Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Surveillance d'Amazon Route 53
La surveillance joue un rôle important dans le maintien de la fiabilité, de la disponibilité et des performances de vos AWS solutions. Vous devez collecter des données de surveillance provenant de toutes les parties de votre AWS solution afin de pouvoir corriger plus facilement une défaillance multipoint, le cas échéant. Toutefois, avant de commencer la surveillance, vous devez créer un plan de surveillance qui contient les réponses aux questions suivantes :
+ Quels sont les objectifs de la surveillance ?
+ Quelles sont les ressources à surveiller ?
+ À quelle fréquence les ressources doivent-elles être surveillées ?
+ Quels outils de surveillance utiliser ?
+ Qui exécute les tâches de supervision ?
+ Qui doit être informé en cas de problème ?
**Topics**
+ [Journalisation des requêtes DNS publiques](query-logs.md)
+ [Journalisation des requêtes Resolver](resolver-query-logs.md)
+ [Surveillance des registres de domaines](monitoring-domain-registrations.md)
+ [Surveillance de vos ressources grâce aux bilans de santé d'Amazon Route 53 et à Amazon CloudWatch](monitoring-cloudwatch.md)
+ [Surveillance des zones hébergées à l'aide d'Amazon CloudWatch](monitoring-hosted-zones-with-cloudwatch.md)
+ [Surveillance des points de terminaison du résolveur VPC Route 53 avec Amazon CloudWatch](monitoring-resolver-with-cloudwatch.md)
+ [Surveillance des groupes de règles du pare-feu DNS Resolver avec Amazon CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md)
+ [Gestion des événements du pare-feu DNS Resolver à l'aide de Amazon EventBridge](dns-firewall-eventbridge-integration.md)
+ [Journalisation des appels d'API Amazon Route 53 avec AWS CloudTrail](logging-using-cloudtrail.md)
# Journalisation des requêtes DNS publiques
Vous pouvez configurer Amazon Route 53 pour qu'il journalise les informations concernant les requêtes DNS publiques reçues par Route 53, telles que les suivantes :
+ Domaine ou sous-domaine demandé
+ Date et heure de la requête
+ Type de registre DNS (comme A ou AAAA)
+ Emplacement périphérique Route 53 qui a répondu à la requête DNS
+ Code de réponse DNS, tel que `NoError` ou `ServFail`
Une fois que vous avez configuré la journalisation des requêtes, Route 53 envoie les CloudWatch journaux à Logs. Vous utilisez CloudWatch les outils Logs pour accéder aux journaux de requêtes.
Les journaux de requêtes contiennent uniquement les requêtes que les résolveurs DNS envoient à Route 53. Si un résolveur DNS a déjà mis en cache la réponse à une requête (telle que l'adresse IP d'un équilibreur de charge pour exemple.com), le résolveur continuera à renvoyer la réponse mise en cache sans envoyer la requête à Route 53 jusqu'à ce que le TTL de l'enregistrement correspondant expire.
Selon le nombre de requêtes DNS qui sont soumises pour un nom de domaine (example.com) ou nom de sous-domaine (www.example.com), les résolveurs auxquels vos utilisateurs ont recours et la durée de vie (TTL) du registre, les journaux de requêtes peuvent contenir des informations concernant une seule requête sur les plusieurs milliers de requêtes qui sont soumises aux résolveurs DNS. Pour en savoir plus sur la façon dont les requêtes DNS fonctionnent, consultez [Acheminement du trafic Internet vers votre site web ou votre application web](welcome-dns-service.md).
Si vous n'avez pas besoin d'informations de connexion détaillées, vous pouvez utiliser CloudWatch les métriques Amazon pour connaître le nombre total de requêtes DNS auxquelles Route 53 répond pour une zone hébergée. Pour de plus amples informations, veuillez consulter [Affichage des métriques de requête DNS pour une zone hébergée publique](hosted-zone-public-viewing-query-metrics.md).
**Topics**
+ [Configuration de la journalisation des requêtes DNS](#query-logs-configuring)
+ [Utiliser Amazon CloudWatch pour accéder aux journaux de requêtes DNS](#query-logs-viewing)
+ [Modification de la période de conservation des journaux et exportation de journaux vers Amazon S3](#query-logs-changing-retention-period)
+ [Arrêt de la journalisation des requêtes](#query-logs-deleting-configuration)
+ [Valeurs qui apparaissent dans les journaux de requête DNS](#query-logs-format)
+ [Exemple de journal de requête](#query-logs-example)
## Configuration de la journalisation des requêtes DNS
Pour lancer la journalisation des requêtes DNS pour une zone hébergée, effectuez les tâches suivantes dans la console Amazon Route 53 :
+ Choisissez le groupe de CloudWatch journaux dans lequel vous souhaitez que Route 53 publie des journaux, ou créez un nouveau groupe de journaux.
**Note**
Le groupe de journaux doit résider dans la région USA East (N. Virginia) (USA Est [Virginie du Nord]).
+ Choisissez **Create** (Créer) pour terminer.
**Note**
Si des utilisateurs envoient des requêtes DNS pour votre domaine, vous devriez commencer à voir ces requêtes dans les journaux plusieurs minutes après avoir créé la configuration de journalisation.
**Pour configurer la journalisation des requêtes DNS**
1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Dans le panneau de navigation, choisissez **Hosted zones (Zones hébergées)**.
1. Choisissez la zone hébergée pour laquelle vous souhaitez configurer la journalisation des requêtes.
1. Dans le volet **Détails de la zone hébergée**, choisissez **Configurer la journalisation des requêtes**.
1. Choisissez un groupe de journaux existant ou créez un groupe de journaux.
1. Si vous recevez une alerte sur les autorisations (cela se produit si vous n'avez pas configuré la journalisation des requêtes avec la nouvelle console auparavant), effectuez l'une des opérations suivantes :
+ Si vous avez déjà 10 stratégies de ressources, vous ne pouvez plus en créer. Sélectionnez l'une de vos stratégies de ressources, puis sélectionnez**Modifier**. L'édition donnera à Route 53 l'autorisation d'écrire des journaux dans vos groupes de journaux. Choisissez **Enregistrer**. L'alerte disparaît et vous pouvez passer à l'étape suivante.
+ Si vous n'avez jamais configuré la journalisation des requêtes auparavant (ou si vous n'avez pas encore créé 10 politiques de ressources), vous devez autoriser Route 53 à écrire des journaux dans vos groupes de CloudWatch journaux. Choisissez **Grant permissions** (Accorder des autorisations). L'alerte disparaît et vous pouvez passer à l'étape suivante.
1. Choisissez **Permissions (facultatif)** pour voir un tableau indiquant si la politique de ressources correspond au groupe de CloudWatch journaux et si Route 53 est autorisée à publier des journaux sur CloudWatch.
1. Choisissez **Créer**.
## Utiliser Amazon CloudWatch pour accéder aux journaux de requêtes DNS
Amazon Route 53 envoie les journaux de requêtes directement à CloudWatch Logs ; les journaux ne sont jamais accessibles via Route 53. Vous utilisez plutôt CloudWatch les journaux pour afficher les journaux en temps quasi réel, rechercher et filtrer les données, et exporter les journaux vers Amazon S3.
Route 53 crée un flux de CloudWatch journaux pour chaque emplacement périphérique Route 53 qui répond aux requêtes DNS pour la zone hébergée spécifiée et envoie les journaux de requêtes au flux de journaux applicable. Le format du nom de chaque flux de journal est*hosted-zone-id*/*edge-location-ID*, par exemple,`Z1D633PJN98FT9/DFW3`.
Chaque position périphérique est identifiée par un code à trois lettres et un numéro attribué arbitrairement, par exemple,. DFW3 Le code sur trois lettres correspond généralement au code IATA (International Air Transport Association) d'un aéroport proche de l'emplacement périphérique. (Ces abréviations peuvent changer à l'avenir.) Pour obtenir la liste des emplacements périphériques, consultez « Le réseau global Route 53 » sur la page [Description détaillée de Route 53](https://aws.amazon.com/route53/details/).
**Note**
Il se peut que certains préfixes ou suffixes ne respectent pas la convention ci-dessus. Ces attributs de codage sont destinés à un usage interne uniquement.
Pour plus d'informations, consultez la documentation pertinente :
+ [Guide de l'utilisateur d'Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)
+ [Référence de l'API Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/)
+ [CloudWatch Section Logs de la référence des AWS CLI commandes](https://docs.aws.amazon.com/cli/latest/reference/logs/index.html)
+ [Valeurs qui apparaissent dans les journaux de requête DNS](#query-logs-format)
## Modification de la période de conservation des journaux et exportation de journaux vers Amazon S3
Par défaut, CloudWatch Logs stocke les journaux de requêtes indéfiniment. Vous pouvez éventuellement spécifier une période de conservation afin que CloudWatch Logs supprime les journaux antérieurs à cette période de conservation. Pour plus d'informations, consultez la section [Conservation des données du journal des modifications dans CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SettingLogRetention.html) du *guide de CloudWatch l'utilisateur Amazon*.
Si vous souhaitez conserver les données des CloudWatch journaux mais que vous n'avez pas besoin d'outils de journalisation pour les visualiser et les analyser, vous pouvez exporter les journaux vers Amazon S3, ce qui peut réduire vos coûts de stockage. Pour plus d'informations, veuillez consulter [Exportation de données de journal vers Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html).
Pour plus d'informations sur la tarification, veuillez consulter la page dédiée à ce sujet :
+ « Amazon CloudWatch Logs » sur la page de [CloudWatch tarification](https://aws.amazon.com/cloudwatch/pricing)
+ [Tarification Amazon S3](https://aws.amazon.com/s3/pricing)
**Note**
Lorsque vous configurez Route 53 pour consigner des requêtes DNS, vous ne devez régler aucun frais logiciel.
## Arrêt de la journalisation des requêtes
Si vous souhaitez qu'Amazon Route 53 arrête d'envoyer des journaux de requêtes à CloudWatch Logs, effectuez la procédure suivante pour supprimer la configuration de journalisation des requêtes.
**Pour supprimer une configuration de journalisation des requêtes**
1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Dans le panneau de navigation, choisissez **Hosted zones (Zones hébergées)**.
1. Sélectionnez le nom de la zone hébergée pour laquelle vous souhaitez supprimer la configuration de journalisation des requêtes.
1. Dans le volet **Hosted zone details (Détails de la zone hébergée)**, choisissez **Delete query logging configuration (Supprimer la configuration de la journalisation des requêtes)**.
1. Choisissez **Supprimer** pour confirmer.
## Valeurs qui apparaissent dans les journaux de requête DNS
Chaque fichier journal contient une entrée de journal par requête DNS qu'Amazon Route 53 a reçu de la part de résolveurs DNS à l'emplacement périphérique correspondant. Chaque entrée du journal contient les valeurs suivantes :
**Version de format du journal**
Numéro de version de ce journal de requêtes. Si nous ajoutons des champs au journal ou modifions le format des champs existants, nous incrémentons cette valeur.
**Horodatage de la requête**
La date et l'heure de la réponse de Route 53 à cette requête, au format ISO 8601 et en temps universel coordonné (UTC), par exemple `2017-03-16T19:20:25.177Z`.
Pour plus d'informations sur le format ISO 8601, consultez l'article Wikipédia [ISO 8601](https://en.wikipedia.org/wiki/ISO_8601). Pour plus d'informations sur UTC, consultez l'article Wikipédia [Temps universel coordonné](https://en.wikipedia.org/wiki/Coordinated_Universal_Time).
**ID de la zone hébergée**
ID de la zone hébergée associée à l'ensemble des requêtes DNS du journal.
**Nom de la requête**
Domaine ou sous-domaine spécifié dans la requête.
**Type de requête**
Type de registre DNS indiqué dans la requête, ou `ANY`. Pour en savoir plus sur les types pris en charge par Route 53, veuillez consulter [Types d'enregistrements DNS pris en charge](ResourceRecordTypes.md).
**Code de réponse**
Code de réponse DNS retourné par Route 53 en réponse à la requête DNS.
**Protocole de couche 4**
Protocole utilisé pour soumettre la requête, à savoir `TCP` ou `UDP`.
**Emplacement périphérique Route 53**
L'emplacement périphérique Route 53 qui a répondu à la requête. Chaque position de bord est identifiée par un code à trois lettres et un nombre arbitraire, DFW3 par exemple. Le code sur trois lettres correspond généralement au code IATA (International Air Transport Association) d'un aéroport proche de l'emplacement périphérique. (Ces abréviations peuvent changer à l'avenir.)
Pour obtenir la liste des emplacements périphériques, veuillez consulter « Le réseau global Route 53 » sur la page [Description détaillée de Route 53](https://aws.amazon.com/route53/details/).
**Resolver IP address (Adresse IP du résolveur)**
L'adresse IP du résolveur DNS qui envoyé la requête à Route 53.
**Sous-réseau client EDNS**
Adresse IP partielle du client dont émane la requête, si elle peut être obtenue auprès du résolveur DNS.
Pour plus d'informations, consultez le projet IETF [Client Subnet in DNS Requests](https://tools.ietf.org/html/draft-ietf-dnsop-edns-client-subnet-08).
## Exemple de journal de requête
Voici un exemple de journal de requête (Région est un espace réservé) :
```
1.0 2017-12-13T08:16:02.130Z Z123412341234 example.com A NOERROR UDP Region 192.168.1.1 -
1.0 2017-12-13T08:15:50.235Z Z123412341234 example.com AAAA NOERROR TCP Region 192.168.3.1 192.168.222.0/24
1.0 2017-12-13T08:16:03.983Z Z123412341234 example.com ANY NOERROR UDP Region 2001:db8::1234 2001:db8:abcd::/48
1.0 2017-12-13T08:15:50.342Z Z123412341234 bad.example.com A NXDOMAIN UDP Region 192.168.3.1 192.168.111.0/24
1.0 2017-12-13T08:16:05.744Z Z123412341234 txt.example.com TXT NOERROR UDP Region 192.168.1.2 -
```
# Journalisation des requêtes Resolver
Vous pouvez enregistrer les requêtes DNS suivantes :
+ Les requêtes provenant d'Amazon Virtual Private Cloud VPCs que vous spécifiez, ainsi que les réponses à ces requêtes DNS.
+ Requêtes provenant de ressources locales qui utilisent un point de terminaison Resolver entrant.
+ Requêtes qui utilisent un point de terminaison Resolver sortant pour la résolution DNS récursive.
+ Requêtes utilisant les règles du pare-feu DNS Resolver pour bloquer, autoriser ou surveiller les listes de domaines.
Les journaux de requêtes VPC Resolver incluent des valeurs telles que les suivantes :
+ La AWS région dans laquelle le VPC a été créé
+ L'ID du VPC d'origine de la requête
+ L'adresse IP de l'instance d'origine de la requête
+ L'ID d'instance de la ressource d'origine de la requête
+ La date et l'heure auxquelles la requête a été effectuée pour la première fois
+ Le nom DNS demandé (tel que prod.example.com)
+ Type de registre DNS (par exemple, A ou AAAA)
+ Code de réponse DNS, tel que `NoError` ou `ServFail`
+ Les données de réponse DNS, telles que l'adresse IP retournée en réponse à la requête DNS
+ Une réponse à une action de règle de pare-feu DNS
Pour lire une liste détaillée de toutes les valeurs enregistrées et lire un exemple, veuillez consulter [Valeurs qui apparaissent dans les journaux de requêtes de VPC Resolver](resolver-query-logs-format.md).
**Note**
Comme c'est le cas pour les résolveurs DNS, les résolveurs mettent en cache les requêtes DNS pendant une durée déterminée par le time-to-live (TTL) du résolveur. Le résolveur VPC Route 53 met en cache les requêtes qui proviennent de vous VPCs et répond à partir du cache chaque fois que cela est possible pour accélérer les réponses. La journalisation des requêtes VPC Resolver enregistre uniquement les requêtes uniques, et non les requêtes auxquelles VPC Resolver est capable de répondre depuis le cache.
Supposons par exemple qu'une instance EC2 dans l'une des configurations pour VPCs lesquelles une configuration de journalisation de requêtes enregistre des requêtes soumette une demande pour accounting.example.com. VPC Resolver met en cache la réponse à cette requête et enregistre la requête. Si l'interface Elastic Network de la même instance lance une requête pour accounting.example.com dans le TTL du cache du VPC Resolver, VPC Resolver répond à la requête depuis le cache. La deuxième requête n'est pas consignée.
Vous pouvez envoyer les journaux à l'une des AWS ressources suivantes :
+ Groupe de CloudWatch journaux Amazon CloudWatch Logs (Logs)
+ Compartiment Amazon S3 (S3)
+ Flux de diffusion Firehose
Pour de plus amples informations, veuillez consulter [AWS ressources auxquelles vous pouvez envoyer les journaux de requêtes de VPC Resolver](resolver-query-logs-choosing-target-resource.md).
**Topics**
+ [AWS ressources auxquelles vous pouvez envoyer les journaux de requêtes de VPC Resolver](resolver-query-logs-choosing-target-resource.md)
+ [Gestion des configurations de journalisation des requêtes Resolver](resolver-query-logging-configurations-managing.md)
# AWS ressources auxquelles vous pouvez envoyer les journaux de requêtes de VPC Resolver
**Note**
Si vous prévoyez de consigner les requêtes pour les charges de travail avec des requêtes élevées par seconde (QPS), vous devez utiliser Amazon S3 pour vous assurer que vos journaux de requêtes ne sont pas limités lorsqu'ils sont écrits sur votre destination. Si vous utilisez Amazon CloudWatch, vous pouvez augmenter la limite de demandes par seconde pour l'`PutLogEvents`opération. Pour en savoir plus sur l'augmentation de vos CloudWatch limites, consultez la section [Quotas de CloudWatch journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html) dans le *guide de CloudWatch l'utilisateur Amazon*.
Vous pouvez envoyer les journaux de requêtes VPC Resolver aux ressources suivantes : AWS
**Groupe de CloudWatch journaux Amazon CloudWatch Logs (Amazon Logs)**
Vous pouvez analyser les journaux à l'aide de Logs Insights et créer des métriques et des alarmes.
Pour plus d'informations, consultez le [guide de l'utilisateur d'Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).
**Compartiment Amazon S3 (S3)**
Un compartiment S3 est économique pour un archivage à long terme. La latence est généralement plus élevée.
Toutes les options de chiffrement côté serveur S3 sont prises en charge. Pour plus d'informations, consultez la section [Protection des données avec un chiffrement côté serveur](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) dans le *Guide de l'utilisateur d'Amazon S3*.
Si vous choisissez le chiffrement côté serveur avec AWS KMS clés (SSE-KMS), vous devez mettre à jour la politique des clés pour votre clé gérée par le client afin que le compte de livraison du journal puisse écrire dans votre compartiment Amazon S3. *Pour plus d'informations sur la politique de clé requise pour une utilisation avec SSE-KMS, consultez la section Chiffrement [côté serveur du compartiment Amazon S3 dans](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-infrastructure-V2-S3.html#AWS-logs-SSE-KMS-S3-V2) le guide de l'utilisateur Amazon. CloudWatch *
Si le compartiment S3 se trouve dans un compte que vous possédez, les autorisations requises sont automatiquement ajoutées à votre stratégie de compartiment. Si vous souhaitez envoyer des journaux à un compartiment S3 dans un compte que vous ne possédez pas, le propriétaire du compartiment S3 doit ajouter des autorisations pour votre compte dans sa stratégie de compartiment. Par exemple :
****
```
{
"Version":"2012-10-17",
"Id": "CrossAccountAccess",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::your_bucket_name/AWSLogs/your_caller_account/*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::your_bucket_name"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "iam_user_arn_or_account_number_for_root"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::your_bucket_name"
}
]
}
```
Si vous souhaitez stocker des journaux dans un compartiment S3 central pour votre organisation, nous vous recommandons de configurer vos paramètres de journalisation des requêtes à partir d'un compte centralisé (avec les autorisations nécessaires pour écrire dans un compartiment central) et d'utiliser [RAM](query-logging-configurations-managing-sharing.md) pour partager la configuration entre les comptes.
Pour en savoir plus, consultez [Guide de l’utilisateur Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/).
**Flux de diffusion Firehose**
Vous pouvez diffuser les journaux en temps réel vers Amazon OpenSearch Service, Amazon Redshift ou d'autres applications.
Pour plus d'informations, consultez le guide du [développeur Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/).
Pour plus d'informations sur la tarification de la journalisation des requêtes Resolver, consultez les [ CloudWatch tarifs Amazon](https://aws.amazon.com/cloudwatch/pricing/).
CloudWatch Les frais de Vended Logs s'appliquent lors de l'utilisation de journaux VPC Resolver, même lorsque les journaux sont publiés directement sur Amazon S3. Pour plus d'informations, consultez la section [*Tarification des journaux* sur Amazon CloudWatch ](https://aws.amazon.com//cloudwatch/pricing/#Vended_Logs).
# Gestion des configurations de journalisation des requêtes Resolver
## Configuration (journalisation des requêtes du résolveur VPC)
Vous pouvez configurer la journalisation des requêtes VPC Resolver de deux manières :
+ Association **directe de VPC : associez** VPCs directement à une configuration de journalisation des requêtes.
+ **Association de profils** : associez une configuration de journalisation des requêtes à un profil Route 53, ce qui applique la journalisation à tous VPCs ceux associés à ce profil. Pour de plus amples informations, veuillez consulter [Associer les configurations de journalisation des requêtes de VPC Resolver à un profil Route 53](profile-associate-query-logging.md).
Pour commencer à enregistrer les requêtes DNS provenant de votre VPCs, vous devez effectuer les tâches suivantes dans la console Amazon Route 53 :
**Pour configurer la journalisation des requêtes Resolver**
1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Développez le menu de la console Route 53. Dans le coin supérieur gauche de la console, sélectionnez l'icone des trois barres horizontales (![\[Menu icon\]](http://docs.aws.amazon.com/fr_fr/Route53/latest/DeveloperGuide/images/menu-icon.png)
1. Dans le menu Resolver, choisissez **Query logging (Journalisation des requêtes)**.
1. Dans le sélecteur de région, choisissez la AWS région dans laquelle vous souhaitez créer la configuration de journalisation des requêtes. Il doit s'agir de la même région que celle dans laquelle vous avez créé VPCs celle pour laquelle vous souhaitez enregistrer les requêtes DNS. Si vous avez plusieurs VPCs régions, vous devez créer au moins une configuration de journalisation des requêtes pour chaque région.
1. Choisissez **Configure query logging (Configurer la journalisation des requêtes)**.
1. Indiquez l'une des valeurs suivantes :
**Nom de la configuration de journalisation des requêtes**
Saisissez un nom pour votre configuration de journalisation des requêtes. Le nom s'affiche dans la console, dans la liste des configurations de journalisation des requêtes. Saisissez un nom qui vous aidera à retrouver la configuration plus tard.
**Destination des journaux de requête**
Choisissez le type de AWS ressource à laquelle vous souhaitez que VPC Resolver envoie les journaux de requêtes. Pour plus d'informations sur le choix entre les options (groupe de CloudWatch journaux, compartiment S3 et flux de diffusion Firehose), consultez. [AWS ressources auxquelles vous pouvez envoyer les journaux de requêtes de VPC Resolver](resolver-query-logs-choosing-target-resource.md)
Après avoir choisi le type de ressource, vous pouvez créer une autre ressource de ce type ou choisir une ressource existante créée par le AWS compte courant.
Vous pouvez uniquement choisir uniquement les ressources qui ont été créées dans la région AWS que vous avez choisie à l'étape 4, c'est-à-dire la région dans laquelle vous créez la configuration de journalisation des requêtes. Si vous choisissez de créer une nouvelle ressource, celle-ci sera créée dans la même région.
**VPCs pour enregistrer les requêtes pour**
Cette configuration d'enregistrement des requêtes enregistrera les requêtes DNS qui proviennent du fichier VPCs que vous avez choisi. **Cochez la case pour chaque VPC de la région actuelle pour lequel vous souhaitez que VPC Resolver enregistre les requêtes, puis choisissez Choisir.**
**Alternative** : au lieu de l'associer VPCs directement, vous pouvez associer cette configuration de journalisation des requêtes à un profil Route 53, qui appliquera la journalisation à tous VPCs ceux associés à ce profil. Pour de plus amples informations, veuillez consulter [Associer les configurations de journalisation des requêtes de VPC Resolver à un profil Route 53](profile-associate-query-logging.md).
La diffusion des journaux VPC ne peut être activée qu'une seule fois pour un type de destination spécifique. Les journaux ne peuvent pas être diffusés vers plusieurs destinations du même type. Par exemple, les journaux VPC ne peuvent pas être livrés à 2 destinations Amazon S3.
1. Choisissez **Configure query logging (Configurer la journalisation des requêtes)**.
**Note**
Vous devriez commencer à voir ces requêtes DNS exécutées par les ressources de votre VPC dans les journaux quelques minutes après avoir créé avec succès la configuration de journalisation.
# Valeurs qui apparaissent dans les journaux de requêtes de VPC Resolver
Chaque fichier journal contient une entrée de journal par requête DNS qu'Amazon Route 53 a reçu de la part de résolveurs DNS à l'emplacement périphérique correspondant. Chaque entrée du journal contient les valeurs suivantes :
**version**
Le numéro de version de ce journal de requêtes. La version actuelle est `1.1`.
La valeur de la version est une version majeure et mineure au format **major\$1version.minor\$1version**. Par exemple, vous pouvez avoir une valeur `version` de `1.7`, où `1 ` est la version majeure, et `7` est la version mineure.
La version majeure est incrémentée si Route 53 apporte à la structure du journal une modification qui n'est pas rétrocompatible. Cela inclut la suppression d'un champ JSON déjà existant ou la modification de la représentation du contenu d'un champ (par exemple, un format de date).
La version mineure est incrémentée si Route 53 ajoute de nouveaux champs au fichier journal. Cela peut se produire si de nouvelles informations sont disponibles pour certaines ou toutes les requêtes DNS existantes dans un VPC.
**account\$1id**
L'ID du AWS compte qui a créé le VPC.
**region**
La AWS région dans laquelle vous avez créé le VPC.
**vpc\$1id**
L'ID du VPC d'origine de la requête.
**query\$1timestamp**
La date et l'heure à laquelle la requête a été soumise, au format ISO 8601 et en temps universel coordonné (UTC), par exemple `2017-03-16T19:20:177Z`.
Pour plus d'informations sur le format ISO 8601, consultez l'article Wikipédia [ISO 8601](https://en.wikipedia.org/wiki/ISO_8601). Pour plus d'informations sur UTC, consultez l'article Wikipédia [Temps universel coordonné](https://en.wikipedia.org/wiki/Coordinated_Universal_Time).
**query\$1name**
Le nom de domaine (example.com) ou nom de sous-domaine (www.example.com) indiqué dans la requête.
**query\$1type**
Type de registre DNS indiqué dans la requête, ou `ANY`. Pour en savoir plus sur les types pris en charge par Route 53, veuillez consulter [Types d'enregistrements DNS pris en charge](ResourceRecordTypes.md).
**query\$1class**
La classe de la requête.
**rcode**
Le code de réponse DNS renvoyé par VPC Resolver en réponse à la requête DNS. Il indique si la requête était valide ou non. Le code de réponse le plus courant est `NOERROR`, ce qui signifie que la requête était valide. Si la réponse indique qu'elle n'est pas valide, Resolver retourne un code de réponse qui explique pourquoi elle ne l'est pas. Pour une liste des codes de réponse possibles, consultez le [DNS RCODEs](https://www.iana.org/assignments/dns-parameters/dns-parameters.xhtml#dns-parameters-6) sur le site Web de l'IANA.
**answer\$1type**
Type d'enregistrement DNS (tel que A, MX ou CNAME) de la valeur renvoyée par VPC Resolver en réponse à la requête. Pour en savoir plus sur les types pris en charge par Route 53, veuillez consulter [Types d'enregistrements DNS pris en charge](ResourceRecordTypes.md).
**rdata**
La valeur renvoyée par VPC Resolver en réponse à la requête. Par exemple, pour un enregistrement A, il s'agit d'une adresse IP au IPv4 format. Pour un registre CNAME, il s'agit du nom de domaine dans le registre CNAME.
**answer\$1class**
Classe de réponse du résolveur VPC à la requête.
**srcaddr**
Adresse IP de l'hôte à l'origine de la requête.
**srcport**
Le port de l'instance d'origine de la requête.
**transport**
Le protocole utilisé pour soumettre la requête DNS.
**srcids**
IDs du `instance``resolver_endpoint`, et de `resolver_network_interface` celui d'où provient ou est passée la requête DNS.
**instance**
L'ID de l'instance d'origine de la requête.
Si vous voyez un ID d'instance dans les journaux de requêtes de Route 53 VPC Resolver qui n'est pas visible dans votre compte, cela peut être dû au fait que la requête DNS provient soit d' AWS Lambda Amazon EKS AWS CloudShell, soit de la console Fargate, que vous avez utilisée.
**resolver\$1endpoint**
L'ID du point de terminaison du résolveur qui transmet la requête DNS aux serveurs DNS locaux.
Si vous avez des enregistrements CNAME qui intègrent différentes règles de transfert utilisant différents points de terminaison du résolveur, les journaux des requêtes indiquent uniquement l'ID du dernier point de terminaison du résolveur utilisé dans la chaîne. Pour suivre le chemin de résolution complet sur plusieurs points de terminaison, vous pouvez corréler les journaux entre différentes configurations de journalisation des requêtes.
**firewall\$1rule\$1group\$1id**
L'ID du groupe de règles de pare-feu DNS correspondant au nom de domaine de la requête. Ce champ n'est renseigné que si le pare-feu DNS a trouvé une correspondance pour une règle dont l'action est définie pour alerter ou bloquer.
Pour plus d'informations sur les groupes de règles de pare-feu, consultez [Règles et groupes de règles de pare-feu DNS](resolver-dns-firewall-rule-groups.md).
**firewall\$1rule\$1action**
L'action indiquée par la règle qui correspond au nom de domaine de la requête. Ce champ n'est renseigné que si le pare-feu DNS a trouvé une correspondance pour une règle dont l'action est définie pour alerter ou bloquer.
**firewall\$1domain\$1list\$1id**
La liste des domaines indiquée par la règle qui correspond au nom de domaine de la requête. Ce champ n'est renseigné que si le pare-feu DNS a trouvé une correspondance pour une règle dont l'action est définie pour alerter ou bloquer.
**additional\$1properties**
Informations supplémentaires sur les événements de livraison du journal. **is\$1delayed** : s'il y a un retard dans la livraison des journaux.
# Exemple de journal de requêtes Route 53 VPC Resolver
Voici un exemple de journal de requête d'un résolveur :
```
{
"srcaddr": "4.5.64.102",
"vpc_id": "vpc-7example",
"answers": [
{
"Rdata": "203.0.113.9",
"Type": "PTR",
"Class": "IN"
}
],
"firewall_rule_group_id": "rslvr-frg-01234567890abcdef",
"firewall_rule_action": "BLOCK",
"query_name": "15.3.4.32.in-addr.arpa.",
"firewall_domain_list_id": "rslvr-fdl-01234567890abcdef",
"query_class": "IN",
"srcids": {
"instance": "i-0d15cd0d3example"
},
"rcode": "NOERROR",
"query_type": "PTR",
"transport": "UDP",
"version": "1.100000",
"account_id": "111122223333",
"srcport": "56067",
"query_timestamp": "2021-02-04T17:51:55Z",
"region": "us-east-1"
}
```
# Partage des configurations de journalisation des requêtes de Resolver avec d'autres comptes AWS
Vous pouvez partager les configurations de journalisation des requêtes que vous avez créées à l'aide d'un AWS compte avec d'autres AWS comptes. Pour partager des configurations, la console Route 53 VPC Resolver s'intègre à AWS Resource Access Manager. Pour plus d'informations sur Resource Access Manager, consultez le [Guide de l'utilisateur Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).
Notez ce qui suit :
**Association à VPCs des configurations de journalisation de requêtes partagées**
Si un autre AWS compte a partagé une ou plusieurs configurations avec le vôtre, vous pouvez l' VPCs associer à la configuration de la même manière que vous l' VPCs associez aux configurations que vous avez créées.
**Suppression ou annulation du partage d'une configuration**
Si vous partagez une configuration avec d'autres comptes, puis que vous la supprimez ou que vous arrêtez de la partager, et si un ou plusieurs comptes VPCs étaient associés à la configuration, le résolveur VPC Route 53 arrête de consigner les requêtes DNS provenant de ces comptes. VPCs
**Nombre maximum de configurations de journalisation des requêtes VPCs pouvant être associées à une configuration**
Lorsqu'un compte crée une configuration et la partage avec un ou plusieurs autres comptes, le nombre maximum de comptes VPCs pouvant être associés à la configuration est appliqué par compte. Par exemple, si votre organisation possède 10 000 comptes, vous pouvez créer la configuration de journalisation des requêtes dans le compte central et la partager AWS RAM pour la partager avec les comptes de l'organisation. Les comptes de l'organisation associeront ensuite la configuration à leur VPCs comptage par rapport aux associations VPC de configuration du journal des requêtes de leur compte par Région AWS limite de 100. Toutefois, s' VPCs ils se trouvent tous dans un seul compte, il peut être nécessaire d'augmenter les limites de service du compte.
Pour les quotas actuels du résolveur VPC, consultez. [Quotas sur le résolveur VPC Route 53](DNSLimitations.md#limits-api-entities-resolver)
**Permissions**
Pour partager une règle avec un autre AWS compte, vous devez être autorisé à utiliser l'[PutResolverQueryLogConfigPolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutResolverQueryLogConfigPolicy.html)action.
**Restrictions relatives au AWS compte avec lequel une règle est partagée**
Le compte avec lequel une règle est partagée ne peut pas modifier ni supprimer la règle.
**Identification**
Seul le compte qui a créé une règle peut ajouter, supprimer ou consulter les balises de la règle.
Pour consulter le statut de partage actuel d'une règle (y compris le compte qui a partagé la règle ou le compte avec lequel une règle est partagée) et partager des règles avec un autre compte, exécutez la procédure suivante.
**Pour consulter l'état du partage et partager les configurations de journalisation des requêtes avec un autre AWS compte**
1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Dans le panneau de navigation, choisissez **Query Logging (Journalisation des requêtes)**.
1. Dans la barre de navigation, choisissez la région dans laquelle vous avez créé la règle.
La colonne **Sharing status (Statut de partage)** affiche le statut de partage actuel des règles qui ont été créées par le compte actuel ou qui sont partagées avec le compte actuel :
+ **Non partagé** : le AWS compte actuel a créé la règle, et celle-ci n'est partagée avec aucun autre compte.
+ **Shared by me (Partagé par moi)** : le compte actuel a créé la règle et l'a partagée avec un ou plusieurs comptes.
+ **Shared with me (Partagé avec moi)** : un autre compte a créé la règle et l'a partagée avec le compte actuel.
1. Choisissez le nom de la règle dont vous souhaitez afficher les informations de partage ou que vous souhaitez partager avec un autre compte.
Sur la *rule name* page **Règle :**, la valeur sous **Propriétaire** indique l'ID du compte qui a créé la règle. Il s'agit du compte actuel, à moins que la valeur **Sharing status (Statut de partage)** soit **Shared with me (Partagée avec moi)**. Dans ce cas, l'option **Owner (Propriétaire)** désigne le compte qui a créé la règle et l'a partagée avec le compte actuel.
L'état du partage est également affiché.
1. Choisissez **Partager la configuration** pour ouvrir la AWS RAM console
1. Pour créer un partage de ressources, suivez les étapes décrites dans la section [Création d'un partage de ressources AWS RAM dans](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) le *guide de AWS RAM l'utilisateur*.
**Note**
Vous ne pouvez pas mettre à jour les paramètres de partage. Si vous voulez modifier l'un des paramètres suivants, vous devez repartager une règle avec les nouveaux paramètres, puis supprimer les anciens paramètres de partage.
# Surveillance des registres de domaines
Le tableau de bord Amazon Route 53 fournit des informations détaillées sur le statut de vos registres de domaine, y compris les éléments suivants :
+ Statut des nouveaux registres de domaine
+ Statut des transferts de domaines vers Route 53
+ Liste des domaines qui approchent de la date d'expiration
Nous recommandons de vérifier régulièrement le tableau de bord dans la console Route 53, en particulier une fois que vous avez enregistré un nouveau domaine ou transféré un domaine vers Route 53, afin de confirmer que vous n'avez aucun problème à traiter.
Nous vous recommandons également de confirmer que les informations sur le contact pour vos domaines sont à jour. Lorsque la date d'expiration d'un domaine approche, nous envoyons au contact inscrit pour le domaine un e-mail contenant des informations sur la date d'expiration du domaine et comment le renouveler.
# Surveillance de vos ressources grâce aux bilans de santé d'Amazon Route 53 et à Amazon CloudWatch
Vous pouvez surveiller vos ressources en créant des bilans de santé Amazon Route 53, qui permettent de collecter et CloudWatch de traiter des données brutes pour en faire des indicateurs lisibles en temps quasi réel. Ces statistiques sont enregistrées pour une durée de deux semaines de sorte que vous pouvez accéder aux informations historiques et acquérir un meilleur point de vue sur les performances de vos ressources. Par défaut, les données métriques pour les bilans de santé de Route 53 sont automatiquement envoyées à des CloudWatch intervalles d'une minute.
Pour plus d'informations sur les surveillances d'état Route 53, veuillez consulter [Surveillance des bilans de santé à l'aide CloudWatch](monitoring-health-checks.md). Pour plus d'informations CloudWatch, consultez [Qu'est-ce qu'Amazon CloudWatch ?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) dans le *guide de CloudWatch l'utilisateur Amazon*.
## Métriques et dimensions pour les surveillances d'état Route 53
Lorsque vous créez un bilan de santé, Amazon Route 53 commence à envoyer des métriques et des dimensions une fois par minute CloudWatch à la ressource que vous spécifiez. La console Route 53 vous permet d'afficher le statut de vos surveillances d'état. Vous pouvez également utiliser les procédures suivantes pour afficher les métriques dans la CloudWatch console ou les afficher à l'aide du AWS Command Line Interface (AWS CLI).
**Pour afficher les métriques à l'aide de la CloudWatch console**
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le panneau de navigation, sélectionnez **Metrics** (Métriques).
1. Sous l'onglet **Toutes les métriques**, choisissez **Route 53**.
1. Choisissez **Health Check Metrics (Métriques de surveillance d'état)**.
**Pour consulter les statistiques à l'aide du AWS CLI**
+ À partir d'une invite de commande, utilisez la commande suivante :
```
1. aws cloudwatch list-metrics --namespace "AWS/Route53"
```
**Topics**
+ [CloudWatch métriques pour les bilans de santé de Route 53](#cloudwatch-metrics)
+ [Dimensions pour les métriques de surveillance d'état Route 53](#cloudwatch-dimensions-route-53-metrics)
### CloudWatch métriques pour les bilans de santé de Route 53
L'espace de nom `AWS/Route53` inclut les métriques suivantes pour les surveillances d'état Route 53 :
**ChildHealthCheckHealthyCount**
Pour une vérification de l'état calculée, le nombre de vérifications de l'état saines.
Statistiques valides : moyenne (recommandé), minimum, maximum
Unités : nombre
**ConnectionTime**
Le temps moyen, en millisecondes, qui a été nécessaire aux outils de surveillance d'état Route 53 pour établir une connexion TCP avec le point de terminaison. Vous pouvez consulter `ConnectionTime` pour une surveillance d'état de contrôle soit dans toutes les régions, soit pour une région géographique sélectionnée.
Statistiques valides : moyenne (recommandé), minimum, maximum
Unités : millisecondes
**HealthCheckPercentageHealthy**
Le pourcentage des outils de surveillance d'état Route 53 qui considèrent le point de terminaison sélectionné comme sain.
Statistiques valides : moyenne, minimum, maximum
Unités : pourcentage
**HealthCheckStatus**
État du point de terminaison du bilan de santé en CloudWatch cours de vérification. **1** indique un état sain et **0** indique un état malsain.
Statistiques valides : minimum, moyenne et maximum
Unités : aucune
**SSLHandshakeHeure**
Le temps moyen, en millisecondes, qui a été nécessaire aux outils de surveillance d'état Route 53 pour établir la liaison SSL. Vous pouvez consulter `SSLHandshakeTime` pour une surveillance d'état de contrôle soit dans toutes les régions, soit pour une région géographique sélectionnée.
Statistiques valides : moyenne (recommandé), minimum, maximum
Unités : millisecondes
**TimeToFirstByte**
Le temps moyen, en millisecondes, qui a été nécessaire aux outils de surveillance d'état Route 53 pour recevoir le premier octet de la réponse à une requête HTTP ou HTTPS. Vous pouvez consulter `TimeToFirstByte` pour une surveillance d'état de contrôle soit dans toutes les régions, soit pour une région géographique sélectionnée.
Statistiques valides : moyenne (recommandé), minimum, maximum
Unités : millisecondes
### Dimensions pour les métriques de surveillance d'état Route 53
Les métriques Route 53 pour les surveillances d'état utilisent l'espace de noms `AWS/Route53` et fournissent des métriques pour `HealthCheckId`. Lors de l'extraction des métriques, vous devez fournir à la fois la dimension `HealthCheckId`.
En outre, pour `ConnectionTime`, `SSLHandshakeTime` et `TimeToFirstByte`, vous pouvez spécifier le cas échéant `Region`. Si vous omettez`Region`, CloudWatch renvoie des statistiques pour toutes les régions. Si vous incluez`Region`, CloudWatch renvoie les statistiques uniquement pour la région spécifiée.
Pour de plus amples informations, veuillez consulter [Surveillance des bilans de santé à l'aide CloudWatch](monitoring-health-checks.md).
# Surveillance des zones hébergées à l'aide d'Amazon CloudWatch
Vous pouvez surveiller vos zones hébergées publiquement en utilisant Amazon CloudWatch pour collecter et traiter les données brutes en indicateurs lisibles en temps quasi réel. Les métriques sont disponibles peu de temps après que Route 53 ait reçu les requêtes DNS sur lesquelles les métriques sont basées. CloudWatch les données métriques pour les zones hébergées Route 53 ont une granularité d'une minute.
Pour plus d'informations, consultez la documentation suivante :
+ Pour un aperçu et des informations sur la façon d'afficher les métriques dans la CloudWatch console Amazon et sur la façon de récupérer des métriques à l'aide du AWS Command Line Interface (AWS CLI), voir [Affichage des métriques de requête DNS pour une zone hébergée publique](hosted-zone-public-viewing-query-metrics.md)
+ Pour plus d'informations sur la période de conservation des métriques, consultez [GetMetricStatistics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html)le *Amazon CloudWatch API Reference*.
+ Pour plus d'informations CloudWatch, consultez [Qu'est-ce qu'Amazon CloudWatch ?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) dans le *guide de CloudWatch l'utilisateur Amazon*.
+ Pour plus d'informations sur CloudWatch les métriques, consultez la section [Utilisation CloudWatch des métriques Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) dans le *guide de CloudWatch l'utilisateur Amazon*.
**Topics**
+ [CloudWatch métriques pour les zones hébergées publiques de la Route 53](#cloudwatch-metrics-route-53-hosted-zones)
+ [CloudWatch dimension pour les métriques de la zone hébergée publique Route 53](#cloudwatch-dimensions-route-53-hosted-zones)
## CloudWatch métriques pour les zones hébergées publiques de la Route 53
L'espace de noms `AWS/Route53` inclut les métriques suivantes pour les zones hébergées Route 53 :
**DNSQueries**
Pour une zone hébergée, le nombre de requêtes DNS auxquelles Route 53 répond au cours d'une période indiquée.
Statistiques valides : Sum, SampleCount
Unités : nombre
Région : Route 53 est un service global. Pour obtenir les métriques de zone hébergée, vous devez spécifier USA Est (Virginie du Nord) pour la région.
**DNSSECInternalDéfaillance**
La valeur est 1 si un objet de la zone hébergée est dans un état INTERNAL\$1FAILURE. Sinon, la valeur est 0.
Statistiques valides : somme
Unités : nombre
Volume : 1 par 4 heures par zone hébergée
Région : Route 53 est un service global. Pour obtenir les métriques de zone hébergée, vous devez spécifier USA Est (Virginie du Nord) pour la région.
**DNSSECKeySigningKeysNeedingAction**
Nombre de clés de signature (KSKs) ayant l'état ACTION\$1NEEDED (en raison d'une défaillance du KMS).
Statistiques valides : Sum, SampleCount
Unités : nombre
Volume : 1 par 4 heures par zone hébergée
Région : Route 53 est un service global. Pour obtenir les métriques de zone hébergée, vous devez spécifier USA Est (Virginie du Nord) pour la région.
**DNSSECKeySigningKeyMaxNeedingActionAge**
Le temps écoulé depuis que la clé de signature de clé (KSK) a été définie sur l'état ACTION\$1NEED.
Statistiques valides : maximum
Unités : secondes
Volume : 1 par 4 heures par zone hébergée
Région : Route 53 est un service global. Pour obtenir les métriques de zone hébergée, vous devez spécifier USA Est (Virginie du Nord) pour la région.
**DNSSECKeySigningKeyAge**
Le temps écoulé depuis la création de la clé de signature de clé (KSK) (et non depuis son activation).
Statistiques valides : maximum
Unités : secondes
Volume : 1 par 4 heures par zone hébergée
Région : Route 53 est un service global. Pour obtenir les métriques de zone hébergée, vous devez spécifier USA Est (Virginie du Nord) pour la région.
## CloudWatch dimension pour les métriques de la zone hébergée publique Route 53
Les métriques Route 53 pour les zones hébergées utilisent l'espace de noms `AWS/Route53` et fournissent des métriques pour `HostedZoneId`. Pour obtenir le nombre de requêtes DNS, vous devez spécifier l'ID de la zone hébergée dans la dimension `HostedZoneId`.
# Surveillance des points de terminaison du résolveur VPC Route 53 avec Amazon CloudWatch
Vous pouvez utiliser Amazon CloudWatch pour surveiller le nombre de requêtes DNS transmises par les points de terminaison VPC Resolver Route 53. Amazon CloudWatch collecte et traite les données brutes pour en faire des indicateurs lisibles en temps quasi réel. Ces statistiques sont enregistrées pour une durée de deux semaines de sorte que vous pouvez accéder aux informations historiques et acquérir un meilleur point de vue sur les performances de vos ressources. Par défaut, les données métriques des points de terminaison du Resolver sont automatiquement envoyées toutes les cinq CloudWatch minutes. L'intervalle de cinq minutes est également le plus petit intervalle auquel les données des métriques peuvent être envoyées.
Pour plus d'informations sur le résolveur VPC, consultez. [Qu'est-ce que Route 53 VPC Resolver ?](resolver.md) Pour plus d'informations CloudWatch, consultez [Qu'est-ce qu'Amazon CloudWatch ?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) dans le *guide de CloudWatch l'utilisateur Amazon*.
## Mesures et dimensions du résolveur VPC Route 53
Lorsque vous configurez VPC Resolver pour transférer les requêtes DNS vers votre réseau ou vice versa, VPC Resolver commence à envoyer des [métriques](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-resolver-with-cloudwatch.html#cloudwatch-metrics-resolver) et des [dimensions](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-resolver-with-cloudwatch.html#cloudwatch-dimensions-resolver) une fois toutes les cinq minutes à CloudWatch peu près au nombre de requêtes transférées. Vous pouvez utiliser les procédures suivantes pour afficher les métriques dans la CloudWatch console ou à l'aide du AWS Command Line Interface (AWS CLI).
**Pour afficher les métriques de VPC Resolver à l'aide de la console CloudWatch**
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans la barre de navigation, choisissez la région dans laquelle vous avez créé le point de terminaison.
1. Dans le panneau de navigation, sélectionnez **Metrics** (Métriques).
1. Sous l'onglet **Toutes les métriques**, choisissez **Route 53 Resolver**.
1. Choisissez **By Endpoint (Par point de terminaison)** pour afficher le nombre de requêtes pour un point de terminaison indiqué. Ensuite, choisissez les points de terminaison pour lesquels vous souhaitez afficher le nombre de requêtes.
Choisissez **Across All Endpoints** pour afficher le nombre de requêtes pour tous les points de terminaison entrants ou pour tous les endpoints sortants créés par le compte actuel. AWS Choisissez ensuite **InboundQueryVolume**ou **OutboundQueryVolume**pour afficher les dénombrements souhaités.
**Pour consulter les statistiques à l'aide du AWS CLI**
+ À partir d'une invite de commande, utilisez la commande suivante :
```
1. aws cloudwatch list-metrics --namespace "AWS/Route53Resolver"
```
**Topics**
+ [CloudWatch Mesures de base pour le résolveur VPC Route 53](#cloudwatch-metrics-resolver)
+ [CloudWatch Mesures détaillées pour le résolveur VPC Route 53](#cloudwatch-detailed-metrics-resolver)
+ [Dimensions des métriques du résolveur VPC Route 53](#cloudwatch-dimensions-resolver)
### CloudWatch Mesures de base pour le résolveur VPC Route 53
`AWS/Route53Resolver`l'espace de noms inclut des métriques de base pour les points de terminaison Route 53 VPC Resolver et pour les adresses IP gratuitement.
**Topics**
+ [Métriques pour les points de terminaison du résolveur VPC Route 53](#cloudwatch-metrics-resolver-endpoint)
+ [Métriques pour les adresses IP du résolveur VPC Route 53](#cloudwatch-metrics-resolver-ip-address)
#### Métriques pour les points de terminaison du résolveur VPC Route 53
L'espace de `AWS/Route53Resolver` noms inclut les métriques suivantes pour les points de terminaison Route 53 VPC Resolver.
**EndpointHealthyENICount**
Le nombre d'interfaces réseau Elastic dans l'état `OPERATIONAL`. Cela signifie que les interfaces réseau Amazon VPC pour ce point de terminaison (indiqué par `EndpointId`) sont correctement configurées et en mesure de transmettre les requêtes DNS entrantes ou sortantes entre votre réseau et Resolver.
Statistiques valides : minimum, maximum, moyenne
Unités : nombre
**EndpointUnhealthyENICount**
Le nombre d'interfaces réseau Elastic dans l'état `AUTO_RECOVERING`.
Cela signifie que le résolveur tente de récupérer une ou plusieurs des interfaces réseau Amazon VPC qui sont associées au point de terminaison (indiqué par `EndpointId`). Pendant le processus de récupération, le point de terminaison fonctionne avec une capacité limitée et ne peut pas traiter les requêtes DNS tant qu'il n'est pas entièrement récupéré.
Statistiques valides : minimum, maximum, moyenne
Unités : nombre
**InboundQueryVolume**
Pour les points de terminaison entrants, le nombre de requêtes DNS transférées de votre réseau vers le vôtre VPCs via le point de terminaison spécifié par. `EndpointId`
Statistiques valides : somme
Unités : nombre
**OutboundQueryVolume**
Pour les points de terminaison sortants, le nombre de requêtes DNS transmises de vous VPCs à votre réseau via le point de terminaison spécifié par. `EndpointId`
Statistiques valides : somme
Unités : nombre
**OutboundQueryAggregateVolume**
Pour les points de terminaison sortants, le nombre total de requêtes DNS transférées depuis Amazon VPCs vers votre réseau, y compris les suivantes :
+ Le nombre de requêtes DNS transférées de vous VPCs vers votre réseau via le point de terminaison spécifié par`EndpointId`.
+ Lorsque le compte actuel partage les règles du résolveur avec d'autres comptes, les requêtes provenant de VPCs ce compte sont créées par d'autres comptes qui sont transmises à votre réseau via le point de terminaison spécifié par`EndpointId`.
Statistiques valides : somme
Unités : nombre
**ResolverEndpointCapacityStatus**
État de capacité du point de terminaison du résolveur. La métrique indique l'état actuel d'utilisation de la capacité, dans lequel : 0 = OK (capacité opérationnelle normale), 1 = Avertissement (au moins une interface Elastic Network dépasse 50 % d'utilisation de la capacité) et 2 = Critical (au moins une interface Elastic Network dépasse 75 % d'utilisation de la capacité).
L'état de capacité est déterminé par plusieurs facteurs, notamment le volume des requêtes, la latence des requêtes, les protocoles DNS, la taille des paquets DNS et l'état du suivi des connexions.
Statistiques valides : maximum
Unités : aucune
**Meilleures pratiques pour la gestion de la capacité des points de terminaison VPC Resolver**
Pour résoudre les problèmes de capacité, nous recommandons généralement d'augmenter le nombre d'interfaces réseau élastiques pour votre point de terminaison Resolver. Cependant, des considérations importantes doivent être prises en compte pour des types de terminaux spécifiques :
Pour les **points de terminaison entrants**, l'équilibrage de la charge de trafic dépend du client. Par conséquent, les avertissements de capacité ou les alertes critiques peuvent indiquer un « point chaud » où un sous-ensemble d'interfaces réseau élastiques est utilisé de manière disproportionnée.
+ Pour identifier les problèmes potentiels d'équilibrage de charge, examinez les [InboundQueryVolume](#cloudwatch-metrics-resolver-ip-address)métriques de chaque interface Elastic Network individuellement.
Pour les **points de terminaison sortants**, le trafic est automatiquement équilibré entre les interfaces réseau élastiques. Les problèmes de capacité peuvent être dus à des problèmes liés au serveur de noms cible ou au fait que les requêtes à latence élevée ou les délais d'expiration surchargent les interfaces réseau du résolveur.
+ Dans ces cas, le simple fait d'augmenter les interfaces réseau élastiques risque de ne pas être efficace, et nous vous recommandons de corriger le serveur de noms cible.
#### Métriques pour les adresses IP du résolveur VPC Route 53
L'espace de noms `AWS/Route53Resolver` inclut les métriques suivantes pour chaque adresse IP associée à un point de terminaison Resolver entrant ou sortant. (Lorsque vous spécifiez un point de terminaison, VPC Resolver crée une [interface](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) Amazon VPC Elastic network.)
**InboundQueryVolume**
Pour chaque adresse IP de vos points de terminaison entrants, le nombre de requêtes DNS transférées de votre réseau à l'adresse IP spécifiée. Chaque adresse IP est identifiée par l'ID d'adresse IP. Vous pouvez obtenir cette valeur en utilisant la console Route 53. Sur la page correspondant au point de terminaison applicable, dans la section Adresses IP, reportez-vous à la colonne **ID d'adresse IP**. Vous pouvez également obtenir la valeur par programmation en utilisant. [ListResolverEndpointIpAddresses](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_ListResolverEndpointIpAddresses.html)
Statistiques valides : somme
Unités : nombre
**OutboundQueryAggregateVolume**
Pour chaque adresse IP de vos points de terminaison sortants, le nombre total de requêtes DNS transférées d'Amazon VPCs vers votre réseau, y compris les suivantes :
+ Le nombre de requêtes DNS transmises de votre part VPCs à votre réseau à l'aide de l'adresse IP spécifiée.
+ Lorsque le compte courant partage les règles du résolveur avec d'autres comptes, les requêtes provenant de VPCs ce compte sont créées par d'autres comptes qui sont transmises à votre réseau en utilisant l'adresse IP spécifiée.
Chaque adresse IP est identifiée par l'ID d'adresse IP. Vous pouvez obtenir cette valeur en utilisant la console Route 53. Sur la page correspondant au point de terminaison applicable, dans la section Adresses IP, reportez-vous à la colonne **ID d'adresse IP**. Vous pouvez également obtenir la valeur par programmation en utilisant. [ListResolverEndpointIpAddresses](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_ListResolverEndpointIpAddresses.html)
Statistiques valides : somme
Unités : nombre
### CloudWatch Mesures détaillées pour le résolveur VPC Route 53
Route 53 VPC Resolver fournit des métriques RNI Enhanced et Target Name Server en tant que fonctionnalités d'option pour les points de terminaison. Ces mesures sont envoyées à des CloudWatch intervalles d'une minute.
**Note**
Les métriques détaillées ne sont pas activées par défaut, mais peuvent être activées au niveau du point de terminaison. Ces métriques peuvent être activées par programmation lors de la création ou de la mise à jour de points de terminaison à l' RniEnhancedMetricsEnabled aide des indicateurs et. TargetNameServerMetricsEnabled Pour plus d’informations, consultez [CreateResolverEndpoint](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_CreateResolverEndpoint.html) et [UpdateResolverEndpoint](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_UpdateResolverEndpoint.html).
La CloudWatch tarification et les frais standard sont appliqués pour l'utilisation des métriques détaillées du point de terminaison Route 53 Resolver. Pour plus d'informations, consultez [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/).
**Topics**
+ [Métriques améliorées du RNI](#cloudwatch-detailed-metrics-resolver-endpoints-ip-addresses)
+ [Métriques du serveur de noms cibles](#cloudwatch-detailed-metrics-resolver-endpoints-target-nameservers)
#### Métriques améliorées du RNI
Route 53 Resolver publie des métriques améliorées RNI sur Amazon CloudWatch pour surveiller les performances et l'état des points de terminaison et des adresses IP du résolveur. L'espace de `AWS/Route53Resolver` noms inclut les métriques améliorées RNI suivantes pour les points de terminaison entrants et sortants de Route 53 Resolver dans, dimension : `EndpointId` `RniId`
**P90 ResponseTime**
Latence de réponse au 90e percentile des requêtes DNS reçues par l'adresse IP du résolveur (`RniId`) associée au point de terminaison du résolveur () `EndpointId`
Statistiques valides : maximum
Unités : microsecondes
**ServFailQueries**
Nombre de réponses SERVFAIL pour les requêtes DNS envoyées à l'adresse IP du résolveur (`RniId`) associée au point de terminaison du résolveur () `EndpointId`
Statistiques valides : somme
Unités : nombre
**NxDomainQueries**
Nombre de réponses NXDOMAIN pour les requêtes DNS envoyées à l'adresse IP du résolveur (`RniId`) associée au point de terminaison du résolveur () `EndpointId`
Statistiques valides : somme
Unités : nombre
**RefusedQueries**
Nombre de réponses REFUSÉES pour les requêtes DNS envoyées à l'adresse IP du résolveur (`RniId`) associée au point de terminaison du résolveur () `EndpointId`
Statistiques valides : somme
Unités : nombre
**FormErrorQueries**
Nombre de réponses FORMERR pour les requêtes DNS envoyées à l'adresse IP du résolveur (`RniId`) associée au point de terminaison du résolveur () `EndpointId`
Statistiques valides : somme
Unités : nombre
**TimeoutQueries**
Nombre de délais d'expiration pour les requêtes DNS envoyées à l'adresse IP du résolveur (`RniId`) associée au point de terminaison du résolveur () `EndpointId`
Statistiques valides : somme
Unités : nombre
#### Métriques du serveur de noms cibles
Route 53 Resolver publie les métriques des serveurs de noms cibles sur Amazon afin de surveiller CloudWatch les performances et la disponibilité des serveurs de noms cibles associés aux points de terminaison du résolveur. L'espace de `AWS/Route53Resolver` noms inclut les mesures détaillées suivantes pour les points de terminaison sortants de Route 53 Resolver dans, dimensions : `EndpointID` `TargetNameServerIP`
**P90 ResponseTime**
Latence de réponse au 90e percentile de l'adresse IP du serveur de noms cible (`TargetNameServerIP`) pour les requêtes DNS envoyées via le point de terminaison du résolveur () `EndpointID`
Statistiques valides : maximum
Unités : microsecondes
**RequestQueries**
Nombre de requêtes DNS envoyées à l'adresse IP du serveur de noms cible (`TargetNameServerIP`) via le point de terminaison du résolveur (`EndpointID`).
Statistiques valides : somme
Unités : nombre
**TimeoutQueries**
Nombre de requêtes DNS envoyées via le point de terminaison du résolveur (`EndpointID`) qui ont expiré à l'adresse IP du serveur de noms cible ()`TargetNameServerIP`.
Statistiques valides : somme
Unités : nombre
**Note**
Dans certains cas, des lacunes peuvent être observées dans les métriques VPC Resolver (ResolverEndpointCapacityStatus) et les métriques améliorées du RNI. Ces lacunes peuvent se produire lorsque vos interfaces réseau sont soumises à une maintenance ou à des mises à jour planifiées consécutives. Après la remise en service d'une interface réseau, il faut au moins une minute à notre service pour collecter les données opérationnelles et publier ces indicateurs. Ces lacunes n'indiquent pas que votre point de terminaison VPC Resolver est en panne. Si vous configurez une CloudWatch alarme pour ces mesures, nous vous recommandons ce qui suit :
Réglez l'alarme sur « Traiter les données manquantes comme ignorées », ou
Configurez une période d'évaluation de plus de cinq minutes pour le seuil d'alarme.
Ces paramètres aideront à réduire les fausses alarmes lors des activités de maintenance normales.
### Dimensions des métriques du résolveur VPC Route 53
Les métriques Route 53 VPC Resolver pour les points de terminaison entrants et sortants utilisent l'espace de `AWS/Route53Resolver` noms et fournissent des métriques pour les dimensions suivantes :
+ `EndpointId`: si vous spécifiez une valeur pour la `EndpointId` dimension, CloudWatch renvoie le nombre de requêtes DNS pour le point de terminaison spécifié. Si vous ne le spécifiez pas`EndpointId`, CloudWatch renvoie le nombre de requêtes DNS pour tous les points de terminaison créés par le AWS compte actuel.
+ `RniId`la dimension est prise en charge pour `OutboundQueryAggregateVolume` et `InboundQueryVolume` les métriques.
+ `EndpointId`, `RniId` la dimension est prise en charge pour`P90ResponseTime`,`ServFailQueries`,`NxDomainQueries`, `RefusedQueries``FormErrorQueries`, et `TimeoutQueries` pour l'adresse IP du résolveur associée au point de terminaison du résolveur.
+ `EndpointID`, `TargetNameServerIP` la dimension est prise en charge pour `P90ResponseTime``RequestQueries`, et `TimeoutQueries` pour le serveur de noms cible associé au point de terminaison du résolveur.
# Surveillance des groupes de règles du pare-feu DNS Resolver avec Amazon CloudWatch
Vous pouvez utiliser Amazon CloudWatch pour surveiller le nombre de requêtes DNS filtrées par les groupes de règles Resolver DNS Firewall. Amazon CloudWatch collecte et traite les données brutes pour en faire des indicateurs lisibles en temps quasi réel. Ces statistiques sont enregistrées pour une durée de deux semaines de sorte que vous pouvez accéder aux informations historiques et acquérir un meilleur point de vue sur les performances de vos ressources. Par défaut, les données métriques relatives aux groupes de règles du pare-feu DNS sont automatiquement envoyées CloudWatch toutes les cinq minutes.
Pour en savoir plus sur le pare-feu DNS, veuillez consulter [Utilisation du pare-feu DNS pour filtrer le trafic DNS sortant](resolver-dns-firewall.md). Pour plus d'informations CloudWatch, consultez [Qu'est-ce qu'Amazon CloudWatch ?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) dans le *guide de CloudWatch l'utilisateur Amazon*.
## Mesures et dimensions du pare-feu DNS Resolver
Lorsque vous associez un groupe de règles Resolver DNS Firewall à un VPC pour filtrer les requêtes DNS, le DNS Firewall commence à envoyer des métriques et des dimensions toutes les 5 minutes CloudWatch à environ les requêtes qu'il filtre. Pour plus d'informations sur la métrique et la dimension pour les pare-feu DNS, veuillez consulter [CloudWatch métriques pour Resolver DNS Firewall](#cloudwatch-metrics-resolver-dns-firewall).
Vous pouvez utiliser les procédures suivantes pour afficher les métriques dans la CloudWatch console ou à l'aide du AWS Command Line Interface (AWS CLI).
**Pour afficher les métriques du pare-feu DNS à l'aide de la CloudWatch console**
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans la barre de navigation, sélectionnez la région que vous souhaitez afficher.
1. Dans le panneau de navigation, sélectionnez **Metrics** (Métriques).
1. Dans l'onglet **Toutes les métriques**, choisissez **Route 53 VPC** Resolver.
1. Choisissez une métrique qui vous intéresse.
**Pour consulter les statistiques à l'aide du AWS CLI**
+ À partir d'une invite de commande, utilisez la commande suivante :
```
1. aws cloudwatch list-metrics --namespace "AWS/Route53Resolver"
```
**Topics**
+ [CloudWatch métriques pour Resolver DNS Firewall](#cloudwatch-metrics-resolver-dns-firewall)
### CloudWatch métriques pour Resolver DNS Firewall
L'espace de `AWS/Route53Resolver` noms inclut des métriques pour les groupes de règles Resolver DNS Firewall.
**Topics**
+ [Métriques pour les groupes de règles du pare-feu DNS Resolver](#cloudwatch-metrics-resolver-dns-firewall-rule-group)
+ [Métriques pour VPCs](#cloudwatch-metrics-resolver-vpc)
+ [Métriques pour le groupe de règles de pare-feu et l'association de VPC](#cloudwatch-metrics-resolver-firewall-vpc)
+ [Métriques pour une liste de domaines dans un groupe de règles de pare-feu](#cloudwatch-metrics-domain-list-firewall)
#### Métriques pour les groupes de règles du pare-feu DNS Resolver
**FirewallRuleGroupQueryVolume**
Le nombre de requêtes DNS Firewall correspondant à un groupe de règles de pare-feu (indiqué par `FirewallRuleGroupId`).
Dimensions : `FirewallRuleGroupId`
Statistiques valides : somme
Unités : nombre
#### Métriques pour VPCs
**VpcFirewallQueryVolume**
Le nombre de requêtes DNS Firewall à partir d'un VPC (indiqué par `VpcId`).
Dimensions : `VpcId`
Statistiques valides : somme
Unités : nombre
#### Métriques pour le groupe de règles de pare-feu et l'association de VPC
**FirewallRuleGroupVpcQueryVolume**
Le nombre de requêtes DNS Firewall de vos VPC (indiqué par `VpcId`) correspondant à un groupe de règles de pare-feu (indiqué par `FirewallRuleGroupId`).
Dimensions : `FirewallRuleGroupId, VpcId`
Statistiques valides : somme
Unités : nombre
#### Métriques pour une liste de domaines dans un groupe de règles de pare-feu
**FirewallRuleQueryVolume**
Le nombre de requêtes DNS Firewall correspondant à une liste de domaines de pare-feu (indiqué par `FirewallDomainListId`) dans un groupe de règles de pare-feu (indiqué par `FirewallRuleGroupId`).
Dimensions : `FirewallRuleGroupId, FirewallDomainListId`
Statistiques valides : somme
Unités : nombre
# Gestion des événements du pare-feu DNS Resolver à l'aide de Amazon EventBridge
Amazon EventBridge est un service sans serveur qui utilise des événements pour connecter les composants de l'application entre eux, ce qui vous permet de créer plus facilement des applications évolutives pilotées par des événements. Une architecture pilotée par les événements est un style de création de systèmes logiciels faiblement couplés qui fonctionnent ensemble en émettant des événements et en y répondant. Les événements représentent une modification d’une ressource ou d’un environnement.
Comme c'est le cas pour de nombreux AWS services, le pare-feu DNS génère et envoie des événements au bus d'événements EventBridge par défaut. (Le bus d'événements par défaut est automatiquement configuré dans chaque AWS compte.) Un bus d'événements est un routeur qui reçoit des événements et les transmet à zéro ou plusieurs destinations, ou *cibles*. Les règles que vous spécifiez pour le bus d’événements évaluent les événements à mesure qu’ils arrivent. Chaque règle vérifie si un événement correspond au *modèle d’événement* de la règle. Si l’événement correspond, le bus d’événements envoie l’événement à la ou aux cibles spécifiées.
![\[AWS les services envoient des événements au bus d'événements EventBridge par défaut. Si l'événement correspond au modèle d'événement d'une règle, EventBridge envoie l'événement aux cibles spécifiées pour cette règle.\]](http://docs.aws.amazon.com/fr_fr/Route53/latest/DeveloperGuide/images/eventbridge-integration-how-it-works.png)
**Topics**
+ [Evénements du pare-feu DNS Resolver](#supported-events)
+ [Envoi d'événements de pare-feu DNS Resolver à l'aide EventBridge de règles](#eventbridge-using-events-rules)
+ [Amazon EventBridge autorisations](#eventbridge-permissions)
+ [EventBridge Ressources supplémentaires](#eventbridge-additonal-resources)
+ [Référence détaillée des événements du pare-feu DNS Resolver](events-detail-reference.md)
## Evénements du pare-feu DNS Resolver
VPC Resolver envoie automatiquement les événements du pare-feu DNS au bus d' EventBridge événements par défaut. Vous pouvez créer des règles sur le bus d'événements ; chaque règle inclut un modèle d'événement et une ou plusieurs cibles. Les événements qui correspondent au modèle d'événements d'une règle sont transmis aux cibles spécifiées dans la mesure [du possible.](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-service-event.html#eb-service-event-delivery-level) Les événements peuvent être livrés hors service.
Les événements suivants sont générés par le pare-feu DNS. Pour plus d'informations, consultez [EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html)le *guide de Amazon EventBridge l'utilisateur.* .
| Type de détail d’événement | Description |
| --- | --- |
| [Bloc de pare-feu DNS](events-detail-reference.md#dns-firewall-alert) | Toute action de blocage effectuée sur un domaine. |
| [Alerte de pare-feu DNS](events-detail-reference.md#dns-firewall-block) | Toute action d'alerte exécutée sur un domaine. |
## Envoi d'événements de pare-feu DNS Resolver à l'aide EventBridge de règles
Pour que le bus d'événements EventBridge par défaut envoie les événements du pare-feu DNS à une cible, vous devez créer une règle contenant un modèle d'événements correspondant aux données des événements du pare-feu DNS souhaités.
La création d'une règle comprend les étapes générales suivantes :
1. Création d'un modèle d'événement pour la règle qui spécifie :
+ Le résolveur VPC est la source des événements évalués par la règle.
+ (Facultatif) : Toute autre donnée d'événement à comparer.
Pour de plus amples informations, consultez [Création de modèles d'événements pour les événements du pare-feu DNS Resolver](#eventbridge-using-events-rules-patterns).
1. (Facultatif) : Création *d'un transformateur d'entrée* qui personnalise les données de l'événement EventBridge avant de les transmettre à la cible de la règle.
Pour plus d'informations, consultez la section [Transformation des entrées](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-transform-target-input.html) dans le *guide de EventBridge l'utilisateur*.
1. Spécifier la ou les cibles auxquelles vous souhaitez EventBridge envoyer des événements qui correspondent au modèle d'événement.
Les cibles peuvent être d'autres AWS services, des applications software-as-a-service (SaaS), des destinations d'API ou d'autres points de terminaison personnalisés. Pour plus d'informations, veuillez consulter la rubrique [Cibles](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) dans le *Guide de l'utilisateur EventBridge *.
Pour obtenir des instructions complètes sur la création de règles de bus d'événements, voir [Création de règles réagissant aux événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) dans le *Guide de EventBridge l'utilisateur*.
### Création de modèles d'événements pour les événements du pare-feu DNS Resolver
Lorsque le pare-feu DNS envoie un événement au bus d'événements par défaut, il EventBridge utilise le modèle d'événement défini pour chaque règle afin de déterminer si l'événement doit être transmis aux cibles de la règle. Un modèle d'événement correspond aux données des événements de pare-feu DNS souhaités. Chaque modèle d’événement est un objet JSON qui contient :
+ Un attribut `source` qui identifie le service qui envoie l’événement. Pour les événements du pare-feu DNS, la source est`aws.route53resolver`.
+ (Facultatif) : un attribut `detail-type` qui contient un tableau des types d’événements à associer.
+ (Facultatif) : un attribut `detail` qui contient toute autre donnée d’événement à rechercher.
Par exemple, le modèle d'événement suivant correspond à la fois aux événements d'alerte et de blocage du pare-feu DNS :
```
{
"source": ["aws.route53resolver"],
"detail-type": ["DNS Firewall Block", "DNS Firewall Alert"]
}
```
Alors que le modèle d'événement suivant correspond à une action BLOCK :
```
{
"source": ["aws.route53resolver"],
"detail-type": ["DNS Firewall Block"]
}
```
Le pare-feu DNS envoie le même événement pour le même domaine une seule fois par période de 6 heures. Par exemple :
1. L'instance i-123 a envoyé une requête DNS exampledomain.com à l'instant T1. Le pare-feu DNS envoie une alerte ou un événement de blocage car il s'agit de la première occurrence.
1. L'instance i-123 a envoyé un DNSquery exempledomain.com à l'heure T1\$130 minutes. Le pare-feu DNS n'envoie pas d'alerte ni d'événement de blocage car il s'agit d'un événement récurrent dans les 6 heures.
1. L'instance i-123 a envoyé une requête DNS exampledomain.com à l'heure T1\$17 heures. Le pare-feu DNS envoie une alerte ou un événement de blocage lorsque celui-ci se produit en dehors du délai de 6 heures.
Pour plus d'informations sur la rédaction de modèles d'événements, consultez la section [Modèles d'événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) dans le *guide de EventBridge l'utilisateur*.
### Test des modèles d'événements pour les événements du pare-feu DNS dans EventBridge
Vous pouvez utiliser le EventBridge Sandbox pour définir et tester rapidement un modèle d'événement, sans avoir à terminer le processus plus vaste de création ou de modification d'une règle. À l'aide du Sandbox, vous pouvez définir un modèle d'événement et utiliser un exemple d'événement pour confirmer que le modèle correspond aux événements souhaités. EventBridge vous permettent de créer une nouvelle règle à l'aide de ce modèle d'événement, directement depuis le sandbox.
Pour plus d'informations, consultez la section [Tester un modèle d'événement à l'aide du EventBridge Sandbox](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-pattern-sandbox.html) dans le *guide de l'EventBridge utilisateur*.
### Création d'une EventBridge règle et d'une cible pour le pare-feu DNS
La procédure suivante explique comment créer une règle qui permet EventBridge d'envoyer des événements pour toutes les actions d'alerte et de blocage du pare-feu DNS, et d'ajouter une AWS Lambda fonction en tant que cible pour la règle.
1. AWS CLI À utiliser pour créer une EventBridge règle :
```
aws events put-rule \
--event-pattern "{\"source\":
[\"aws.route53resolver\"],\"detail-type\":
[\"DNS Firewall Block\", \"DNS Firewall Alert\"]}" \
--name dns-firewall-rule
```
1. Attachez une fonction Lambda comme cible pour la règle :
`AWS events put-targets --rule dns-firewall-rule --targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:`
1. Pour ajouter les autorisations requises pour appeler la cible, exécutez la commande Lambda AWS CLI suivante :
`AWS lambda add-permission --function-name --statement-id 1 --action 'lambda:InvokeFunction' --principal events.amazonaws.com`
## Amazon EventBridge autorisations
Le pare-feu DNS ne nécessite aucune autorisation supplémentaire pour transmettre des événements à Amazon EventBridge.
Les cibles que vous spécifiez peuvent nécessiter des autorisations ou une configuration spécifiques. Pour plus de détails sur l'utilisation de services spécifiques pour les cibles, voir [Amazon EventBridge les cibles](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) dans le *guide de Amazon EventBridge l'utilisateur*.
## EventBridge Ressources supplémentaires
Reportez-vous aux rubriques suivantes du [https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) pour plus d'informations sur le traitement et la gestion des événements. EventBridge
+ Pour des informations détaillées sur le fonctionnement des bus d'événements, consultez la section [bus Amazon EventBridge d'événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html).
+ Pour plus d'informations sur la structure des événements, consultez la section [Événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html).
+ Pour plus d'informations sur la création de modèles d'événements EventBridge à utiliser lors de la mise en correspondance d'événements par rapport à des règles, voir [Modèles d'événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html).
+ Pour plus d'informations sur la création de règles pour spécifier quels événements sont EventBridge traités, consultez la section [Règles](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html).
+ Pour plus d'informations sur la manière de spécifier les services ou autres destinations auxquels les EventBridge événements correspondants sont envoyés, consultez la section [Cibles](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html).
# Référence détaillée des événements du pare-feu DNS Resolver
Tous les événements issus AWS des services ont un ensemble commun de champs contenant des métadonnées relatives à l'événement, telles que le AWS service à l'origine de l'événement, l'heure à laquelle l'événement a été généré, le compte et la région dans lesquels l'événement a eu lieu, etc. Pour les définitions de ces champs généraux, voir la [référence relative à la structure des événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events-structure.html) dans le *guide de Amazon EventBridge l'utilisateur*.
En outre, chaque événement possède un champ `detail` qui contient des données spécifiques à cet événement en particulier. La référence ci-dessous définit les champs détaillés pour les différents événements du pare-feu DNS.
Lorsque vous l'utilisez EventBridge pour sélectionner et gérer les événements du pare-feu DNS, il est utile de garder à l'esprit les points suivants :
+ Le `source` champ pour tous les événements du pare-feu DNS est défini sur`aws.route53resolver`.
+ Le champ `detail-type` indique le type d'événement.
Par exemple, `DNS Firewall Block` ou `DNS Firewall Alert`.
+ Le champ `detail` contient les données spécifiques à cet événement en particulier.
Pour plus d'informations sur la création de modèles d'événements permettant aux règles de correspondre aux événements du pare-feu DNS, consultez la section [Modèles d'événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) dans le *guide de Amazon EventBridge l'utilisateur*.
Pour plus d'informations sur les événements et leur EventBridge traitement, reportez-vous à la section [Amazon EventBridge Événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) du *Guide de Amazon EventBridge l'utilisateur*.
**Topics**
+ [Détails de l'événement d'alerte du pare-feu DNS](#dns-firewall-alert)
+ [Détails de l'événement de blocage du pare-feu DNS](#dns-firewall-block)
## Détails de l'événement d'alerte du pare-feu DNS
Vous trouverez ci-dessous les champs détaillés des événements relatifs à l'état de l'alerte.
Les `detail-type` champs `source` et sont inclus car ils contiennent des valeurs spécifiques pour les événements de la Route 53.
```
{...,
"detail-type": "DNS Firewall Alert",
"source": "aws.route53resolver",
...,
"detail": {
"account-id": "string",
"last-observed-at": "string",
"query-name": "string",
"query-type": "string",
"query-class": "string",
"transport": "string",
"firewall-rule-action": "string",
"firewall-rule-group-id": "string",
"firewall-domain-list-id": "string",
"firewall-protection": "string",
"resources": [{
"resource-type": "string",
"instance-details": {
"id": "string",
}
},
{
"resource-type": "string",
"resolver-endpoint-details": {
"id": "string"
}
}
]
```
`detail-type`
Identifie le type d'événement.
Pour cet événement, cette valeur est`DNS Firewall Alert`.
`source`
Identifie le service qui a généré l'événement. Pour les événements du pare-feu DNS, cette valeur est`aws.route53resolver`.
`detail`
Un objet JSON qui contient des informations sur l'événement. Le service qui génère l'événement détermine le contenu de ce champ.
Pour cet événement, ces données incluent :
`account-id`
L'ID du Compte AWS qui a créé le VPC.
`last-observed-at`
L'horodatage du moment où la Alert/Block requête a été effectuée dans le VPC.
`query-name`
Le nom de domaine (example.com) ou nom de sous-domaine (www.example.com) indiqué dans la requête.
`query-type`
Soit le type d'enregistrement DNS spécifié dans la demande, soit ANY. Pour en savoir plus sur les types pris en charge par Route 53, veuillez consulter [Types d'enregistrements DNS pris en charge](ResourceRecordTypes.md).
`query-class`
La classe de la requête.
`transport`
Le protocole utilisé pour soumettre la requête DNS.
`firewall-rule-action`
L'action indiquée par la règle qui correspond au nom de domaine de la requête. `ALERT` ou `BLOCK`.
`firewall-rule-group-id`
L'ID du groupe de règles de pare-feu DNS correspondant au nom de domaine de la requête. Pour plus d'informations sur les groupes de règles de pare-feu, consultez la section Pare-feu DNS[Règles et groupes de règles de pare-feu DNS](resolver-dns-firewall-rule-groups.md).
`firewall-domain-list-id`
La liste des domaines indiquée par la règle qui correspond au nom de domaine de la requête.
`firewall-protection`
Protection avancée du pare-feu DNS : DGA, DICTIONARY\$1DGA ou DNS\$1TUNNELING. Pour plus d'informations, consultez la section Pare-feu DNS[Pare-feu DNS Resolver Advanced](firewall-advanced.md).
`resourcese`
Contient les types de ressources et des informations supplémentaires les concernant.
`resource-type`
Spécifie le type de ressource, tel qu'un point de terminaison du résolveur ou une instance VPC.
`resource-type-detail`
Informations supplémentaires sur la ressource.
**Example Événement d'alerte du pare-feu DNS**
Voici un exemple d'événement d'alerte.
```
{
"version": "1.0",
"id": "8e5622f9-d81c-4d81-612a-9319e7ee2506",
"detail-type": "DNS Firewall Alert",
"source": "aws.route53resolver",
"account": "123456789012",
"time": "2023-05-30T21:52:17Z",
"region": "us-west-2",
"resources": [],
"detail": {
"account-id": "123456789012",
"last-observed-at": "2023-05-30T20:15:15.900Z",
"query-name": "15.3.4.32.in-addr.arpa.",
"query-type": "A",
"query-class": "IN",
"transport": "UDP",
"firewall-rule-action": "ALERT",
"firewall-rule-group-id": "rslvr-frg-01234567890abcdef",
"firewall-domain-list-id": "rslvr-fdl-01234567890abcdef",
"firewall-protection": "DGA",
"resources": [{
"resource-type": "instance",
"instance-details": {
"id": "i-05746eb48123455e0",
}
},
{
"resource-type": "resolver-endpoint",
"resolver-endpoint-details": {
"id": "i-05746eb48123455e0"
}
}
],
"src-addr": "4.5.64.102",
"src-port": "56067",
"vpc-id": "vpc-7example"
}
}
```
## Détails de l'événement de blocage du pare-feu DNS
Vous trouverez ci-dessous les champs de détail pour*event name*.
Les `detail-type` champs `source` et sont inclus car ils contiennent des valeurs spécifiques pour les événements de la Route 53.
```
{...,
"detail-type": "DNS Firewall Block",
"source": "aws.route53resolver",
...,
"detail": {
"account-id": "string",
"last-observed-at": "string",
"query-name": "string",
"query-type": "string",
"query-class": "string",
"transport": "string",
"firewall-rule-action": "string",
"firewall-rule-group-id": "string",
"firewall-domain-list-id": "string",
"firewall-protection": "string",
"resources": [{
"resource-type": "string",
"instance-details": {
"id": "string",
}
},
{
"resource-type": "string",
"resolver-endpoint-details": {
"id": "string"
}
}
]
```
`detail-type`
Identifie le type d'événement.
Pour cet événement, cette valeur est`DNS Firewall Alert`.
`source`
Identifie le service qui a généré l'événement. Pour les événements du pare-feu DNS, cette valeur est`aws.route53resolver`.
`detail`
Un objet JSON qui contient des informations sur l'événement. Le service qui génère l'événement détermine le contenu de ce champ.
Pour cet événement, ces données incluent :
`account-id`
L'ID du Compte AWS qui a créé le VPC.
`last-observed-at`
L'horodatage du moment où la Alert/Block requête a été effectuée dans le VPC.
`query-name`
Le nom de domaine (example.com) ou nom de sous-domaine (www.example.com) indiqué dans la requête.
`query-type`
Soit le type d'enregistrement DNS spécifié dans la demande, soit ANY. Pour en savoir plus sur les types pris en charge par Route 53, veuillez consulter [Types d'enregistrements DNS pris en charge](ResourceRecordTypes.md).
`query-class`
La classe de la requête.
`transport`
Le protocole utilisé pour soumettre la requête DNS.
`firewall-rule-action`
L'action indiquée par la règle qui correspond au nom de domaine de la requête. `ALERT` ou `BLOCK`.
`firewall-rule-group-id`
L'ID du groupe de règles de pare-feu DNS correspondant au nom de domaine de la requête. Pour plus d'informations sur les groupes de règles de pare-feu, consultez la section Pare-feu DNS[Règles et groupes de règles de pare-feu DNS](resolver-dns-firewall-rule-groups.md).
`firewall-domain-list-id`
La liste des domaines indiquée par la règle qui correspond au nom de domaine de la requête.
`firewall-protection`
Protection avancée du pare-feu DNS : DGA, DICTIONARY\$1DGA ou DNS\$1TUNNELING. Pour plus d'informations, consultez la section Pare-feu DNS[Pare-feu DNS Resolver Advanced](firewall-advanced.md).
`resourcese`
Contient les types de ressources et des informations supplémentaires les concernant.
`resource-type`
Spécifie le type de ressource, tel qu'un point de terminaison du résolveur ou une instance VPC.
`resource-type-detail`
Informations supplémentaires sur la ressource.
**Example Exemple d’évènement**
Voici un exemple d'événement de blocage.
```
{
"version": "1.0",
"id": "8e5622f9-d81c-4d81-612a-9319e7ee2506",
"detail-type": "DNS Firewall Block",
"source": "aws.route53resolver",
"account": "123456789012",
"time": "2023-05-30T21:52:17Z",
"region": "us-west-2",
"resources": [],
"detail": {
"account-id": "123456789012",
"last-observed-at": "2023-05-30T20:15:15.900Z",
"query-name": "15.3.4.32.in-addr.arpa.",
"query-type": "A",
"query-class": "IN",
"transport": "UDP",
"firewall-rule-action": "BLOCK",
"firewall-rule-group-id": "rslvr-frg-01234567890abcdef",
"firewall-domain-list-id": "rslvr-fdl-01234567890abcdef",
"firewall-protection": "DNS_TUNNELING",
"resources": [{
"resource-type": "instance",
"instance-details": {
"id": "i-05746eb48123455e0"
}
},
{
"resource-type": "resolver-endpoint",
"resolver-endpoint-details": {
"id": "i-05746eb48123455e0",
}
}
],
"src-addr": "4.5.64.102",
"src-port": "56067",
"vpc-id": "vpc-7example"
}
}
```
# Journalisation des appels d'API Amazon Route 53 avec AWS CloudTrail
Route 53 est intégré à AWS CloudTrail un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans Route 53. CloudTrail capture tous les appels d'API pour Route 53 sous forme d'événements, y compris les appels provenant de la console Route 53 et les appels de code vers Route 53 APIs. Si vous créez un suivi, vous pouvez activer la diffusion continue d' CloudTrail événements vers un compartiment Amazon S3, y compris des événements pour Route 53. Si vous ne configurez pas de suivi, vous pouvez toujours consulter les événements les plus récents dans la CloudTrail console dans **Historique des événements**. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande qui a été faite à Route 53, l'adresse IP à partir de laquelle la demande a été faite, qui a fait la demande, quand elle a été faite et des détails supplémentaires.
**Topics**
+ [Informations sur la Route 53 dans CloudTrail](#route-53-info-in-cloudtrail)
+ [Affichage des événements Route 53 avec l'historique des événements](#route-53-events-in-cloudtrail-event-history)
+ [Compréhension des entrées des fichiers journaux Route 53](#understanding-route-53-entries-in-cloudtrail)
## Informations sur la Route 53 dans CloudTrail
CloudTrail est activé sur votre AWS compte lorsque vous le créez. Lorsqu'une activité se produit sur Route 53, cette activité est enregistrée dans un CloudTrail événement avec d'autres événements de AWS service dans **l'historique des événements**. Vous pouvez consulter, rechercher et télécharger les événements récents dans votre AWS compte. Pour plus d'informations, consultez la section [Affichage des événements avec l'historique des CloudTrail événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Pour un enregistrement continu des événements de votre AWS compte, y compris les événements de la Route 53, créez un parcours. Un suivi permet CloudTrail de fournir des fichiers journaux à un compartiment Amazon S3. Par défaut, lorsque vous créez un journal de suivi dans la console, il s’applique à toutes les régions . Le journal enregistre les événements de toutes les régions de la AWS partition et transmet les fichiers journaux au compartiment Amazon S3 que vous spécifiez. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. Pour en savoir plus, consultez :
+ [Présentation de la création d’un journal d’activité](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail services et intégrations pris en charge](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configuration des notifications Amazon SNS pour CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Réception de fichiers CloudTrail journaux de plusieurs régions](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) et [réception de fichiers CloudTrail journaux de plusieurs comptes](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Toutes les actions Route 53 sont enregistrées CloudTrail et documentées dans le manuel [Amazon Route 53 API Reference](https://docs.aws.amazon.com/Route53/latest/APIReference/). Par exemple, les appels aux `CreateHostedZone``CreateHealthCheck`, et `RegisterDomain` les actions génèrent des entrées dans les fichiers CloudTrail journaux.
Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l’identité permettent de déterminer les éléments suivants :
+ Si la demande a été effectuée avec des informations d’identification d’utilisateur root ou IAM.
+ Si la demande a été effectuée avec des informations d’identification de sécurité temporaires pour un rôle ou un utilisateur fédéré.
+ Si la demande a été faite par un autre AWS service.
Pour de plus amples informations, veuillez consulter l'[élément userIdentity CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Affichage des événements Route 53 avec l'historique des événements
CloudTrail vous permet de consulter les événements récents dans **l'historique des événements**. Pour afficher les événements des requêtes d'API Route 53, vous devez choisir **US East (N. Virginia) (USA Est [Virginie du Nord])** dans le sélecteur de région en haut de la console. Pour plus d'informations, consultez la section [Affichage des événements avec l'historique des CloudTrail événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) dans le *Guide de AWS CloudTrail l'utilisateur*.
## Compréhension des entrées des fichiers journaux Route 53
Un suivi est une configuration qui permet de transmettre des événements sous forme de fichiers journaux à un compartiment Amazon S3 que vous spécifiez. CloudTrail les fichiers journaux contiennent une ou plusieurs entrées de journal. Un événement représente une demande unique provenant de n'importe quelle source et inclut des informations sur l'action demandée, la date et l'heure de l'action, les paramètres de la demande, etc. CloudTrail les fichiers journaux ne constituent pas une trace ordonnée des appels d'API publics, ils n'apparaissent donc pas dans un ordre spécifique.
L'élément `eventName` identifie l'action qui s'est produite. (Dans CloudTrail les journaux, la première lettre est en minuscule pour les actions d'enregistrement de domaine, même si elle est en majuscule dans le nom des actions. Par exemple, `UpdateDomainContact` apparaît comme `updateDomainContact` dans les journaux). CloudTrail prend en charge toutes les actions de l'API Route 53. L'exemple suivant montre une entrée de CloudTrail journal illustrant les actions suivantes :
+ Répertorier les zones hébergées associées à un AWS compte
+ Créer une surveillance d'état
+ Créer deux registres
+ Supprimer une zone hébergée
+ Mettre à jour des informations pour un domaine enregistré
+ Création d'un point de terminaison sortant du résolveur VPC Route 53
```
{
"Records": [
{
"apiVersion": "2013-04-01",
"awsRegion": "us-east-1",
"eventID": "1cdbea14-e162-43bb-8853-f9f86d4739ca",
"eventName": "ListHostedZones",
"eventSource": "route53.amazonaws.com",
"eventTime": "2015-01-16T00:41:48Z",
"eventType": "AwsApiCall",
"eventVersion": "1.02",
"recipientAccountId": "444455556666",
"requestID": "741e0df7-9d18-11e4-b752-f9c6311f3510",
"requestParameters": null,
"responseElements": null,
"sourceIPAddress": "192.0.2.92",
"userAgent": "Apache-HttpClient/4.3 (java 1.5)",
"userIdentity": {
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"accountId": "111122223333",
"arn": "arn:aws:iam::111122223333:user/smithj",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"type": "IAMUser",
"userName": "smithj"
}
},
{
"apiVersion": "2013-04-01",
"awsRegion": "us-east-1",
"eventID": "45ec906a-1325-4f61-b133-3ef1012b0cbc",
"eventName": "CreateHealthCheck",
"eventSource": "route53.amazonaws.com",
"eventTime": "2018-01-16T00:41:57Z",
"eventType": "AwsApiCall",
"eventVersion": "1.02",
"recipientAccountId": "444455556666",
"requestID": "79915168-9d18-11e4-b752-f9c6311f3510",
"requestParameters": {
"callerReference": "2014-05-06 64832",
"healthCheckConfig": {
"iPAddress": "192.0.2.249",
"port": 80,
"type": "TCP"
}
},
"responseElements": {
"healthCheck": {
"callerReference": "2014-05-06 64847",
"healthCheckConfig": {
"failureThreshold": 3,
"iPAddress": "192.0.2.249",
"port": 80,
"requestInterval": 30,
"type": "TCP"
},
"healthCheckVersion": 1,
"id": "b3c9cbc6-cd18-43bc-93f8-9e557example"
},
"location": "https://route53.amazonaws.com/2013-04-01/healthcheck/b3c9cbc6-cd18-43bc-93f8-9e557example"
},
"sourceIPAddress": "192.0.2.92",
"userAgent": "Apache-HttpClient/4.3 (java 1.5)",
"userIdentity": {
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"accountId": "111122223333",
"arn": "arn:aws:iam::111122223333:user/smithj",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"type": "IAMUser",
"userName": "smithj"
}
},
{
"additionalEventData": {
"Note": "Do not use to reconstruct hosted zone"
},
"apiVersion": "2013-04-01",
"awsRegion": "us-east-1",
"eventID": "883b14d9-2f84-4005-8bc5-c7bf0cebc116",
"eventName": "ChangeResourceRecordSets",
"eventSource": "route53.amazonaws.com",
"eventTime": "2018-01-16T00:41:43Z",
"eventType": "AwsApiCall",
"eventVersion": "1.02",
"recipientAccountId": "444455556666",
"requestID": "7081d4c6-9d18-11e4-b752-f9c6311f3510",
"requestParameters": {
"changeBatch": {
"changes": [
{
"action": "CREATE",
"resourceRecordSet": {
"name": "prod.example.com.",
"resourceRecords": [
{
"value": "192.0.1.1"
},
{
"value": "192.0.1.2"
},
{
"value": "192.0.1.3"
},
{
"value": "192.0.1.4"
}
],
"tTL": 300,
"type": "A"
}
},
{
"action": "CREATE",
"resourceRecordSet": {
"name": "test.example.com.",
"resourceRecords": [
{
"value": "192.0.1.1"
},
{
"value": "192.0.1.2"
},
{
"value": "192.0.1.3"
},
{
"value": "192.0.1.4"
}
],
"tTL": 300,
"type": "A"
}
}
],
"comment": "Adding subdomains"
},
"hostedZoneId": "Z1PA6795UKMFR9"
},
"responseElements": {
"changeInfo": {
"comment": "Adding subdomains",
"id": "/change/C156SRE0X2ZB10",
"status": "PENDING",
"submittedAt": "Jan 16, 2018 12:41:43 AM"
}
},
"sourceIPAddress": "192.0.2.92",
"userAgent": "Apache-HttpClient/4.3 (java 1.5)",
"userIdentity": {
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"accountId": "111122223333",
"arn": "arn:aws:iam::111122223333:user/smithj",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"type": "IAMUser",
"userName": "smithj"
}
},
{
"apiVersion": "2013-04-01",
"awsRegion": "us-east-1",
"eventID": "0cb87544-ebee-40a9-9812-e9dda1962cb2",
"eventName": "DeleteHostedZone",
"eventSource": "route53.amazonaws.com",
"eventTime": "2018-01-16T00:41:37Z",
"eventType": "AwsApiCall",
"eventVersion": "1.02",
"recipientAccountId": "444455556666",
"requestID": "6d5d149f-9d18-11e4-b752-f9c6311f3510",
"requestParameters": {
"id": "Z1PA6795UKMFR9"
},
"responseElements": {
"changeInfo": {
"id": "/change/C1SIJYUYIKVJWP",
"status": "PENDING",
"submittedAt": "Jan 16, 2018 12:41:36 AM"
}
},
"sourceIPAddress": "192.0.2.92",
"userAgent": "Apache-HttpClient/4.3 (java 1.5)",
"userIdentity": {
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"accountId": "111122223333",
"arn": "arn:aws:iam::111122223333:user/smithj",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"type": "IAMUser",
"userName": "smithj"
}
},
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/smithj",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "smithj",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2018-11-01T19:43:59Z"
}
},
"invokedBy": "test"
},
"eventTime": "2018-11-01T19:49:36Z",
"eventSource": "route53domains.amazonaws.com",
"eventName": "updateDomainContact",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.92",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:52.0) Gecko/20100101 Firefox/52.0",
"requestParameters": {
"domainName": {
"name": "example.com"
}
},
"responseElements": {
"requestId": "034e222b-a3d5-4bec-8ff9-35877ff02187"
},
"additionalEventData": "Personally-identifying contact information is not logged in the request",
"requestID": "015b7313-bf3d-11e7-af12-cf75409087f6",
"eventID": "f34f3338-aaf4-446f-bf0e-f72323bac94d",
"eventType": "AwsApiCall",
"recipientAccountId": "444455556666"
},
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/smithj",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2018-11-01T14:33:09Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIUZEZLWWZOEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/Admin",
"accountId": "123456789012",
"userName": "Admin"
}
}
},
"eventTime": "2018-11-01T14:37:19Z",
"eventSource": "route53resolver.amazonaws.com",
"eventName": "CreateResolverEndpoint",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.176",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:52.0) Gecko/20100101 Firefox/52.0",
"requestParameters": {
"creatorRequestId": "123456789012",
"name": "OutboundEndpointDemo",
"securityGroupIds": [
"sg-05618b249example"
],
"direction": "OUTBOUND",
"ipAddresses": [
{
"subnetId": "subnet-01cb0c4676example"
},
{
"subnetId": "subnet-0534819b32example"
}
],
"tags": []
},
"responseElements": {
"resolverEndpoint": {
"id": "rslvr-out-1f4031f1f5example",
"creatorRequestId": "123456789012",
"arn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-endpoint/rslvr-out-1f4031f1f5example",
"name": "OutboundEndpointDemo",
"securityGroupIds": [
"sg-05618b249example"
],
"direction": "OUTBOUND",
"ipAddressCount": 2,
"hostVPCId": "vpc-0de29124example",
"status": "CREATING",
"statusMessage": "[Trace id: 1-5bd1d51e-f2f3032eb75649f71example] Creating the Resolver Endpoint",
"creationTime": "2018-11-01T14:37:19.045Z",
"modificationTime": "2018-11-01T14:37:19.045Z"
}
},
"requestID": "3f066d98-773f-4628-9cba-4ba6eexample",
"eventID": "cb05b4f9-9411-4507-813b-33cb0example",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
]
}
```