Mengkonfigurasi logging untuk Firewall DNS - Amazon Route 53

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi logging untuk Firewall DNS

Anda dapat mengevaluasi aturan DNS Firewall Anda dengan menggunakan CloudWatch metrik Amazon dan log kueri Resolver. Log memberikan nama daftar domain untuk semua peringatan dan tindakan pemblokiran. Untuk informasi selengkapnya tentang Amazon CloudWatch, lihatMemantau grup aturan Route 53 Resolver DNS Firewall dengan Amazon CloudWatch.

Ketika Anda mengaktifkan DNS Firewall, kaitkan keVPC, dan Anda telah mengaktifkan logging,, firewall_rule_group_idfirewall_rule_action, dan firewall_domain_list_id merupakan bidang khusus DNS Firewall yang disediakan dalam log Anda.

catatan

Log kueri akan menampilkan bidang DNS Firewall tambahan hanya untuk kueri yang diblokir oleh aturan DNS Firewall.

Untuk mulai mencatat DNS kueri yang difilter oleh aturan DNS Firewall yang berasal dari AndaVPCs, Anda melakukan tugas berikut di konsol Amazon Route 53:

Untuk mengkonfigurasi pencatatan kueri Resolver untuk Firewall DNS

  1. Masuk ke AWS Management Console dan buka konsol Route 53 di https://console.aws.amazon.com/route53/.

  2. Memperluas menu konsol Route 53. Di sudut kiri atas konsol, pilih ikon tiga bilah horizontal ( Menu icon ).

  3. Dalam menu Resolver, pilih Pencatatan kueri.

  4. Di pemilih Region, pilih AWS Wilayah tempat Anda ingin membuat konfigurasi pencatatan kueri.

    Ini harus menjadi Wilayah yang sama tempat Anda membuat VPCs yang terkait dengan DNS Firewall yang ingin Anda catat kueri. Jika Anda memiliki VPCs di beberapa Wilayah, Anda harus membuat setidaknya satu konfigurasi pencatatan kueri untuk setiap Wilayah.

  5. Pilih Konfigurasikan pencatatan kueri.

  6. Tentukan nilai-nilai berikut ini:

    Nama konfigurasi pencatatan kueri

    Masukkan nama untuk konfigurasi pencatatan kueri. Nama muncul di konsol dalam daftar konfigurasi pencatatan kueri. Masukkan nama yang akan membantu Anda menemukan konfigurasi ini nanti.

    Tujuan log kueri

    Pilih jenis AWS sumber daya yang Anda inginkan Resolver untuk mengirim log kueri. Untuk informasi tentang cara memilih di antara opsi (Grup CloudWatch log log, bucket S3, dan aliran pengiriman Firehose), lihat. AWS sumber daya yang dapat Anda kirim log kueri Resolver

    Setelah Anda memilih jenis sumber daya, Anda dapat membuat sumber daya lain dari jenis itu atau memilih sumber daya yang ada yang dibuat oleh AWS akun saat ini.

    catatan

    Anda dapat memilih hanya sumber daya yang dibuat di Wilayah AWS yang Anda pilih di langkah 4, Wilayah tempat Anda membuat konfigurasi pencatatan kueri. Jika Anda memilih untuk membuat sumber daya baru, sumber daya tersebut akan dibuat di Wilayah yang sama.

    VPCsuntuk mencatat kueri untuk

    Konfigurasi pencatatan DNS kueri ini akan mencatat kueri yang berasal dari VPCs yang Anda pilih. Centang kotak centang untuk masing-masing VPC di Wilayah saat ini yang Anda inginkan Resolver untuk mencatat kueri, lalu pilih Pilih.

    catatan

    VPCpengiriman log hanya dapat diaktifkan sekali untuk jenis tujuan tertentu. Log tidak dapat dikirim ke beberapa tujuan dengan jenis yang sama. Misalnya, VPC log tidak dapat dikirim ke dua tujuan Amazon S3.

  7. Pilih Konfigurasikan pencatatan kueri.

catatan

Anda harus mulai melihat DNS kueri yang dibuat oleh sumber daya di log Anda VPC dalam beberapa menit setelah berhasil membuat konfigurasi pencatatan kueri.