Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Anda dapat mengevaluasi aturan DNS Firewall Anda dengan menggunakan CloudWatch metrik Amazon dan log kueri Resolver. Log memberikan nama daftar domain untuk semua peringatan dan tindakan pemblokiran. Untuk informasi selengkapnya tentang Amazon CloudWatch, lihatMemantau Route 53 Resolver DNS Firewall grup aturan dengan Amazon CloudWatch.
Bila Anda mengaktifkan DNS Firewall, kaitkan ke VPC, dan Anda telah log diaktifkan, firewall_rule_group_id, firewall_rule_action, dan firewall_domain_list_id adalah bidang khusus DNS Firewall yang disediakan dalam log Anda.
catatan
Log kueri akan menampilkan bidang DNS Firewall tambahan hanya untuk kueri yang diblokir oleh aturan DNS Firewall.
Untuk mulai mencatat kueri DNS yang difilter oleh aturan DNS Firewall yang berasal dari Anda VPCs, Anda melakukan tugas berikut di konsol Amazon Route 53:
Untuk mengonfigurasi pencatatan kueri Resolver untuk DNS Firewall
Masuk ke AWS Management Console dan buka konsol Route 53 di https://console.aws.amazon.com/route53/
. -
Memperluas menu konsol Route 53. Di sudut kiri atas konsol, pilih ikon tiga bilah horizontal (
). -
Dalam menu Resolver, pilih Pencatatan kueri.
-
Di pemilih Region, pilih AWS Wilayah tempat Anda ingin membuat konfigurasi pencatatan kueri.
Ini harus menjadi Wilayah yang sama tempat Anda membuat VPCs yang terkait dengan DNS Firewall yang ingin Anda catat kueri. Jika Anda memiliki VPCs di beberapa Wilayah, Anda harus membuat setidaknya satu konfigurasi pencatatan kueri untuk setiap Wilayah.
-
Pilih Konfigurasikan pencatatan kueri.
-
Tentukan nilai-nilai berikut ini:
- Nama konfigurasi pencatatan kueri
-
Masukkan nama untuk konfigurasi pencatatan kueri. Nama muncul di konsol dalam daftar konfigurasi pencatatan kueri. Masukkan nama yang akan membantu Anda menemukan konfigurasi ini nanti.
- Tujuan log kueri
-
Pilih jenis AWS sumber daya yang Anda inginkan Resolver untuk mengirim log kueri. Untuk informasi tentang cara memilih di antara opsi (Grup CloudWatch log log, bucket S3, dan aliran pengiriman Firehose), lihat. AWS sumber daya yang dapat Anda kirim log kueri Resolver
Setelah Anda memilih jenis sumber daya, Anda dapat membuat sumber daya lain dari jenis itu atau memilih sumber daya yang ada yang dibuat oleh AWS akun saat ini.
catatan
Anda dapat memilih hanya sumber daya yang dibuat di Wilayah AWS yang Anda pilih di langkah 4, Wilayah tempat Anda membuat konfigurasi pencatatan kueri. Jika Anda memilih untuk membuat sumber daya baru, sumber daya tersebut akan dibuat di Wilayah yang sama.
- VPCs untuk mencatat kueri untuk
-
Konfigurasi pencatatan kueri ini akan mencatat kueri DNS yang berasal dari VPCs yang Anda pilih. Centang kotak untuk setiap VPC di Wilayah saat ini yang Anda inginkan Resolver untuk mencatat kuerinya, lalu pilih Pilih.
catatan
Pengiriman log VPC hanya dapat diaktifkan sekali untuk jenis tujuan tertentu. Log tidak dapat dikirim ke beberapa tujuan dengan jenis yang sama. Misalnya, log VPC tidak dapat dikirimkan ke dua tujuan Amazon S3.
-
Pilih Configure query logging (Konfigurasikan pencatatan kueri).
catatan
Seharusnya Anda mulai melihat kueri DNS yang dibuat oleh sumber daya di VPC Anda di log dalam beberapa menit setelah berhasil membuat konfigurasi pencatatan kueri.
