservers"></a>

Route 53 Resolver publica las métricas del servidor de nombres de destino en Amazon CloudWatch para supervisar el rendimiento y la disponibilidad de los servidores de nombres de destino asociados a los puntos finales de Resolver. El espacio de `AWS/Route53Resolver` nombres incluye las siguientes métricas detalladas para los puntos de conexión salientes de Route 53 Resolver en dimensiones: `EndpointID` `TargetNameServerIP`

**P90 ResponseTime**  
El percentil 90 de latencia de respuesta de la IP del servidor de nombres de destino (`TargetNameServerIP`) para las consultas de DNS enviadas a través del punto final del Resolver () `EndpointID`  
Estadísticas válidas: máximo  
Unidades: microsegundos

**RequestQueries**  
Número de consultas de DNS enviadas a la IP del servidor de nombres de destino (`TargetNameServerIP`) a través del punto final del Resolver (). `EndpointID`  
Estadísticas válidas: Sum  
Unidades: recuento

**TimeoutQueries**  
Número de consultas de DNS enviadas a través del punto final del Resolver (`EndpointID`) que han agotado el tiempo de espera en la IP del servidor de nombres de destino (`TargetNameServerIP`).  
Estadísticas válidas: Sum  
Unidades: recuento

**nota**  
En algunos casos, se pueden observar brechas en las métricas de VPC Resolver (ResolverEndpointCapacityStatus) y en las métricas mejoradas de RNI. Estas brechas pueden producirse cuando las interfaces de red se someten a procesos programados y consecutivos de mantenimiento o actualización. Cuando devolvemos una interfaz de red al servicio, nuestro servicio tarda al menos 1 minuto en recopilar datos operativos y publicar estas métricas. Estas brechas no indican que su punto final de VPC Resolver esté sufriendo una interrupción. Si está configurando una CloudWatch alarma para estas métricas, le recomendamos lo siguiente:  
Configura la alarma en «Tratar los datos faltantes como si se ignoraran», o
Configure un período de evaluación de más de cinco minutos para el umbral de alarma.
Estos ajustes ayudarán a reducir las falsas alarmas durante las actividades de mantenimiento normales.

### Dimensiones de las métricas de Route 53 VPC Resolver
<a name="cloudwatch-dimensions-resolver"></a>

Las métricas de VPC Resolver de Route 53 para los puntos finales entrantes y salientes utilizan el espacio de `AWS/Route53Resolver` nombres y proporcionan métricas para las siguientes dimensiones:
+ `EndpointId`: Si especificas un valor para la `EndpointId` dimensión, CloudWatch devuelve el número de consultas de DNS del punto final especificado. Si no lo especifica`EndpointId`, CloudWatch devuelve el número de consultas de DNS de todos los puntos finales que creó la AWS cuenta actual.
+ `RniId`se admite la dimensión `OutboundQueryAggregateVolume` y las `InboundQueryVolume` métricas.
+ `EndpointId`, `RniId` la dimensión es compatible con`P90ResponseTime`,`ServFailQueries`, `NxDomainQueries` `RefusedQueries``FormErrorQueries`, y `TimeoutQueries` para la dirección IP de la resolución asociada al punto final de la resolución.
+ `EndpointID`, `TargetNameServerIP` la dimensión es compatible con `P90ResponseTime``RequestQueries`, y `TimeoutQueries` para el servidor de nombres de destino asociado al punto final de la resolución.

# Supervisión de los grupos de reglas de Resolver DNS Firewall con Amazon CloudWatch
<a name="monitoring-resolver-dns-firewall-with-cloudwatch"></a>

Puede utilizar Amazon CloudWatch para supervisar el número de consultas de DNS que filtran los grupos de reglas de Resolver DNS Firewall. Amazon CloudWatch recopila y procesa datos sin procesar para convertirlos en métricas legibles y prácticamente en tiempo real. Estas estadísticas se registran durante un periodo de dos semanas, de forma que pueda obtener acceso a información histórica y obtener una mejor perspectiva sobre el desempeño de sus recursos. De forma predeterminada, los datos métricos de los grupos de reglas del firewall de DNS se envían automáticamente a CloudWatch intervalos de cinco minutos.

Para obtener más información sobre DNS Firewall, consulte [Uso de DNS Firewall para filtrar el tráfico de DNS saliente](resolver-dns-firewall.md). Para obtener más información CloudWatch, consulta [¿Qué es Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) en la *Guía del CloudWatch usuario de Amazon*.

## Métricas y dimensiones del Resolver DNS Firewall
<a name="metrics-dimensions-resolver-dns-firewall"></a>

Al asociar un grupo de reglas del firewall de DNS de Resolver a una VPC para filtrar las consultas de DNS, el firewall de DNS comienza a enviar métricas y dimensiones una vez cada 5 minutos a CloudWatch aproximadamente las consultas que filtra. Para obtener información acerca de las métricas y dimensiones de DNS Firewall, consulte [CloudWatch métricas de Resolver DNS Firewall](#cloudwatch-metrics-resolver-dns-firewall). 

Puedes usar los siguientes procedimientos para ver las métricas en la CloudWatch consola o consultarlas con AWS Command Line Interface (AWS CLI).

**Para ver las métricas del firewall de DNS mediante la CloudWatch consola**

1. Abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. En la barra de navegación, elija la región que desea ver.

1. En el panel de navegación, seleccione **Métricas**.

1. En la pestaña **Todas las métricas**, elija **Route 53 VPC** Resolver.

1. Elija una métrica que le interese. 

**Para ver las métricas mediante el AWS CLI**
+ En el símbolo del sistema, ejecute el siguiente comando:

  ```
  1. aws cloudwatch list-metrics --namespace "AWS/Route53Resolver"
  ```

**Topics**
+ [CloudWatch métricas de Resolver DNS Firewall](#cloudwatch-metrics-resolver-dns-firewall)

### CloudWatch métricas de Resolver DNS Firewall
<a name="cloudwatch-metrics-resolver-dns-firewall"></a>

El espacio de `AWS/Route53Resolver` nombres incluye métricas para los grupos de reglas de Resolver DNS Firewall.

**Topics**
+ [Métricas de los grupos de reglas de Resolver DNS Firewall](#cloudwatch-metrics-resolver-dns-firewall-rule-group)
+ [Métricas para VPCs](#cloudwatch-metrics-resolver-vpc)
+ [Métricas para el grupo de reglas de firewall y la asociación de VPC](#cloudwatch-metrics-resolver-firewall-vpc)
+ [Métricas de una lista de dominios en un grupo de reglas de firewall](#cloudwatch-metrics-domain-list-firewall)

#### Métricas de los grupos de reglas de Resolver DNS Firewall
<a name="cloudwatch-metrics-resolver-dns-firewall-rule-group"></a>

**FirewallRuleGroupQueryVolume**  
El número de consultas de DNS Firewall que coinciden con un grupo de reglas de firewall (especificado por `FirewallRuleGroupId`).  
Dimensiones: `FirewallRuleGroupId`  
Estadísticas válidas: Sum  
Unidades: recuento

#### Métricas para VPCs
<a name="cloudwatch-metrics-resolver-vpc"></a>

**VpcFirewallQueryVolume**  
El número de consultas de DNS Firewall de una VPC (especificado por `VpcId`).  
Dimensiones: `VpcId`  
Estadísticas válidas: Sum  
Unidades: recuento

#### Métricas para el grupo de reglas de firewall y la asociación de VPC
<a name="cloudwatch-metrics-resolver-firewall-vpc"></a>

**FirewallRuleGroupVpcQueryVolume**  
El número de consultas de DNS Firewall de una VPC (especificado por `VpcId`) que coinciden con un grupo de reglas de firewall (especificado por `FirewallRuleGroupId`).  
Dimensiones: `FirewallRuleGroupId, VpcId`  
Estadísticas válidas: Sum  
Unidades: recuento

#### Métricas de una lista de dominios en un grupo de reglas de firewall
<a name="cloudwatch-metrics-domain-list-firewall"></a>

**FirewallRuleQueryVolume**  
El número de consultas de DNS Firewall que coinciden con una lista de dominios de firewall (especificada por `FirewallDomainListId`) dentro de un grupo de reglas de firewall (especificado por `FirewallRuleGroupId`).  
Dimensiones: `FirewallRuleGroupId, FirewallDomainListId`  
Estadísticas válidas: Sum  
Unidades: recuento

# Administrar los eventos de Resolver DNS Firewall mediante Amazon EventBridge
<a name="dns-firewall-eventbridge-integration"></a>

Amazon EventBridge es un servicio sin servidor que utiliza eventos para conectar los componentes de la aplicación, lo que facilita la creación de aplicaciones escalables basadas en eventos. La arquitectura basada en eventos es un estilo de creación de sistemas de software de acoplamiento flexible que funcionan juntos emitiendo eventos y respondiendo a ellos. Los eventos representan un cambio en un recurso o entorno. 

Como ocurre con muchos AWS servicios, el firewall de DNS genera y envía eventos al bus de eventos EventBridge predeterminado. (El bus de eventos predeterminado se aprovisiona de manera automática en cada cuenta de AWS ). Un bus de eventos es un enrutador que recibe eventos y los envía a cero o más destinos u *objetivos*. Las reglas que se especifican al bus de eventos evalúan los eventos a medida que llegan. Cada regla comprueba si un evento coincide con el *patrón de evento* de la regla. Si el evento coincide, el bus de eventos envía el evento a los destinos especificados.

![\[AWS los servicios envían los eventos al bus de eventos EventBridge predeterminado. Si el evento coincide con el patrón de eventos de una regla, EventBridge envía el evento a los destinos especificados para esa regla.\]](http://docs.aws.amazon.com/es_es/Route53/latest/DeveloperGuide/images/eventbridge-integration-how-it-works.png)


**Topics**
+ [Resolver eventos de DNS Firewall](#supported-events)
+ [Enviar eventos de Resolver DNS Firewall mediante reglas EventBridge](#eventbridge-using-events-rules)
+ [Amazon EventBridge permisos](#eventbridge-permissions)
+ [EventBridge Recursos adicionales](#eventbridge-additonal-resources)
+ [Referencia detallada de los eventos de Resolver DNS Firewall](events-detail-reference.md)

## Resolver eventos de DNS Firewall
<a name="supported-events"></a>

El solucionador de VPC envía automáticamente los eventos del firewall de DNS al bus de EventBridge eventos predeterminado. Puede crear reglas en el bus de eventos; cada regla incluye un patrón de eventos y uno o más objetivos. Los eventos que coinciden con el patrón de eventos de una regla se envían a los objetivos especificados en [función del mejor esfuerzo](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-service-event.html#eb-service-event-delivery-level). Es posible que los eventos se entreguen fuera de servicio.

DNS Firewall genera los siguientes eventos. Para obtener más información, consulte [EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) en la *Guía del usuario de Amazon EventBridge *.


| Tipo de detalle del evento | Description (Descripción) | 
| --- | --- | 
|  [Bloqueo de DNS Firewall](events-detail-reference.md#dns-firewall-alert)  |  Cualquier acción de bloqueo realizada en un dominio. | 
|  [Alerta de DNS Firewall](events-detail-reference.md#dns-firewall-block)  |  Cualquier acción de alerta realizada en un dominio. | 

## Enviar eventos de Resolver DNS Firewall mediante reglas EventBridge
<a name="eventbridge-using-events-rules"></a>

Para que el bus de eventos EventBridge predeterminado envíe los eventos del firewall de DNS a un destino, debe crear una regla que contenga un patrón de eventos que coincida con los datos de los eventos del firewall de DNS que desee. 

El proceso para crear una regla consta de los siguientes pasos generales:

1. La creación de un patrón de eventos para la regla que especifica: 
   + El solucionador de VPC es la fuente de los eventos que evalúa la regla.
   + (Opcional): cualquier otro dato del evento con el que se pueda comparar.

   Para obtener más información, consulte [Crear patrones de eventos para los eventos de Resolver DNS Firewall](#eventbridge-using-events-rules-patterns)

1. (Opcional): Crear un *transformador de entrada* que personalice los datos del evento antes de EventBridge pasar la información al destino de la regla.

   Para obtener más información, consulte [Transformación de entrada](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-transform-target-input.html) en la *Guía del usuario de EventBridge *.

1. Especifica los objetivos a los que quieres EventBridge entregar los eventos que coincidan con el patrón de eventos.

   Los objetivos pueden ser otros AWS servicios, aplicaciones software-as-a-service (SaaS), destinos de API u otros puntos finales personalizados. Para más información, consulte [Destinos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) en la *Guía del usuario de EventBridge *.

Para obtener instrucciones detalladas sobre cómo crear reglas de bus de eventos, consulte [Creación de reglas que reaccionan a eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) en la *Guía del usuario de EventBridge *.

### Crear patrones de eventos para los eventos de Resolver DNS Firewall
<a name="eventbridge-using-events-rules-patterns"></a>

Cuando el firewall de DNS envía un evento al bus de eventos predeterminado, EventBridge utiliza el patrón de eventos definido para cada regla para determinar si el evento debe enviarse a los objetivos de la regla. Un patrón de eventos coincide con los datos de los eventos de DNS Firewall deseados. Cada patrón de eventos es un objeto JSON que contiene:
+ Un atributo `source` que identifica el servicio que envía el evento. En el caso de los eventos de DNS Firewall, la fuente es `aws.route53resolver`.
+ (Opcional): un atributo `detail-type` que contiene una matriz de los tipos de eventos que deben coincidir.
+ (Opcional): un atributo `detail` que contiene cualquier otro dato de evento con el que coincidir.

Por ejemplo, el siguiente patrón de eventos coincide con los eventos de alerta y bloqueo de DNS Firewall:

```
{
  "source": ["aws.route53resolver"],
  "detail-type": ["DNS Firewall Block", "DNS Firewall Alert"]
}
```

Mientras que el siguiente patrón de eventos coincide con una acción de BLOQUEO:

```
{
  "source": ["aws.route53resolver"],
  "detail-type": ["DNS Firewall Block"]
}
```

DNS Firewall envía el mismo evento para el mismo dominio solo una vez en un período de 6 horas. Por ejemplo: 

1. La instancia i-123 envió una consulta de DNS a exampledomain.com en el momento T1. DNS Firewall envía una alerta o un evento de bloqueo, ya que es la primera vez que ocurre.

1. La instancia i-123 envió un DNSquery exampledomain.com en el momento T1\$130 minutos. DNS Firewall no envía una alerta ni bloquea un evento, ya que este evento se ha repetido dentro de las últimas 6 horas.

1. La instancia i-123 envió una consulta de DNS a exampledomain.com en el momento T1\$17 horas. En este caso, DNS Firewall envía una alerta o bloquea el evento, ya que ha ocurrido luego del periodo de 6 horas.

Para obtener más información sobre la escritura de los patrones de eventos, consulte [Patrones de eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) en la *Guía del usuario de EventBridge *.

### Probando patrones de eventos para eventos de DNS Firewall en EventBridge
<a name="eventbridge-using-events-testing"></a>

Puede usar el EventBridge Sandbox para definir y probar rápidamente un patrón de eventos, sin tener que completar el proceso más amplio de crear o editar una regla. Con el Sandbox, puede definir un patrón de eventos y usar un evento de muestra para confirmar que el patrón coincide con los eventos deseados. EventBridge le dan la opción de crear una nueva regla utilizando ese patrón de eventos, directamente desde el entorno limitado.

Para obtener más información, consulte [Probar un patrón de eventos mediante el EventBridge entorno aislado](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-pattern-sandbox.html) en la Guía del *EventBridge usuario*.

### Creación de una EventBridge regla y un objetivo para el firewall de DNS
<a name="dns-firewall-rule-to-lambda-example"></a>

El siguiente procedimiento muestra cómo crear una regla que permita EventBridge enviar eventos para todas las acciones de alerta y bloqueo del Firewall de DNS, y cómo añadir una AWS Lambda función como destino de la regla.

1. Se utiliza AWS CLI para crear una EventBridge regla:

   ```
   aws events put-rule \
   --event-pattern "{\"source\":
   [\"aws.route53resolver\"],\"detail-type\":
   [\"DNS Firewall Block\", \"DNS Firewall Alert\"]}" \
   --name dns-firewall-rule
   ```

1. Asocie una función de Lambda como destino para dicha regla:

   `AWS events put-targets --rule dns-firewall-rule --targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:<your_function>`

1. Para añadir los permisos necesarios para invocar el destino, ejecute el siguiente comando de AWS CLI Lambda:

   `AWS lambda add-permission --function-name <your_function> --statement-id 1 --action 'lambda:InvokeFunction' --principal events.amazonaws.com`

## Amazon EventBridge permisos
<a name="eventbridge-permissions"></a>

DNS Firewall no requiere permisos adicionales para entregar eventos a Amazon EventBridge.

Los objetivos que especifique pueden necesitar permisos o configuraciones específicos. Para obtener más información sobre el uso de servicios específicos para los destinos, consulte [Destinos de Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) en la *Guía del usuario de Amazon EventBridge *.

## EventBridge Recursos adicionales
<a name="eventbridge-additonal-resources"></a>

Consulte los siguientes temas de la [https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) para obtener más información sobre EventBridge cómo procesar y administrar eventos.
+ Para obtener información detallada sobre cómo funcionan los buses de eventos, consulte [bus de eventos de Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html).
+ Para obtener información sobre la estructura de los eventos, consulte [Eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html).
+ Para obtener información sobre cómo crear patrones de eventos EventBridge para usarlos cuando se comparan eventos con reglas, consulte [Patrones de eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html).
+ Para obtener información sobre la creación de reglas para especificar qué eventos procesa EventBridge , consulte [Reglas](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html).
+ Para obtener información sobre cómo especificar a qué servicios u otros destinos se EventBridge envían los eventos coincidentes, consulte [Targets](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html).

# Referencia detallada de los eventos de Resolver DNS Firewall
<a name="events-detail-reference"></a>

Todos los eventos de los AWS servicios tienen un conjunto común de campos que contienen metadatos sobre el evento, como el AWS servicio que lo origina, la hora en que se generó el evento, la cuenta y la región en las que tuvo lugar el evento, etc. Para ver las definiciones de estos campos generales, consulte [Referencia de estructura de eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events-structure.html) en la *Guía del usuario de Amazon EventBridge *. 

Además, cada evento tiene un campo `detail` que contiene datos específicos de ese evento en particular. La siguiente referencia define los campos de detalle para los distintos eventos de DNS Firewall.

Cuando se utilice EventBridge para seleccionar y administrar eventos del firewall de DNS, es útil tener en cuenta lo siguiente:
+ El campo `source` para todos los eventos de DNS Firewall está establecido en `aws.route53resolver`.
+ El campo `detail-type` especifica el tipo de evento. 

  Por ejemplo, `DNS Firewall Block` o `DNS Firewall Alert`.
+ El campo `detail` contiene los datos específicos de ese evento en particular. 

Para obtener más información sobre cómo construir patrones de eventos que permitan que las reglas coincidan con los eventos de DNS Firewall, consulte [Patrones de eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) en la *Guía del usuario de Amazon EventBridge *.

Para obtener más información sobre los eventos y cómo EventBridge los procesa, consulte [Amazon EventBridge los eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) en la *Guía del Amazon EventBridge usuario*.

**Topics**
+ [Detalles de un evento de alerta de DNS Firewall](#dns-firewall-alert)
+ [Detalles de un evento de bloqueo de DNS Firewall](#dns-firewall-block)

## Detalles de un evento de alerta de DNS Firewall
<a name="dns-firewall-alert"></a>

A continuación, se muestran los campos de detalle de los detalles del evento de estado de alerta.

Los campos `source` y `detail-type` se incluyen porque contienen valores específicos para los eventos de Route 53.

```
{...,
 "detail-type": "DNS Firewall Alert",
  "source": "aws.route53resolver",
 ...,
 "detail": {
      "account-id": "string",
      "last-observed-at": "string",
      "query-name": "string",
      "query-type": "string",
      "query-class": "string",
      "transport": "string",
      "firewall-rule-action": "string",
      "firewall-rule-group-id": "string",
      "firewall-domain-list-id": "string",
      "firewall-protection": "string",
      "resources": [{
         "resource-type": "string",
         "instance-details": {
             "id": "string",
       }
     },
     { 
         "resource-type": "string",
         "resolver-endpoint-details": {
         "id": "string"
       }
     }
 ]
```

`detail-type`  
Identifica el tipo de evento.  
Para este evento, este valor es `DNS Firewall Alert`.

`source`  
Identifica el servicio que generó el evento. Para los eventos del DNS Firewall, este valor es `aws.route53resolver`.

`detail`  
Un objeto JSON que contiene información sobre el evento. El servicio que genera el evento determina el contenido de este campo.  
Para este evento, estos datos incluyen lo siguiente:    
`account-id`  
El ID del Cuenta de AWS que creó la VPC.  
`last-observed-at`  
La marca de tiempo del momento en que se realizó la Alert/Block consulta en la VPC.  
`query-name`  
El nombre de dominio (example.com) o nombre del subdominio (www.example.com) que se especificó en la consulta.  
`query-type`  
El tipo de registro DNS que se ha especificado en la solicitud o CUALQUIERA. Para obtener información acerca de los tipos que admite Route 53, consulte [Tipos de registros de DNS admitidos](ResourceRecordTypes.md).  
`query-class`  
La clase de consulta.  
`transport`  
El protocolo utilizado para enviar la consulta de DNS.  
`firewall-rule-action`  
La acción especificada por la regla que coincidió con el nombre de dominio de la consulta. `ALERT` o `BLOCK`.  
`firewall-rule-group-id`  
El ID del grupo de reglas de DNS Firewall de que coincidió con el nombre de dominio de la consulta. Para obtener más información sobre los grupos de reglas de firewall, consulte [Reglas y grupos de reglas de DNS Firewall](resolver-dns-firewall-rule-groups.md) de DNS Firewall.  
`firewall-domain-list-id`  
La lista de dominios utilizada por la regla que coincidió con el nombre de dominio de la consulta.   
`firewall-protection`  
La protección avanzada del firewall de DNS: DGA, DICTIONARY\$1DGA o DNS\$1TUNNELING. Para obtener más información sobre DNS Firewall, consulte [Resolver DNS Firewall Advanced](firewall-advanced.md).   
`resourcese`  
Contiene los tipos de recursos y más detalles sobre ellos.  
`resource-type`  
Especifica el tipo de recurso, como un punto de conexión de Resolver o una instancia de VPC.  
`resource-type-detail`  
Detalles adicionales sobre el recurso.

**Example Evento de alerta de DNS Firewall**  <a name="dns-firewall-alert.example"></a>
El siguiente es un evento de alerta de ejemplo.  

```
{
 "version": "1.0",
 "id": "8e5622f9-d81c-4d81-612a-9319e7ee2506",
 "detail-type": "DNS Firewall Alert",
 "source": "aws.route53resolver",
 "account": "123456789012",
 "time": "2023-05-30T21:52:17Z",
 "region": "us-west-2",
 "resources": [],
 "detail": {
 "account-id": "123456789012",
 "last-observed-at": "2023-05-30T20:15:15.900Z",
 "query-name": "15.3.4.32.in-addr.arpa.",
 "query-type": "A",
 "query-class": "IN",
 "transport": "UDP",
 "firewall-rule-action": "ALERT",
 "firewall-rule-group-id": "rslvr-frg-01234567890abcdef",
 "firewall-domain-list-id": "rslvr-fdl-01234567890abcdef",
 "firewall-protection": "DGA",
 "resources": [{
      "resource-type": "instance",
      "instance-details": {
         "id": "i-05746eb48123455e0",
       }
     },
     { 
      "resource-type": "resolver-endpoint",
      "resolver-endpoint-details": {
         "id": "i-05746eb48123455e0"
       }
     }
 ],
"src-addr": "4.5.64.102",
"src-port": "56067",
"vpc-id": "vpc-7example"
 }
}
```

## Detalles de un evento de bloqueo de DNS Firewall
<a name="dns-firewall-block"></a>

A continuación se *event name* muestran los campos de detalles de.

Los campos `source` y `detail-type` se incluyen porque contienen valores específicos para los eventos de Route 53.

```
{...,
 "detail-type": "DNS Firewall Block",
  "source": "aws.route53resolver",
 ...,
 "detail": {
      "account-id": "string",
      "last-observed-at": "string",
      "query-name": "string",
      "query-type": "string",
      "query-class": "string",
      "transport": "string",
      "firewall-rule-action": "string",
      "firewall-rule-group-id": "string",
      "firewall-domain-list-id": "string",
      "firewall-protection": "string",
      "resources": [{
         "resource-type": "string",
         "instance-details": {
             "id": "string",
       }
     },
     { 
         "resource-type": "string",
         "resolver-endpoint-details": {
         "id": "string"
       }
     }
 ]
```

`detail-type`  
Identifica el tipo de evento.  
Para este evento, este valor es `DNS Firewall Alert`.

`source`  
Identifica el servicio que generó el evento. Para los eventos del DNS Firewall, este valor es `aws.route53resolver`.

`detail`  
Un objeto JSON que contiene información sobre el evento. El servicio que genera el evento determina el contenido de este campo.  
Para este evento, estos datos incluyen lo siguiente:    
`account-id`  
El ID del Cuenta de AWS que creó la VPC.  
`last-observed-at`  
La marca de tiempo del momento en que se realizó la Alert/Block consulta en la VPC.  
`query-name`  
El nombre de dominio (example.com) o nombre del subdominio (www.example.com) que se especificó en la consulta.  
`query-type`  
El tipo de registro DNS que se ha especificado en la solicitud o CUALQUIERA. Para obtener información acerca de los tipos que admite Route 53, consulte [Tipos de registros de DNS admitidos](ResourceRecordTypes.md).  
`query-class`  
La clase de consulta.  
`transport`  
El protocolo utilizado para enviar la consulta de DNS.  
`firewall-rule-action`  
La acción especificada por la regla que coincidió con el nombre de dominio de la consulta. `ALERT` o `BLOCK`.  
`firewall-rule-group-id`  
El ID del grupo de reglas de DNS Firewall de que coincidió con el nombre de dominio de la consulta. Para obtener más información sobre los grupos de reglas de firewall, consulte [Reglas y grupos de reglas de DNS Firewall](resolver-dns-firewall-rule-groups.md) de DNS Firewall.  
`firewall-domain-list-id`  
La lista de dominios utilizada por la regla que coincidió con el nombre de dominio de la consulta.   
`firewall-protection`  
La protección avanzada del firewall de DNS: DGA, DICTIONARY\$1DGA o DNS\$1TUNNELING. Para obtener más información sobre DNS Firewall, consulte [Resolver DNS Firewall Advanced](firewall-advanced.md).   
`resourcese`  
Contiene los tipos de recursos y más detalles sobre ellos.  
`resource-type`  
Especifica el tipo de recurso, como un punto de conexión de Resolver o una instancia de VPC.  
`resource-type-detail`  
Detalles adicionales sobre el recurso.

**Example Evento de ejemplo de**  <a name="dns-firewall-block.example"></a>
El siguiente es un evento de bloqueo de ejemplo.  

```
{
 "version": "1.0",
 "id": "8e5622f9-d81c-4d81-612a-9319e7ee2506",
 "detail-type": "DNS Firewall Block",
 "source": "aws.route53resolver",
 "account": "123456789012",
 "time": "2023-05-30T21:52:17Z",
 "region": "us-west-2",
 "resources": [],
 "detail": {
 "account-id": "123456789012",
 "last-observed-at": "2023-05-30T20:15:15.900Z",
 "query-name": "15.3.4.32.in-addr.arpa.",
 "query-type": "A",
 "query-class": "IN",
 "transport": "UDP",
 "firewall-rule-action": "BLOCK",
 "firewall-rule-group-id": "rslvr-frg-01234567890abcdef",
 "firewall-domain-list-id": "rslvr-fdl-01234567890abcdef",
 "firewall-protection": "DNS_TUNNELING",
 "resources": [{
      "resource-type": "instance",
      "instance-details": {
         "id": "i-05746eb48123455e0"
       }
     },
     { 
      "resource-type": "resolver-endpoint",
      "resolver-endpoint-details": {
         "id": "i-05746eb48123455e0",
       }
     }
 ],
"src-addr": "4.5.64.102",
"src-port": "56067",
"vpc-id": "vpc-7example"
 }
}
```

# Registrar llamadas a la API de Amazon Route 53 con AWS CloudTrail
<a name="logging-using-cloudtrail"></a>

Route 53 está integrado con AWS CloudTrail un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un AWS servicio en Route 53. CloudTrail captura todas las llamadas a la API de Route 53 como eventos, incluidas las llamadas desde la consola de Route 53 y las llamadas en código a Route 53 APIs. Si crea una ruta, puede habilitar la entrega continua de CloudTrail eventos a un bucket de Amazon S3, incluidos los eventos de Route 53. Si no configura una ruta, podrá ver los eventos más recientes en la CloudTrail consola, en el **historial de eventos**. Con la información recopilada por CloudTrail, puede determinar la solicitud que se realizó a Route 53, la dirección IP desde la que se realizó la solicitud, quién la hizo, cuándo se realizó y detalles adicionales. 

**Topics**
+ [La información de Route 53 está en CloudTrail](#route-53-info-in-cloudtrail)
+ [Visualización de eventos de Route 53 en el historial de eventos](#route-53-events-in-cloudtrail-event-history)
+ [Descripción de las entradas de archivos de registro de Route 53](#understanding-route-53-entries-in-cloudtrail)

## La información de Route 53 está en CloudTrail
<a name="route-53-info-in-cloudtrail"></a>

CloudTrail está habilitada en su AWS cuenta al crear la cuenta. Cuando se produce una actividad en Route 53, esa actividad se registra en un CloudTrail evento junto con otros eventos de AWS servicio en el **historial de eventos**. Puede ver, buscar y descargar eventos recientes en su AWS cuenta. Para obtener más información, consulta Cómo [ver eventos con el historial de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html). 

Para tener un registro continuo de los eventos de su AWS cuenta, incluidos los eventos de la Ruta 53, cree un sendero. Un rastro permite CloudTrail entregar archivos de registro a un bucket de Amazon S3. De manera predeterminada, cuando se crea un registro de seguimiento en la consola, el registro de seguimiento se aplica a todas las regiones de . La ruta registra los eventos de todas las regiones de la AWS partición y entrega los archivos de registro al bucket de Amazon S3 que especifique. Además, puede configurar otros AWS servicios para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos. Para obtener más información, consulte lo siguiente: 
+ [Introducción a la creación de registros de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail servicios e integraciones compatibles](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configuración de las notificaciones de Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Recibir archivos de CloudTrail registro de varias regiones](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) y [recibir archivos de CloudTrail registro de varias cuentas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)

Todas las acciones de Route 53 se registran CloudTrail y se documentan en la [referencia de la API de Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/APIReference/). Por ejemplo, las llamadas a las `CreateHostedZone` `RegisterDomain` acciones y las llamadas generan entradas en los archivos de CloudTrail registro. `CreateHealthCheck` 

Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario lo ayuda a determinar lo siguiente: 
+ Si la solicitud se realizó con las credenciales raíz o del usuario de IAM.
+ Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.
+ Si la solicitud la realizó otro AWS servicio.

Para obtener más información, consulte el [elemento userIdentity de CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).

## Visualización de eventos de Route 53 en el historial de eventos
<a name="route-53-events-in-cloudtrail-event-history"></a>

CloudTrail le permite ver los eventos recientes en el **historial de eventos**. Para ver los eventos de solicitudes de API de Route 53, debe elegir **EE. UU. Este (Norte de Virginia)** en el selector de regiones de la parte superior de la consola. Para obtener más información, consulte [Visualización de eventos con el historial de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) en la *Guía del AWS CloudTrail usuario*.

## Descripción de las entradas de archivos de registro de Route 53
<a name="understanding-route-53-entries-in-cloudtrail"></a>

Un rastro es una configuración que permite la entrega de eventos como archivos de registro a un bucket de Amazon S3 que usted especifique. CloudTrail Los archivos de registro contienen una o más entradas de registro. Un evento representa una solicitud única de cualquier fuente e incluye información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud, etc. CloudTrail Los archivos de registro no son un registro de pila ordenado de las llamadas a la API pública, por lo que no aparecen en ningún orden específico. 

El elemento `eventName` identifica la acción que se ha producido. (En CloudTrail los registros, la primera letra está en minúscula para las acciones de registro de dominios, aunque en los nombres de las acciones esté en mayúscula. Por ejemplo, `UpdateDomainContact` aparece como `updateDomainContact` en los registros). CloudTrail admite todas las acciones de la API de Route 53. El siguiente ejemplo muestra una entrada de CloudTrail registro que muestra las siguientes acciones:
+ Enumere las zonas alojadas que están asociadas a una AWS cuenta
+ Crear una comprobación de estado
+ Crear dos registros
+ Eliminar una zona alojada
+ Actualizar la información de un dominio registrado
+ Cree un punto final saliente de Route 53 VPC Resolver

```
{
    "Records": [
        {
            "apiVersion": "2013-04-01",
            "awsRegion": "us-east-1",
            "eventID": "1cdbea14-e162-43bb-8853-f9f86d4739ca",
            "eventName": "ListHostedZones",
            "eventSource": "route53.amazonaws.com",
            "eventTime": "2015-01-16T00:41:48Z",
            "eventType": "AwsApiCall",
            "eventVersion": "1.02",
            "recipientAccountId": "444455556666",
            "requestID": "741e0df7-9d18-11e4-b752-f9c6311f3510",
            "requestParameters": null,
            "responseElements": null,
            "sourceIPAddress": "192.0.2.92",
            "userAgent": "Apache-HttpClient/4.3 (java 1.5)",
            "userIdentity": {
                "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
                "accountId": "111122223333",
                "arn": "arn:aws:iam::111122223333:user/smithj",
                "principalId": "A1B2C3D4E5F6G7EXAMPLE",
                "type": "IAMUser",
                "userName": "smithj"
            }
        },
        {
            "apiVersion": "2013-04-01",
            "awsRegion": "us-east-1",
            "eventID": "45ec906a-1325-4f61-b133-3ef1012b0cbc",
            "eventName": "CreateHealthCheck",
            "eventSource": "route53.amazonaws.com",
            "eventTime": "2018-01-16T00:41:57Z",
            "eventType": "AwsApiCall",
            "eventVersion": "1.02",
            "recipientAccountId": "444455556666",
            "requestID": "79915168-9d18-11e4-b752-f9c6311f3510",
            "requestParameters": {
                "callerReference": "2014-05-06 64832",
                "healthCheckConfig": {
                    "iPAddress": "192.0.2.249",
                    "port": 80,
                    "type": "TCP"
                }
            },
            "responseElements": {
                "healthCheck": {
                    "callerReference": "2014-05-06 64847",
                    "healthCheckConfig": {
                        "failureThreshold": 3,
                        "iPAddress": "192.0.2.249",
                        "port": 80,
                        "requestInterval": 30,
                        "type": "TCP"
                    },
                    "healthCheckVersion": 1,
                    "id": "b3c9cbc6-cd18-43bc-93f8-9e557example"
                },
                "location": "https://route53.amazonaws.com/2013-04-01/healthcheck/b3c9cbc6-cd18-43bc-93f8-9e557example"
            },
            "sourceIPAddress": "192.0.2.92",
            "userAgent": "Apache-HttpClient/4.3 (java 1.5)",
            "userIdentity": {
                "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
                "accountId": "111122223333",
                "arn": "arn:aws:iam::111122223333:user/smithj",
                "principalId": "A1B2C3D4E5F6G7EXAMPLE",
                "type": "IAMUser",
                "userName": "smithj"
            }
        },
        {
            "additionalEventData": {
                "Note": "Do not use to reconstruct hosted zone"
            },
            "apiVersion": "2013-04-01",
            "awsRegion": "us-east-1",
            "eventID": "883b14d9-2f84-4005-8bc5-c7bf0cebc116",
            "eventName": "ChangeResourceRecordSets",
            "eventSource": "route53.amazonaws.com",
            "eventTime": "2018-01-16T00:41:43Z",
            "eventType": "AwsApiCall",
            "eventVersion": "1.02",
            "recipientAccountId": "444455556666",
            "requestID": "7081d4c6-9d18-11e4-b752-f9c6311f3510",
            "requestParameters": {
                "changeBatch": {
                    "changes": [
                        {
                            "action": "CREATE",
                            "resourceRecordSet": {
                                "name": "prod.example.com.",
                                "resourceRecords": [
                                    {
                                        "value": "192.0.1.1"
                                    },
                                    {
                                        "value": "192.0.1.2"
                                    },
                                    {
                                        "value": "192.0.1.3"
                                    },
                                    {
                                        "value": "192.0.1.4"
                                    }
                                ],
                                "tTL": 300,
                                "type": "A"
                            }
                        },
                        {
                            "action": "CREATE",
                            "resourceRecordSet": {
                                "name": "test.example.com.",
                                "resourceRecords": [
                                    {
                                        "value": "192.0.1.1"
                                    },
                                    {
                                        "value": "192.0.1.2"
                                    },
                                    {
                                        "value": "192.0.1.3"
                                    },
                                    {
                                        "value": "192.0.1.4"
                                    }
                                ],
                                "tTL": 300,
                                "type": "A"
                            }
                        }
                    ],
                    "comment": "Adding subdomains"
                },
                "hostedZoneId": "Z1PA6795UKMFR9"
            },
            "responseElements": {
                "changeInfo": {
                    "comment": "Adding subdomains",
                    "id": "/change/C156SRE0X2ZB10",
                    "status": "PENDING",
                    "submittedAt": "Jan 16, 2018 12:41:43 AM"
                }
            },
            "sourceIPAddress": "192.0.2.92",
            "userAgent": "Apache-HttpClient/4.3 (java 1.5)",
            "userIdentity": {
                "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
                "accountId": "111122223333",
                "arn": "arn:aws:iam::111122223333:user/smithj",
                "principalId": "A1B2C3D4E5F6G7EXAMPLE",
                "type": "IAMUser",
                "userName": "smithj"
            }
        },
        {
            "apiVersion": "2013-04-01",
            "awsRegion": "us-east-1",
            "eventID": "0cb87544-ebee-40a9-9812-e9dda1962cb2",
            "eventName": "DeleteHostedZone",
            "eventSource": "route53.amazonaws.com",
            "eventTime": "2018-01-16T00:41:37Z",
            "eventType": "AwsApiCall",
            "eventVersion": "1.02",
            "recipientAccountId": "444455556666",
            "requestID": "6d5d149f-9d18-11e4-b752-f9c6311f3510",
            "requestParameters": {
                "id": "Z1PA6795UKMFR9"
            },
            "responseElements": {
                "changeInfo": {
                    "id": "/change/C1SIJYUYIKVJWP",
                    "status": "PENDING",
                    "submittedAt": "Jan 16, 2018 12:41:36 AM"
                }
            },
            "sourceIPAddress": "192.0.2.92",
            "userAgent": "Apache-HttpClient/4.3 (java 1.5)",
            "userIdentity": {
                "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
                "accountId": "111122223333",
                "arn": "arn:aws:iam::111122223333:user/smithj",
                "principalId": "A1B2C3D4E5F6G7EXAMPLE",
                "type": "IAMUser",
                "userName": "smithj"
            }
        },
        {
            "eventVersion": "1.05",
            "userIdentity": {
                "type": "IAMUser",
                "principalId": "A1B2C3D4E5F6G7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:user/smithj",
                "accountId": "111122223333",
                "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
                "userName": "smithj",
                "sessionContext": {
                    "attributes": {
                        "mfaAuthenticated": "false",
                        "creationDate": "2018-11-01T19:43:59Z"
                    }
                },
                "invokedBy": "test"
            },
            "eventTime": "2018-11-01T19:49:36Z",
            "eventSource": "route53domains.amazonaws.com",
            "eventName": "updateDomainContact",
            "awsRegion": "us-west-2",
            "sourceIPAddress": "192.0.2.92",
            "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:52.0) Gecko/20100101 Firefox/52.0",
            "requestParameters": {
                "domainName": {
                    "name": "example.com"
                }
            },
            "responseElements": {
                "requestId": "034e222b-a3d5-4bec-8ff9-35877ff02187"
            },
            "additionalEventData": "Personally-identifying contact information is not logged in the request",
            "requestID": "015b7313-bf3d-11e7-af12-cf75409087f6",
            "eventID": "f34f3338-aaf4-446f-bf0e-f72323bac94d",
            "eventType": "AwsApiCall",
            "recipientAccountId": "444455556666"
        },
        {
            "eventVersion": "1.05",
            "userIdentity": {
                "type": "IAMUser",
                "principalId": "A1B2C3D4E5F6G7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:user/smithj",
                "accountId": "111122223333",
                "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
                "sessionContext": {
                    "attributes": {
                        "mfaAuthenticated": "false",
                        "creationDate": "2018-11-01T14:33:09Z"
                    },
                    "sessionIssuer": {
                        "type": "Role",
                        "principalId": "AROAIUZEZLWWZOEXAMPLE",
                        "arn": "arn:aws:iam::123456789012:role/Admin",
                        "accountId": "123456789012",
                        "userName": "Admin"
                    }
                }
            },
            "eventTime": "2018-11-01T14:37:19Z",
            "eventSource": "route53resolver.amazonaws.com",
            "eventName": "CreateResolverEndpoint",
            "awsRegion": "us-west-2",
            "sourceIPAddress": "192.0.2.176",
            "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:52.0) Gecko/20100101 Firefox/52.0",
            "requestParameters": {
                "creatorRequestId": "123456789012",
                "name": "OutboundEndpointDemo",
                "securityGroupIds": [
                    "sg-05618b249example"
                ],
                "direction": "OUTBOUND",
                "ipAddresses": [
                    {
                        "subnetId": "subnet-01cb0c4676example"
                    },
                    {
                        "subnetId": "subnet-0534819b32example"
                    }
                ],
                "tags": []
            },
            "responseElements": {
                "resolverEndpoint": {
                    "id": "rslvr-out-1f4031f1f5example",
                    "creatorRequestId": "123456789012",
                    "arn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-endpoint/rslvr-out-1f4031f1f5example",
                    "name": "OutboundEndpointDemo",
                    "securityGroupIds": [
                        "sg-05618b249example"
                    ],
                    "direction": "OUTBOUND",
                    "ipAddressCount": 2,
                    "hostVPCId": "vpc-0de29124example",
                    "status": "CREATING",
                    "statusMessage": "[Trace id: 1-5bd1d51e-f2f3032eb75649f71example] Creating the Resolver Endpoint",
                    "creationTime": "2018-11-01T14:37:19.045Z",
                    "modificationTime": "2018-11-01T14:37:19.045Z"
                }
            },
            "requestID": "3f066d98-773f-4628-9cba-4ba6eexample",
            "eventID": "cb05b4f9-9411-4507-813b-33cb0example",
            "eventType": "AwsApiCall",
            "recipientAccountId": "123456789012"
        }
    ]
}
```