Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Registro de consultas de Resolver
<a name="resolver-query-logs"></a>

Puede registrar las siguientes consultas de DNS: 
+ Consultas que se originan en Amazon Virtual Private Cloud VPCs que especifique, así como las respuestas a esas consultas de DNS.
+ Consultas de recursos en las instalaciones que utilizan un punto de conexión de entrada de Resolver.
+ Consultas que utilizan un punto de conexión de salida de Resolver para la resolución de DNS recursiva.
+ Consultas que utilizan las reglas del firewall DNS de Resolver para bloquear, permitir o supervisar las listas de dominios.

Los registros de consultas de VPC Resolver incluyen valores como los siguientes:
+ La AWS región en la que se creó la VPC
+ El ID de VPC desde el que se originó la consulta
+ La dirección IP de la instancia desde la que se originó la consulta
+ El ID de instancia del recurso desde el que se originó la consulta
+ La fecha y la hora en que se efectuó la consulta por primera vez
+ El nombre de DNS solicitado (como prod.example.com)
+ El tipo de registro DNS (como, por ejemplo, A o AAAA)
+ El código de respuesta de DNS como, por ejemplo, `NoError` o `ServFail`
+ Los datos de respuesta de DNS, como la dirección IP que se devuelve en respuesta a la consulta de DNS
+ Una respuesta a una acción de regla de DNS Firewall

Para obtener una lista detallada de todos los valores registrados y un ejemplo, consulte [Valores que aparecen en los registros de consultas de VPC Resolver](resolver-query-logs-format.md).

**nota**  
Como es habitual en los solucionadores de DNS, los solucionadores almacenan en caché las consultas de DNS durante un período de tiempo determinado por el time-to-live TTL del solucionador. El solucionador de VPC de Route 53 almacena en caché las consultas que se originan en usted VPCs y responde desde la memoria caché siempre que es posible para acelerar las respuestas. El registro de consultas de VPC Resolver solo registra consultas únicas, no consultas a las que VPC Resolver puede responder desde la memoria caché.  
Por ejemplo, supongamos que una instancia de EC2 en una de las VPCs que una configuración de registro de consultas registra consultas envía una solicitud a accounting.example.com. El solucionador de VPC almacena en caché la respuesta a esa consulta y la registra. Si la interfaz de red elástica de la misma instancia realiza una consulta para accounting.example.com en el TTL de la memoria caché del solucionador de VPC, el solucionador de VPC responde a la consulta desde la memoria caché. La segunda consulta no se registra.

Puede enviar los registros a uno de los siguientes recursos: AWS 
+ Grupo de CloudWatch registros de Amazon CloudWatch Logs (Logs)
+ Bucket de Amazon S3 (S3)
+ Flujo de entrega de Firehose

Para obtener más información, consulte [AWS recursos a los que puede enviar registros de consultas de VPC Resolver](resolver-query-logs-choosing-target-resource.md).

**Topics**
+ [AWS recursos a los que puede enviar registros de consultas de VPC Resolver](resolver-query-logs-choosing-target-resource.md)
+ [Administración de configuraciones de registro de consultas de Resolver](resolver-query-logging-configurations-managing.md)

# AWS recursos a los que puede enviar registros de consultas de VPC Resolver
<a name="resolver-query-logs-choosing-target-resource"></a>

**nota**  
Si espera registrar consultas para cargas de trabajo con consultas altas por segundo (QPS), debe utilizar Amazon S3 para asegurarse de que los registros de consulta no se ven limitados de forma controlada al escribirlos en su destino. Si utilizas Amazon CloudWatch, puedes aumentar el límite de solicitudes por segundo para la `PutLogEvents` operación. Para obtener más información sobre cómo aumentar tus CloudWatch límites, consulta [las cuotas de CloudWatch registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html) en la *Guía del CloudWatch usuario de Amazon*.

Puede enviar los registros de consultas de VPC Resolver a los siguientes recursos: AWS 

**Grupo de CloudWatch registros de Amazon CloudWatch Logs (Amazon Logs)**  
Puede analizar registros con Logs Insights y crear métricas y alarmas.  
Para obtener más información, consulta la [Guía del usuario CloudWatch de Amazon Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).

**Bucket de Amazon S3 (S3)**  
El bucket de S3 es económico para archivar registros a largo plazo. La latencia suele ser mayor.  
Se admiten todas las opciones de cifrado en el lado del servidor de S3. Para obtener más información, consulte [Protección de datos mediante cifrado del lado del servidor](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) en la *Guía del usuario de Amazon S3*.  
Si elige el cifrado del lado del servidor con AWS KMS claves (SSE-KMS), debe actualizar la política de claves de su clave administrada por el cliente para que la cuenta de entrega de registros pueda escribir en su bucket de Amazon S3. *Para obtener más información sobre la política de claves necesaria para su uso con SSE-KMS, consulte el cifrado del [lado del servidor de bucket de Amazon S3 en la Guía del usuario](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-infrastructure-V2-S3.html#AWS-logs-SSE-KMS-S3-V2) de Amazon. CloudWatch *  
Si el bucket de S3 está en una cuenta de su propiedad, los permisos necesarios se agregan automáticamente a su política de bucket. Si desea enviar registros a un bucket de S3 en una cuenta que no posee, el propietario del bucket de S3 debe agregar permisos para su cuenta en su política de bucket. Por ejemplo:    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "CrossAccountAccess",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::your_bucket_name/AWSLogs/your_caller_account/*"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::your_bucket_name"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "iam_user_arn_or_account_number_for_root"
            },
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::your_bucket_name"
        }
    ]
}
```
 Si desea almacenar registros en un bucket de S3 central para su organización, le recomendamos que realice la configuración del registro de consultas desde una cuenta centralizada (con los permisos necesarios para escribir en un bucket central) y que use [RAM](query-logging-configurations-managing-sharing.md) para compartir la configuración entre cuentas.
Para obtener más información, consulte la [Guía del usuario de Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/).

**Flujo de entrega de Firehose**  
Puede transmitir registros en tiempo real a Amazon OpenSearch Service, Amazon Redshift u otras aplicaciones.  
Para obtener más información, consulte la [Guía para desarrolladores de Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/).

Para obtener información sobre los precios del registro de consultas de Resolver, consulta [ CloudWatch los precios de Amazon](https://aws.amazon.com/cloudwatch/pricing/).

CloudWatch Se aplican cargos por Vended Logs al utilizar los registros de VPC Resolver, incluso cuando los registros se publican directamente en Amazon S3. Para obtener más información, consulta [*los precios de Logs en los* CloudWatch precios de Amazon](https://aws.amazon.com//cloudwatch/pricing/#Vended_Logs).

# Administración de configuraciones de registro de consultas de Resolver
<a name="resolver-query-logging-configurations-managing"></a>

## Configuración (registro de consultas de VPC Resolver)
<a name="resolver-query-logs-configuring"></a>

Puede configurar el registro de consultas de VPC Resolver de dos maneras:
+ **Asociación directa de VPC**: se asocia VPCs directamente a una configuración de registro de consultas.
+ **Asociación de perfiles**: asocie una configuración de registro de consultas a un perfil de Route 53, que aplica el registro a todos los VPCs asociados a ese perfil. Para obtener más información, consulte [Asocie las configuraciones de registro de consultas de VPC Resolver a un perfil de Route 53](profile-associate-query-logging.md).

Para empezar a registrar las consultas de DNS que se originan en su VPCs, realice las siguientes tareas en la consola de Amazon Route 53:<a name="resolver-query-logs-configuring-procedure"></a>

**Para configurar el registro de consultas de Resolver**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Expanda el menú de la consola de Route 53. En la esquina superior izquierda de la consola, elija el icono de las tres barras horizontales (![\[Menu icon\]](http://docs.aws.amazon.com/es_es/Route53/latest/DeveloperGuide/images/menu-icon.png)).

1. En el menú Resolver, elija **Registro de consultas**.

1. En el selector de regiones, elija la AWS región en la que desee crear la configuración de registro de consultas. Debe ser la misma región en la que creó la región para la VPCs que desea registrar las consultas de DNS. Si está VPCs en varias regiones, debe crear al menos una configuración de registro de consultas para cada región.

1. Elija **Configure query logging** (Configuración del registro de consultas).

1. Especifique los siguientes valores:  
**Nombre de configuración del registro de consultas**  
Ingrese un nombre para la configuración del registro de consultas. El nombre aparece en la consola en la lista de configuraciones del registro de consultas. Ingrese un nombre que le ayude a encontrar esta configuración más tarde.  
**Destino de los registros de consulta**  
Elija el tipo de AWS recurso al que quiere que VPC Resolver envíe los registros de consultas. Para obtener información sobre cómo elegir entre las opciones (grupo de CloudWatch registros, depósito S3 y transmisión de entrega Firehose), consulte. [AWS recursos a los que puede enviar registros de consultas de VPC Resolver](resolver-query-logs-choosing-target-resource.md)  
Tras elegir el tipo de recurso, puede crear otro recurso de ese tipo o elegir un recurso existente creado por la AWS cuenta corriente.  
Solo puede elegir recursos que se hayan creado en la región de AWS que eligió en el paso 4, la región donde está creando la configuración del registro de consultas. Si decide crear un recurso nuevo, ese recurso se creará en la misma región.  
**VPCs para registrar consultas para**  
Esta configuración de registro de consultas registrará las consultas de DNS que se originen en el VPCs que elija. **Marque la casilla de verificación de cada VPC de la región actual en la que desee que VPC Resolver registre las consultas y, a continuación, seleccione Elegir.**  
**Alternativa**: en lugar de VPCs asociarla directamente, puede asociar esta configuración de registro de consultas a un perfil de Route 53, que aplicará el registro a todos los VPCs asociados a ese perfil. Para obtener más información, consulte [Asocie las configuraciones de registro de consultas de VPC Resolver a un perfil de Route 53](profile-associate-query-logging.md).  
La entrega de registros de VPC solo se puede habilitar una vez para un tipo de destino específico. Los registros no se pueden enviar a varios destinos del mismo tipo; por ejemplo, los registros de VPC no se pueden entregar a dos destinos de Amazon S3.

1. Elija **Configure query logging** (Configuración del registro de consultas).

**nota**  
Debe comenzar a ver consultas de DNS realizadas por los recursos de su VPC en los registros unos minutos después de crear correctamente la configuración del registro de consultas.

# Valores que aparecen en los registros de consultas de VPC Resolver
<a name="resolver-query-logs-format"></a>

Cada archivo de registros contiene una entrada de registro por cada consulta de DNS que recibe Amazon Route 53 desde solucionadores de DNS en la ubicación de borde correspondiente. Cada entrada de registro incluye los valores siguientes:

**versión**  
El número de versión de este formato de registro de consultas. La versión actual es `1.1`.  
El valor de versión contiene una versión principal y una versión secundaria con el formato **major\$1version.minor\$1version**. Por ejemplo, puede tener un valor `version` de `1.7`, donde `1 ` es la versión principal y `7` es la versión secundaria.  
Route 53 incrementa la versión principal si se realiza un cambio en la estructura del registro que no es compatible con versiones anteriores. Esto incluye eliminar un campo JSON existente o cambiar la forma en que se representa el contenido de un campo (por ejemplo, un formato de fecha).  
 Route 53 incrementa la versión secundaria si un cambio agrega nuevos campos al archivo de registros. Esto puede ocurrir cuando hay nueva información disponible para algunas o todas las consultas de DNS existentes dentro de una VPC. 

**account\$1id**  
El ID de la AWS cuenta que creó la VPC.

**region**  
La AWS región en la que creó la VPC.

**vpc\$1id**  
El ID de VPC en la que se originó la consulta.

**query\$1timestamp**  
La fecha y hora en que las que se envió la consulta, en formato ISO 8601 y hora universal coordinada (UTC, por sus siglas en inglés); por ejemplo, `2017-03-16T19:20:177Z`.   
Para obtener información acerca del formato ISO 8601, consulte el artículo de Wikipedia [ISO 8601](https://en.wikipedia.org/wiki/ISO_8601). Para obtener información sobre UTC, consulte el artículo de Wikipedia sobre [Hora universal coordinada](https://en.wikipedia.org/wiki/Coordinated_Universal_Time).

**query\$1name**  
El nombre de dominio (example.com) o nombre del subdominio (www.example.com) que se especificó en la consulta.

**query\$1type**  
El tipo de registro DNS que se ha especificado en la solicitud o `ANY`. Para obtener información acerca de los tipos que admite Route 53, consulte [Tipos de registros de DNS admitidos](ResourceRecordTypes.md).

**query\$1class**  
La clase de consulta.

**rcode**  
El código de respuesta de DNS que VPC Resolver devolvió en respuesta a la consulta de DNS. El código de respuesta indica si la consulta era válida o no. El código de respuesta más habitual es `NOERROR`, para indicar que la consulta era válida. Si la respuesta no es válida, Resolver devuelve un código de respuesta que explica el motivo. Para obtener una lista de los posibles códigos de respuesta, consulte [DNS RCODEs](https://www.iana.org/assignments/dns-parameters/dns-parameters.xhtml#dns-parameters-6) en el sitio web de la IANA.

**answer\$1type**  
El tipo de registro DNS (como A, MX o CNAME) del valor que VPC Resolver devuelve en respuesta a la consulta. Para obtener información acerca de los tipos que admite Route 53, consulte [Tipos de registros de DNS admitidos](ResourceRecordTypes.md).

**rdata**  
El valor que VPC Resolver devolvió en respuesta a la consulta. Por ejemplo, para un registro A, se trata de una dirección IP en IPv4 formato. Para un registro CNAME, será el nombre de dominio en el registro CNAME. 

**answer\$1class**  
La clase de la respuesta del solucionador de VPC a la consulta.

**srcaddr**  
La dirección IP del host que originó la consulta. 

**srcport**  
El puerto de la instancia desde la que se originó la consulta.

**transport**  
El protocolo utilizado para enviar la consulta de DNS.

**srcids**  
IDs del `instance``resolver_endpoint`, y del origen o por el `resolver_network_interface` que ha pasado la consulta de DNS.

**instancia**  
El ID de la instancia desde la que se originó la consulta.  
 Si ve un ID de instancia en los registros de consultas de VPC Resolver de Route 53 que no está visible en su cuenta, puede deberse a que la consulta de DNS se originó en la consola AWS Lambda Amazon EKS o AWS CloudShell Fargate, que utilizó usted.

**resolver\$1endpoint**  
El ID del punto de conexión del solucionador que pasa la consulta de DNS a los servidores DNS en las instalaciones.  
Si tiene registros CNAME que utilizan diferentes reglas de reenvío en cadena con distintos puntos de conexión del solucionador, los registros de consultas muestran solo el ID del último punto de conexión del solucionador utilizado en la cadena. Para rastrear la ruta de resolución completa a través de varios puntos de conexión, puede correlacionar los registros en diferentes configuraciones de registro de consultas.

**firewall\$1rule\$1group\$1id**  
El ID del grupo de reglas de DNS Firewall de que coincidió con el nombre de dominio de la consulta. Esto solo se rellena si DNS Firewall encontró una coincidencia para una regla con la acción configurada de alerta o bloqueo.  
Para obtener más información sobre los grupos de reglas de firewall, consulte [Reglas y grupos de reglas de DNS Firewall](resolver-dns-firewall-rule-groups.md).

**firewall\$1rule\$1action**  
La acción especificada por la regla que coincidió con el nombre de dominio de la consulta. Esto solo se rellena si DNS Firewall encontró una coincidencia para una regla con la acción configurada de alerta o bloqueo.

**firewall\$1domain\$1list\$1id**  
La lista de dominios utilizada por la regla que coincidió con el nombre de dominio de la consulta. Esto solo se rellena si DNS Firewall encontró una coincidencia para una regla con la acción configurada de alerta o bloqueo.

**additional\$1properties**  
Información adicional sobre los eventos de entrega del registro. **is\$1delay**: si hay una demora en la entrega de los registros.

# Ejemplo de registro de consultas de VPC Resolver de Route 53
<a name="resolver-query-logs-example-json"></a>

Presentamos un ejemplo de registro de consultas del solucionador:

```
          
      {
        "srcaddr": "4.5.64.102",
        "vpc_id": "vpc-7example",
        "answers": [
            {
                "Rdata": "203.0.113.9",
                "Type": "PTR",
                "Class": "IN"
            }
        ],
        "firewall_rule_group_id": "rslvr-frg-01234567890abcdef",
        "firewall_rule_action": "BLOCK",
        "query_name": "15.3.4.32.in-addr.arpa.",
        "firewall_domain_list_id": "rslvr-fdl-01234567890abcdef",
        "query_class": "IN",
        "srcids": {
            "instance": "i-0d15cd0d3example"
        },
        "rcode": "NOERROR",
        "query_type": "PTR",
        "transport": "UDP",
        "version": "1.100000",
        "account_id": "111122223333",
        "srcport": "56067",
        "query_timestamp": "2021-02-04T17:51:55Z",
        "region": "us-east-1"
    }
```

# Compartir las configuraciones de registro de consultas de Resolver con otras cuentas AWS
<a name="query-logging-configurations-managing-sharing"></a>

Puede compartir las configuraciones de registro de consultas que creó con una AWS cuenta con otras AWS cuentas. Para compartir configuraciones, la consola de resolución de VPC de Route 53 se integra con AWS Resource Access Manager. Para obtener más información acerca de Resource Access Manager, consulte la [Guía del usuario de Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).

Tenga en cuenta lo siguiente:

**Asociación VPCs con configuraciones de registro de consultas compartidas**  
Si otra AWS cuenta ha compartido una o más configuraciones con la suya, puede VPCs asociarla a la configuración del mismo modo que a VPCs las configuraciones que creó.

**Eliminación o dejar de compartir una configuración**  
Si comparte una configuración con otras cuentas y, a continuación, la elimina o deja de compartirla, y si hay una o más asociadas a la configuración, Route 53 VPC Resolver deja de registrar las consultas de DNS que VPCs se originan en esas cuentas. VPCs

**Número máximo de configuraciones de registro de consultas VPCs que se pueden asociar a una configuración**  
Cuando una cuenta crea una configuración y la comparte con una o más cuentas, se aplica el número máximo de cuentas VPCs que se pueden asociar a la configuración por cuenta. Por ejemplo, si tiene 10 000 cuentas en su organización, puede crear la configuración de registro de consultas en la cuenta central y compartirla AWS RAM a través de ella para compartirla con las cuentas de la organización. A continuación, las cuentas de la organización asociarán la configuración a su VPCs contabilización en función de las asociaciones de VPC de la configuración del registro de consultas de su cuenta por Región de AWS límite de 100. Sin embargo, si todas VPCs están en una sola cuenta, es posible que sea necesario aumentar los límites de servicio de la cuenta.  
Para conocer las cuotas actuales de VPC Resolver, consulte. [Cuotas en el solucionador de VPC Route 53](DNSLimitations.md#limits-api-entities-resolver)

**Permisos**  
Para compartir una regla con otra AWS cuenta, debe tener permiso para usar la [PutResolverQueryLogConfigPolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutResolverQueryLogConfigPolicy.html)acción.

**Restricciones en la AWS cuenta con la que se comparte una regla**  
La cuenta con la que se comparte una regla no puede cambiar o eliminar la regla. 

**Etiquetado**  
Solo la cuenta que creó una regla puede añadir, eliminar o consultar etiquetas de la regla.

Para ver el estado actual de uso compartido de una regla (incluida la cuenta que compartió la regla o la cuenta con la que se comparte una regla) y para compartir reglas con otra cuenta, siga el procedimiento que se indica a continuación.<a name="resolver-rules-managing-sharing-procedure"></a>

**Para ver el estado del uso compartido y compartir las configuraciones del registro de consultas con otra AWS cuenta**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. En el panel de navegación, elija **Query Logging** (Registro de consultas).

1. En la barra de navegación, elija la región en la que creó la regla.

   La columna **Sharing status** (Estado de uso compartido) muestra el estado actual de uso compartido de las reglas creadas por la cuenta actual o que se comparten con la cuenta actual:
   + **No compartida**: la AWS cuenta actual creó la regla y la regla no se comparte con ninguna otra cuenta.
   + **Shared by me** (Compartido por mí): la cuenta actual creó la regla y la compartió con una o varias cuentas.
   + **Shared with me** (Compartido conmigo): otra cuenta creó la regla y la compartió con la cuenta actual.

1. Elija el nombre de la regla cuya información de uso compartido desea mostrar o que desea compartir con otra cuenta.

   En la *rule name* página **Regla:**, el valor de **Propietario** muestra el ID de la cuenta que creó la regla. Es la cuenta actual a menos que el valor de **Sharing status** (Estado de uso compartido) sea **Shared with me** (Compartido conmigo). En ese caso, **Owner** (Propietario) es la cuenta que creó la regla y la compartió con la cuenta actual.

   También se muestra el estado de uso compartido.

1. Seleccione **Compartir configuración** para abrir la AWS RAM consola

1. Para crear un recurso compartido, siga los pasos descritos en [Crear un recurso compartido en AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) en la *Guía del usuario de AWS RAM *.
**nota**  
No se puede actualizar la configuración de uso compartido. Si desea cambiar cualquiera de los siguientes valores, debe volver a compartir una regla con la nueva configuración y, a continuación, quitar la configuración de uso compartido anterior.