Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memantau Amazon Route 53
Pemantauan adalah bagian penting dalam menjaga keandalan, ketersediaan, dan kinerja AWS solusi Anda. Anda harus mengumpulkan data pemantauan dari semua bagian AWS solusi Anda sehingga Anda dapat lebih mudah men-debug kegagalan multi-titik jika terjadi. Namun sebelum mulai memantau; Anda harus membuat rencana pemantauan yang mencakup jawaban atas pertanyaan berikut:
+ Apa sasaran pemantauan Anda?
+ Sumber daya apa yang akan Anda pantau?
+ Seberapa sering Anda akan memantau sumber daya ini?
+ Alat pemantauan apa yang akan Anda gunakan?
+ Siapa yang akan melakukan tugas pemantauan?
+ Siapa yang harus diberi tahu saat terjadi kesalahan?
**Topics**
+ [Pencatatan kueri DNS publik](query-logs.md)
+ [Pencatatan kueri penyelesai](resolver-query-logs.md)
+ [Memantau pendaftaran domain](monitoring-domain-registrations.md)
+ [Memantau sumber daya Anda dengan pemeriksaan kesehatan Amazon Route 53 dan Amazon CloudWatch](monitoring-cloudwatch.md)
+ [Memantau zona yang dihosting menggunakan Amazon CloudWatch](monitoring-hosted-zones-with-cloudwatch.md)
+ [Memantau Route 53 titik akhir VPC Resolver dengan Amazon CloudWatch](monitoring-resolver-with-cloudwatch.md)
+ [Memantau grup aturan DNS Firewall Resolver dengan Amazon CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md)
+ [Mengelola peristiwa Resolver DNS Firewall menggunakan Amazon EventBridge](dns-firewall-eventbridge-integration.md)
+ [Mencatat panggilan API Amazon Route 53 dengan AWS CloudTrail](logging-using-cloudtrail.md)
# Pencatatan kueri DNS publik
Anda dapat mengonfigurasi Amazon Route 53 untuk mencatat informasi tentang kueri DNS publik yang diterima Route 53, seperti berikut:
+ Domain atau subdomain yang diminta
+ Tanggal dan waktu permintaan
+ Tipe catatan DNS (seperti A atau AAAA)
+ Lokasi edge Route 53 yang merespons kueri DNS
+ Kode respons DNS, seperti `NoError` atau `ServFail`
Setelah Anda mengonfigurasi pencatatan kueri, Route 53 akan mengirim CloudWatch log ke Log. Anda menggunakan alat CloudWatch Log untuk mengakses log kueri.
Log kueri hanya berisi kueri yang dikirim oleh penyelesai DNS ke Route 53. Jika resolver DNS telah men-cache respons ke kueri (seperti alamat IP untuk penyeimbang beban untuk example.com), resolver akan terus mengembalikan respons yang di-cache tanpa mengirim kueri ke Route 53 hingga TTL untuk catatan yang sesuai kedaluwarsa.
Tergantung pada jumlah kueri DNS yang dikirim untuk nama domain (example.com) atau nama subdomain (www.example.com), penyelesai yang digunakan pengguna, dan TTL untuk catatan, log kueri mungkin berisi informasi tentang satu kueri saja dari beberapa ribu kueri yang dikirimkan ke penyelesai DNS. Untuk informasi selengkapnya tentang cara kerja DNS, lihat [Cara lalu lintas internet dirutekan ke situs web atau aplikasi web Anda](welcome-dns-service.md).
Jika Anda tidak memerlukan informasi pencatatan terperinci, Anda dapat menggunakan CloudWatch metrik Amazon untuk melihat jumlah total kueri DNS yang ditanggapi Route 53 untuk zona yang dihosting. Untuk informasi selengkapnya, lihat [Melihat metrik kueri DNS untuk zona yang di-hosting publik](hosted-zone-public-viewing-query-metrics.md).
**Topics**
+ [Mengonfigurasi pencatatan untuk kueri DNS](#query-logs-configuring)
+ [Menggunakan Amazon CloudWatch untuk mengakses log kueri DNS](#query-logs-viewing)
+ [Mengubah periode retensi untuk log dan mengekspor log ke Amazon S3](#query-logs-changing-retention-period)
+ [Menghentikan pencatatan kueri](#query-logs-deleting-configuration)
+ [Nilai-nilai yang muncul di log kueri DNS](#query-logs-format)
+ [Contoh log kueri](#query-logs-example)
## Mengonfigurasi pencatatan untuk kueri DNS
Untuk mulai mencatat kueri DNS untuk zona yang di-hosting tertentu, lakukan tugas berikut di konsol Amazon Route 53:
+ Pilih grup CloudWatch log log yang Anda inginkan Route 53 untuk memublikasikan log, atau buat grup log baru.
**catatan**
Grup log harus berada di Wilayah US East (N. Virginia).
+ Pilih **Create** (Buat) untuk menyelesaikan.
**catatan**
Jika pengguna mengirimkan kueri DNS untuk domain Anda, Anda harus mulai melihat kueri di log dalam beberapa menit setelah Anda membuat konfigurasi pencatatan kueri.
**Cara mengonfigurasi pencatatan untuk kueri DNS**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Pada panel navigasi, pilih **Zona yang di-hosting**.
1. Pilih zona yang di-hosting dengan pencatatan kueri yang ingin Anda konfigurasi.
1. Di panel **Detail zona yang di-hosting**, pilih **Konfigurasi pencatatan kueri**.
1. Pilih grup log yang sudah ada atau buat grup log baru.
1. Jika Anda menerima peringatan tentang izin (ini terjadi jika Anda belum mengonfigurasi pencatatan kueri dengan konsol baru), lakukan salah satu tindakan berikut:
+ Jika sudah memiliki 10 kebijakan sumber daya, Anda tidak dapat membuatnya lagi. Pilih salah satu kebijakan sumber daya, dan pilih **Edit**. Pengeditan akan memberikan izin kepada Route 53 untuk menulis log ke grup log Anda. Pilih **Simpan**. Peringatan akan hilang dan Anda dapat melanjutkan ke langkah berikutnya.
+ Jika Anda belum pernah mengonfigurasi pencatatan kueri sebelumnya (atau jika Anda belum membuat 10 kebijakan sumber daya), Anda perlu memberikan izin ke Route 53 untuk menulis log ke grup CloudWatch Log Anda. Pilih **Berikan izin**. Peringatan akan hilang dan Anda dapat melanjutkan ke langkah berikutnya.
1. Pilih **Izin - opsional** untuk melihat tabel yang menunjukkan apakah kebijakan sumber daya cocok dengan grup CloudWatch log, dan apakah Route 53 memiliki izin untuk memublikasikan log. CloudWatch
1. Pilih **Buat**.
## Menggunakan Amazon CloudWatch untuk mengakses log kueri DNS
Amazon Route 53 mengirimkan log kueri langsung ke CloudWatch Log; log tidak pernah dapat diakses melalui Route 53. Sebagai gantinya, Anda menggunakan CloudWatch Log untuk melihat log dalam waktu dekat, mencari dan memfilter data, dan mengekspor log ke Amazon S3.
Route 53 membuat satu aliran CloudWatch log Log untuk setiap lokasi tepi Route 53 yang merespons kueri DNS untuk zona host yang ditentukan dan mengirimkan log kueri ke aliran log yang berlaku. Format untuk nama setiap aliran log adalah*hosted-zone-id*/*edge-location-ID*, misalnya,`Z1D633PJN98FT9/DFW3`.
Setiap lokasi tepi diidentifikasi oleh kode tiga huruf dan nomor yang ditetapkan secara sewenang-wenang, misalnya,. DFW3 Kode tiga huruf biasanya sesuai dengan kode bandara International Air Transport Association untuk bandara yang berada di dekat lokasi tepi. (Ringkasan ini mungkin berubah di masa mendatang.) Untuk daftar lokasi edge, lihat "The Route 53 Global Network" pada halaman [Detail Produk Route 53](https://aws.amazon.com/route53/details/).
**catatan**
Anda mungkin melihat beberapa awalan atau sufiks yang tidak mengikuti konvensi di atas. Mereka menyandikan atribut yang hanya untuk penggunaan internal.
Untuk informasi lebih lanjut, lihat dokumentasi yang berlaku:
+ [Panduan Pengguna Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)
+ [Referensi API Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/)
+ [CloudWatch Bagian log dari Referensi AWS CLI Perintah](https://docs.aws.amazon.com/cli/latest/reference/logs/index.html)
+ [Nilai-nilai yang muncul di log kueri DNS](#query-logs-format)
## Mengubah periode retensi untuk log dan mengekspor log ke Amazon S3
Secara default, CloudWatch Log menyimpan log kueri tanpa batas waktu. Anda dapat menentukan periode retensi secara opsional sehingga CloudWatch Log menghapus log yang lebih lama dari periode penyimpanan. Untuk informasi selengkapnya, lihat [Mengubah penyimpanan data CloudWatch log di Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SettingLogRetention.html) di *Panduan CloudWatch Pengguna Amazon*.
Jika Anda ingin menyimpan data log tetapi Anda tidak memerlukan alat CloudWatch Log untuk melihat dan menganalisis data, Anda dapat mengekspor log ke Amazon S3, yang dapat mengurangi biaya penyimpanan Anda. Untuk informasi lebih lanjut, lihat [Mengekspor data log ke Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html).
Untuk informasi tentang harga, lihat halaman harga yang berlaku:
+ “ CloudWatch Log Amazon” di halaman [CloudWatch Harga](https://aws.amazon.com/cloudwatch/pricing)
+ [Harga Amazon S3](https://aws.amazon.com/s3/pricing)
**catatan**
Saat mengonfigurasi Route 53 untuk mencatat kueri DNS, Anda tidak dikenakan biaya Route 53.
## Menghentikan pencatatan kueri
Jika Anda ingin Amazon Route 53 berhenti mengirim log kueri ke CloudWatch Log, lakukan prosedur berikut untuk menghapus konfigurasi pencatatan kueri.
**Cara menghapus konfigurasi pencatatan kueri**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Pada panel navigasi, pilih **Zona yang di-hosting**.
1. Pilih nama untuk zona yang di-hosting dengan konfigurasi pencatatan kueri yang ingin Anda hapus.
1. Di panel **Detail zona yang di-hosting**, pilih **Hapus konfigurasi pencatatan kueri**.
1. Pilih **Hapus** untuk mengonfirmasi.
## Nilai-nilai yang muncul di log kueri DNS
Setiap file log berisi satu entri log untuk setiap kueri DNS yang diterima Amazon Route 53 dari penyelesai DNS di lokasi edge yang sesuai. Setiap entri log mencakup nilai-nilai berikut:
**Versi format log**
Nomor versi log kueri ini. Jika kita menambahkan bidang ke log atau mengubah format bidang yang ada, kita akan menambahkan nilai ini.
**Timestamp kueri**
Tanggal dan waktu Route 53 merespons permintaan, dalam format ISO 8601 dan Coordinated Universal Time (UTC), misalnya, `2017-03-16T19:20:25.177Z`.
Untuk informasi tentang format ISO 8601, lihat artikel Wikipedia [ISO 8601](https://en.wikipedia.org/wiki/ISO_8601). Untuk informasi tentang UTC, lihat artikel Wikipedia [Coordinated Universal Time](https://en.wikipedia.org/wiki/Coordinated_Universal_Time).
**ID zona yang di-hosting**
ID zona yang di-hosting yang terkait dengan semua kueri DNS dalam log ini.
**Nama kueri**
Domain atau subdomain yang ditentukan dalam permintaan.
**Jenis kueri**
Jenis catatan DNS yang ditentukan dalam permintaan, atau `ANY`. Untuk informasi tentang jenis yang didukung Route 53, lihat [Tipe data DNS yang didukung](ResourceRecordTypes.md).
**Kode respons**
Kode respons DNS yang Route 53 dikembalikan dalam menanggapi kueri DNS.
**Protokol Layer 4**
Protokol yang digunakan untuk mengirimkan kueri, baik `TCP` atau `UDP`.
**Lokasi edge Route 53**
Lokasi edge Route 53 yang merespons kueri. Setiap lokasi tepi diidentifikasi oleh kode tiga huruf dan nomor arbitrer, misalnya,. DFW3 Kode tiga huruf biasanya sesuai dengan kode bandara International Air Transport Association untuk bandara yang berada di dekat lokasi tepi. (Ringkasan ini mungkin berubah di masa mendatang.)
Untuk daftar lokasi edge, lihat "The Route 53 Global Network" pada halaman [Detail Produk Route 53](https://aws.amazon.com/route53/details/).
**Alamat IP penyelesai**
Alamat IP penyelesai DNS yang mengirimkan permintaan ke Route 53.
**Subnet klien EDNS**
Alamat IP parsial untuk klien tempat permintaan berasal, jika tersedia dari penyelesai DNS.
Untuk informasi lebih lanjut, lihat draf IETF [Subnet Klien dalam Permintaan DNS](https://tools.ietf.org/html/draft-ietf-dnsop-edns-client-subnet-08).
## Contoh log kueri
Berikut contoh log kueri (Region adalah placeholder):
```
1.0 2017-12-13T08:16:02.130Z Z123412341234 example.com A NOERROR UDP Region 192.168.1.1 -
1.0 2017-12-13T08:15:50.235Z Z123412341234 example.com AAAA NOERROR TCP Region 192.168.3.1 192.168.222.0/24
1.0 2017-12-13T08:16:03.983Z Z123412341234 example.com ANY NOERROR UDP Region 2001:db8::1234 2001:db8:abcd::/48
1.0 2017-12-13T08:15:50.342Z Z123412341234 bad.example.com A NXDOMAIN UDP Region 192.168.3.1 192.168.111.0/24
1.0 2017-12-13T08:16:05.744Z Z123412341234 txt.example.com TXT NOERROR UDP Region 192.168.1.2 -
```
# Pencatatan kueri penyelesai
Anda dapat mencatat kueri DNS berikut:
+ Kueri yang berasal dari Amazon Virtual Private Cloud VPCs yang Anda tentukan, serta tanggapan terhadap kueri DNS tersebut.
+ Kueri dari sumber daya on-premise yang menggunakan titik akhir Resolver masuk.
+ Kueri yang menggunakan titik akhir Resolver keluar untuk resolusi DNS rekursif.
+ Kueri yang menggunakan aturan Resolver DNS Firewall untuk memblokir, mengizinkan, atau memantau daftar domain.
Log kueri VPC Resolver menyertakan nilai-nilai seperti berikut ini:
+ AWS Wilayah tempat VPC dibuat
+ ID VPC tempat kueri berasal
+ Alamat IP instans tempat kueri berasal
+ ID instans sumber daya tempat kueri berasal
+ Tanggal dan waktu pertama kali kueri dibuat
+ Nama DNS yang diminta (seperti prod.example.com)
+ Jenis catatan DNS (seperti A atau AAAA)
+ Kode respons DNS, seperti `NoError` atau `ServFail`
+ Data respons DNS, seperti alamat IP yang dikembalikan dalam merespons kueri DNS
+ Respons terhadap tindakan aturan Firewall DNS
Untuk daftar detail dari semua nilai yang dicatat dan contoh, lihat [Nilai yang muncul di log kueri VPC Resolver](resolver-query-logs-format.md).
**catatan**
Seperti standar untuk resolver DNS, resolver cache DNS query untuk jangka waktu yang ditentukan oleh (TTL) untuk resolver. time-to-live Resolver VPC Route 53 menyimpan kueri yang berasal dari Anda VPCs, dan merespons dari cache bila memungkinkan untuk mempercepat respons. Pencatatan kueri VPC Resolver hanya mencatat kueri unik, bukan kueri yang dapat ditanggapi oleh VPC Resolver dari cache.
Misalnya, misalkan instans EC2 di salah satu konfigurasi pencatatan kueri untuk mencatat kueri, mengirimkan permintaan untuk accounting.example.com. VPCs VPC Resolver menyimpan respons terhadap kueri itu, dan mencatat kueri. Jika elastic network interface instance yang sama membuat kueri untuk accounting.example.com dalam TTL cache VPC Resolver, VPC Resolver merespons kueri dari cache. Kueri kedua tidak dicatat.
Anda dapat mengirim log ke salah satu AWS sumber daya berikut:
+ Grup CloudWatch log Amazon CloudWatch Log (Log)
+ Bucket Amazon S3 (S3)
+ Aliran pengiriman Firehose
Untuk informasi selengkapnya, lihat [AWS sumber daya yang dapat Anda kirim log kueri VPC Resolver](resolver-query-logs-choosing-target-resource.md).
**Topics**
+ [AWS sumber daya yang dapat Anda kirim log kueri VPC Resolver](resolver-query-logs-choosing-target-resource.md)
+ [Mengelola konfigurasi pencatatan kueri Resolver](resolver-query-logging-configurations-managing.md)
# AWS sumber daya yang dapat Anda kirim log kueri VPC Resolver
**catatan**
Jika ingin mencatat kueri untuk beban kerja dengan kueri tinggi per detik (QPS), Anda harus menggunakan Amazon S3 untuk memastikan log kueri Anda tidak di-throttle ketika ditulis ke tujuan Anda. Jika Anda menggunakan Amazon CloudWatch, Anda dapat meningkatkan batas permintaan per detik untuk `PutLogEvents` operasi. Untuk mempelajari lebih lanjut tentang meningkatkan CloudWatch batas, lihat [Kuota CloudWatch log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html) di *Panduan CloudWatch Pengguna Amazon*.
Anda dapat mengirim log kueri VPC Resolver ke sumber daya berikut: AWS
**Grup CloudWatch log Amazon CloudWatch Logs (Amazon Logs)**
Anda dapat menganalisis log dengan Wawasan Log serta membuat metrik dan alarm.
Untuk informasi selengkapnya, lihat [Panduan Pengguna Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).
**Bucket Amazon S3 (S3)**
Bucket S3 memiliki harga yang ekonomis untuk pengarsipan log jangka panjang. Latensi biasanya lebih tinggi.
Semua opsi enkripsi sisi server S3 didukung. Untuk informasi selengkapnya, lihat [Melindungi data dengan enkripsi sisi server di Panduan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) Pengguna *Amazon* S3.
Jika Anda memilih Enkripsi Sisi Server dengan AWS KMS Kunci (SSE-KMS), Anda harus memperbarui kebijakan kunci untuk kunci yang dikelola pelanggan agar akun pengiriman log dapat menulis ke bucket Amazon S3 Anda. *Untuk informasi selengkapnya tentang kebijakan kunci yang diperlukan untuk digunakan dengan SSE-KMS, lihat enkripsi [sisi server bucket Amazon S3 di Panduan Pengguna](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-infrastructure-V2-S3.html#AWS-logs-SSE-KMS-S3-V2) Amazon. CloudWatch *
Jika bucket S3 ada di akun yang Anda miliki, izin yang diperlukan akan ditambahkan secara otomatis ke kebijakan bucket Anda. Jika ingin mengirim log ke bucket S3 di akun yang tidak Anda miliki, pemilik bucket S3 harus menambahkan izin untuk akun Anda dalam kebijakan bucket mereka. Contoh:
****
```
{
"Version":"2012-10-17",
"Id": "CrossAccountAccess",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::your_bucket_name/AWSLogs/your_caller_account/*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::your_bucket_name"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "iam_user_arn_or_account_number_for_root"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::your_bucket_name"
}
]
}
```
Jika ingin menyimpan log di bucket S3 sentral untuk organisasi Anda, kami sarankan Anda menyiapkan konfigurasi pencatatan kueri dari akun terpusat (dengan izin yang diperlukan untuk menulis ke bucket sentral) dan menggunakan [RAM](query-logging-configurations-managing-sharing.md) untuk berbagi konfigurasi di seluruh akun.
Untuk informasi selengkapnya, lihat [Panduan Pengguna Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/).
**Aliran pengiriman Firehose**
Anda dapat melakukan streaming log secara real time ke Amazon OpenSearch Service, Amazon Redshift, atau aplikasi lain.
Untuk informasi selengkapnya, lihat Panduan [Pengembang Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/).
Untuk informasi tentang harga untuk pencatatan kueri Resolver, lihat harga [Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/pricing/).
CloudWatch Biaya Vending Logs berlaku saat menggunakan log Resolver VPC, bahkan ketika log dipublikasikan langsung ke Amazon S3. Untuk informasi selengkapnya, lihat [*Harga log* dengan CloudWatch harga Amazon](https://aws.amazon.com//cloudwatch/pricing/#Vended_Logs).
# Mengelola konfigurasi pencatatan kueri Resolver
## Mengkonfigurasi (pencatatan kueri VPC Resolver)
Anda dapat mengonfigurasi pencatatan kueri VPC Resolver dengan dua cara:
+ **Asosiasi VPC langsung** - Kaitkan VPCs langsung ke konfigurasi pencatatan kueri.
+ **Asosiasi profil** - Kaitkan konfigurasi pencatatan kueri ke Profil Route 53, yang menerapkan pencatatan ke semua yang VPCs terkait dengan Profil tersebut. Untuk informasi selengkapnya, lihat [Kaitkan konfigurasi pencatatan kueri VPC Resolver ke Profil Route 53](profile-associate-query-logging.md).
Untuk mulai mencatat kueri DNS yang berasal dari Anda VPCs, Anda melakukan tugas berikut di konsol Amazon Route 53:
**Cara mengonfigurasi pencatatan kueri Resolver**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Memperluas menu konsol Route 53. Di sudut kiri atas konsol, pilih ikon tiga bilah horizontal (![\[Menu icon\]](http://docs.aws.amazon.com/id_id/Route53/latest/DeveloperGuide/images/menu-icon.png)).
1. Dalam menu Resolver, pilih **Pencatatan kueri**.
1. Di pemilih Region, pilih AWS Wilayah tempat Anda ingin membuat konfigurasi pencatatan kueri. Ini harus menjadi Wilayah yang sama tempat Anda membuat tempat Anda ingin mencatat kueri DNS. VPCs Jika Anda memiliki VPCs di beberapa Wilayah, Anda harus membuat setidaknya satu konfigurasi pencatatan kueri untuk setiap Wilayah.
1. Pilih **Konfigurasikan pencatatan kueri**.
1. Tentukan nilai-nilai berikut ini:
**Nama konfigurasi pencatatan kueri**
Masukkan nama untuk konfigurasi pencatatan kueri. Nama muncul di konsol dalam daftar konfigurasi pencatatan kueri. Masukkan nama yang akan membantu Anda menemukan konfigurasi ini nanti.
**Tujuan log kueri**
Pilih jenis AWS sumber daya yang Anda inginkan VPC Resolver untuk mengirim log kueri. Untuk informasi tentang cara memilih di antara opsi (Grup CloudWatch log log, bucket S3, dan aliran pengiriman Firehose), lihat. [AWS sumber daya yang dapat Anda kirim log kueri VPC Resolver](resolver-query-logs-choosing-target-resource.md)
Setelah Anda memilih jenis sumber daya, Anda dapat membuat sumber daya lain dari jenis itu atau memilih sumber daya yang ada yang dibuat oleh AWS akun saat ini.
Anda dapat memilih hanya sumber daya yang dibuat di Wilayah AWS yang Anda pilih di langkah 4, Wilayah tempat Anda membuat konfigurasi pencatatan kueri. Jika Anda memilih untuk membuat sumber daya baru, sumber daya tersebut akan dibuat di Wilayah yang sama.
**VPCs untuk mencatat kueri untuk**
Konfigurasi pencatatan kueri ini akan mencatat kueri DNS yang berasal dari VPCs yang Anda pilih. **Centang kotak untuk setiap VPC di Wilayah saat ini yang Anda inginkan VPC Resolver untuk mencatat kueri, lalu pilih Pilih.**
**Alternatif**: Alih-alih mengaitkan VPCs secara langsung, Anda dapat mengaitkan konfigurasi pencatatan kueri ini ke Profil Route 53, yang akan menerapkan pencatatan ke semua yang VPCs terkait dengan Profil tersebut. Untuk informasi selengkapnya, lihat [Kaitkan konfigurasi pencatatan kueri VPC Resolver ke Profil Route 53](profile-associate-query-logging.md).
Pengiriman log VPC dapat diaktifkan hanya sekali untuk jenis tujuan tertentu. Log tidak dapat dikirim ke beberapa tujuan dengan jenis yang sama, misalnya, log VPC tidak dapat dikirim ke 2 tujuan Amazon S3.
1. Pilih **Konfigurasikan pencatatan kueri**.
**catatan**
Seharusnya Anda mulai melihat kueri DNS yang dibuat oleh sumber daya di VPC Anda di log dalam beberapa menit setelah berhasil membuat konfigurasi pencatatan kueri.
# Nilai yang muncul di log kueri VPC Resolver
Setiap file log berisi satu entri log untuk setiap kueri DNS yang diterima Amazon Route 53 dari penyelesai DNS di lokasi edge yang sesuai. Setiap entri log mencakup nilai-nilai berikut:
**versi**
Nomor versi format log kueri. Versi saat ini adalah `1.1`.
Nilai versi merupakan versi utama dan minor dalam bentuk **major\$1version.minor\$1version**. Misalnya, Anda dapat memilki nilai `version` sebesar `1.7`, dengan `1 ` merupakan versi utama, dan `7` adalah versi minor.
Route 53 meningkatkan versi utama jika ada perubahan pada struktur log yang tidak kompatibel dengan versi sebelumnya. Ini termasuk menghapus bidang JSON yang sudah ada, atau mengubah bagaimana isi bidang direpresentasikan (misalnya, format tanggal).
Route 53 meningkatkan versi minor jika perubahan menambahkan bidang baru ke berkas log. Hal ini dapat terjadi jika informasi baru tersedia untuk beberapa atau semua kueri DNS yang ada dalam VPC.
**account\$1id**
ID AWS akun yang membuat VPC.
**region**
AWS Wilayah tempat Anda membuat VPC.
**vpc\$1id**
ID VPC tempat kueri berasal.
**query\$1timestamp**
Tanggal dan waktu kueri dikirimkan, dalam format ISO 8601 dan Coordinated Universal Time (UTC), misalnya, `2017-03-16T19:20:177Z`.
Untuk informasi tentang format ISO 8601, lihat artikel Wikipedia [ISO 8601](https://en.wikipedia.org/wiki/ISO_8601). Untuk informasi tentang UTC, lihat artikel Wikipedia [Coordinated Universal Time](https://en.wikipedia.org/wiki/Coordinated_Universal_Time).
**query\$1name**
Nama domain (example.com) atau nama subdomain (www.example.com) yang ditentukan dalam kueri.
**query\$1type**
Jenis catatan DNS yang ditentukan dalam permintaan, atau `ANY`. Untuk informasi tentang jenis yang didukung Route 53, lihat [Tipe data DNS yang didukung](ResourceRecordTypes.md).
**query\$1class**
Kelas kueri.
**rcode**
Kode respons DNS yang dikembalikan VPC Resolver sebagai respons terhadap kueri DNS. Kode respons yang menunjukkan apakah kueri valid atau tidak. Kode respons yang paling umum adalah `NOERROR`, yang berarti bahwa kueri tersebut valid. Jika respons tidak valid, Resolver mengembalikan kode respons yang menjelaskan alasannya. Untuk daftar kode respons yang mungkin, lihat [DNS RCODEs](https://www.iana.org/assignments/dns-parameters/dns-parameters.xhtml#dns-parameters-6) di situs web IANA.
**answer\$1type**
Jenis catatan DNS (seperti A, MX, atau CNAME) dari nilai yang dikembalikan VPC Resolver sebagai respons terhadap kueri. Untuk informasi tentang jenis yang didukung Route 53, lihat [Tipe data DNS yang didukung](ResourceRecordTypes.md).
**rdata**
Nilai yang dikembalikan VPC Resolver sebagai respons terhadap kueri. Misalnya, untuk catatan A, ini adalah alamat IP dalam IPv4 format. Untuk catatan CNAME, ini adalah nama domain dalam catatan CNAME.
**answer\$1class**
Kelas respons VPC Resolver terhadap kueri.
**srcaddr**
Alamat IP host yang berasal dari kueri.
**srcport**
Port pada instans tempat kueri berasal.
**transport**
Protokol yang digunakan untuk mengirimkan kueri DNS.
**srcids**
IDs dari`instance`,`resolver_endpoint`, dan `resolver_network_interface` bahwa kueri DNS berasal atau dilewati.
**instans**
ID instans tempat kueri berasal.
Jika Anda melihat ID instance di log kueri Route 53 VPC Resolver yang tidak terlihat di akun Anda, itu mungkin karena kueri DNS berasal dari konsol, AWS Lambda Amazon EKS AWS CloudShell, atau Fargate, yang digunakan oleh Anda.
**resolver\$1titik akhir**
ID titik akhir penyelesai yang melewati kueri DNS ke server DNS on-premise.
Jika Anda memiliki catatan CNAME yang berantai di seluruh aturan penerusan yang berbeda menggunakan titik akhir resolver yang berbeda, log kueri hanya menampilkan ID titik akhir resolver terakhir yang digunakan dalam rantai. Untuk melacak jalur resolusi lengkap melalui beberapa titik akhir, Anda dapat mengkorelasikan log di berbagai konfigurasi pencatatan kueri.
**firewall\$1rule\$1group\$1id**
ID grup aturan Firewall DNS yang cocok dengan nama domain dalam kueri. Ini diisi hanya jika Firewall DNS menemukan kecocokan untuk aturan dengan tindakan yang diatur ke pemberitahuan atau blokir.
Untuk informasi selengkapnya tentang grup aturan firewall, lihat [Grup aturan dan aturan DNS Firewall](resolver-dns-firewall-rule-groups.md).
**firewall\$1rule\$1action**
Tindakan yang ditentukan oleh aturan yang cocok dengan nama domain dalam kueri. Ini diisi hanya jika Firewall DNS menemukan kecocokan untuk aturan dengan tindakan yang diatur ke pemberitahuan atau blokir.
**firewall\$1domain\$1list\$1id**
Daftar domain yang digunakan oleh aturan yang cocok dengan nama domain dalam kueri. Ini diisi hanya jika Firewall DNS menemukan kecocokan untuk aturan dengan tindakan yang diatur ke pemberitahuan atau blokir.
**additional\$1properties**
Informasi tambahan tentang peristiwa pengiriman log. **is\$1delayed**: Jika ada penundaan pengiriman log.
# Contoh log kueri Route 53 VPC Resolver
Berikut adalah contoh log kueri Resolver:
```
{
"srcaddr": "4.5.64.102",
"vpc_id": "vpc-7example",
"answers": [
{
"Rdata": "203.0.113.9",
"Type": "PTR",
"Class": "IN"
}
],
"firewall_rule_group_id": "rslvr-frg-01234567890abcdef",
"firewall_rule_action": "BLOCK",
"query_name": "15.3.4.32.in-addr.arpa.",
"firewall_domain_list_id": "rslvr-fdl-01234567890abcdef",
"query_class": "IN",
"srcids": {
"instance": "i-0d15cd0d3example"
},
"rcode": "NOERROR",
"query_type": "PTR",
"transport": "UDP",
"version": "1.100000",
"account_id": "111122223333",
"srcport": "56067",
"query_timestamp": "2021-02-04T17:51:55Z",
"region": "us-east-1"
}
```
# Berbagi konfigurasi pencatatan kueri Resolver dengan akun lain AWS
Anda dapat membagikan konfigurasi pencatatan kueri yang Anda buat menggunakan satu AWS akun dengan AWS akun lain. Untuk berbagi konfigurasi, konsol Resolver VPC Route 53 terintegrasi dengan AWS Resource Access Manager. Untuk informasi lebih lanjut tentang Resource Access Manager, lihat [Panduan Pengguna Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).
Perhatikan hal-hal berikut:
**Mengaitkan VPCs dengan konfigurasi pencatatan kueri bersama**
Jika AWS akun lain telah berbagi satu atau beberapa konfigurasi dengan akun Anda, Anda dapat mengaitkannya VPCs dengan konfigurasi dengan cara yang sama seperti yang Anda kaitkan VPCs dengan konfigurasi yang Anda buat.
**Menghapus atau membatalkan berbagi konfigurasi**
Jika Anda berbagi konfigurasi dengan akun lain dan kemudian menghapus konfigurasi atau berhenti membagikannya, dan jika satu atau lebih VPCs dikaitkan dengan konfigurasi, Route 53 VPC Resolver berhenti mencatat kueri DNS yang berasal dari itu. VPCs
**Jumlah maksimum konfigurasi pencatatan kueri dan VPCs yang dapat dikaitkan dengan konfigurasi**
Ketika akun membuat konfigurasi dan membagikannya dengan satu atau lebih akun lain, jumlah maksimum VPCs yang dapat dikaitkan dengan konfigurasi diterapkan per akun. Misalnya, jika Anda memiliki 10.000 akun di organisasi, Anda dapat membuat konfigurasi pencatatan kueri di akun pusat dan membagikannya melalui AWS RAM untuk membagikannya ke akun organisasi. Akun organisasi kemudian akan mengaitkan konfigurasi dengan VPCs penghitungannya terhadap asosiasi VPC konfigurasi log kueri akun mereka per Wilayah AWS batas 100. Namun, jika semua VPCs berada dalam satu akun, maka batas layanan akun mungkin diperlukan untuk ditingkatkan.
Untuk kuota Resolver VPC saat ini, lihat. [Kuota pada Route 53 VPC Resolver](DNSLimitations.md#limits-api-entities-resolver)
**Izin**
Untuk berbagi aturan dengan AWS akun lain, Anda harus memiliki izin untuk menggunakan [PutResolverQueryLogConfigPolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutResolverQueryLogConfigPolicy.html)tindakan tersebut.
**Pembatasan pada AWS akun tempat aturan dibagikan**
Akun yang dibagikan aturan tidak dapat mengubah atau menghapus aturan.
**Penandaan**
Hanya akun yang membuat aturan yang dapat menambahkan, menghapus, atau melihat tanda pada aturan.
Untuk melihat status berbagi aturan saat ini (termasuk akun yang membagikan aturan atau akun tempat aturan dibagikan), dan untuk berbagi aturan dengan akun lain, lakukan prosedur berikut.
**Untuk melihat status berbagi dan berbagi konfigurasi pencatatan kueri dengan akun lain AWS**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Di panel navigasi, pilih **Pencatatan Kueri**.
1. Pada bilah navigasi, pilih Wilayah tempat Anda membuat aturan.
Kolom **Status berbagi** menampilkan status berbagi aturan saat ini yang dibuat oleh akun saat ini atau yang dibagikan dengan akun saat ini:
+ **Tidak dibagikan**: AWS Akun saat ini membuat aturan, dan aturan tidak dibagikan dengan akun lain.
+ **Dibagikan oleh saya**: Akun saat ini membuat aturan dan membagikannya dengan satu atau beberapa akun.
+ **Dibagikan dengan saya**: Akun saat ini membuat aturan dan membagikannya dengan akun saat ini.
1. Pilih nama aturan dengan informasi berbagi yang ingin Anda tampilkan atau yang ingin Anda bagikan dengan akun lain.
Pada *rule name* halaman **Aturan:**, nilai di bawah **Pemilik** menampilkan ID akun yang membuat aturan. Itu adalah akun saat ini kecuali nilai **Status berbagi** adalah **Dibagikan dengan saya**. Dalam hal ini, **Pemilik** adalah akun yang membuat aturan dan membagikannya dengan akun saat ini.
Status berbagi juga ditampilkan.
1. Pilih **Bagikan konfigurasi** untuk membuka AWS RAM konsol
1. Untuk membuat pembagian sumber daya, ikuti langkah-langkah dalam [Membuat berbagi sumber daya di AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) dalam *panduan AWS RAM pengguna*.
**catatan**
Anda tidak dapat memperbarui pengaturan berbagi. Jika ingin mengubah salah satu pengaturan berikut, Anda harus membagikan ulang aturan dengan pengaturan baru lalu menghapus pengaturan berbagi yang lama.
# Memantau pendaftaran domain
Dasbor Amazon Route 53 menyediakan informasi detail tentang status pendaftaran domain Anda, termasuk hal berikut:
+ Status pendaftaran domain baru
+ Status transfer domain ke Route 53
+ Daftar domain yang mendekati tanggal kedaluwarsa
Kami merekomendasikan agar Anda memeriksa dasbor di konsol Route 53 secara berkala, terutama setelah Anda mendaftar domain baru atau mentransfer domain ke Route 53, untuk mengonfirmasi bahwa tidak ada masalah yang harus Anda tangani.
Kami juga menyarankan agar Anda mengonfirmasi bahwa informasi kontak untuk domain Anda sudah terbaru. Saat tanggal kedaluwarsa domain mendekat, kami mengirimkan email kepada kontak pendaftar domain tersebut dengan informasi tentang kapan domain kedaluwarsa dan cara memperbaruinya.
# Memantau sumber daya Anda dengan pemeriksaan kesehatan Amazon Route 53 dan Amazon CloudWatch
Anda dapat memantau sumber daya Anda dengan membuat pemeriksaan kesehatan Amazon Route 53, yang digunakan CloudWatch untuk mengumpulkan dan memproses data mentah menjadi metrik yang dapat dibaca, mendekati waktu nyata. Statistik ini dicatat dalam jangka waktu dua minggu, sehingga Anda dapat mengakses informasi historis dan mendapatkan perspektif yang lebih baik tentang performa sumber daya Anda. Secara default, data metrik untuk pemeriksaan kesehatan Route 53 secara otomatis dikirim ke CloudWatch interval satu menit.
Untuk informasi selengkapnya tentang pemeriksaan kondisi Route 53, lihat [Memantau pemeriksaan kesehatan menggunakan CloudWatch](monitoring-health-checks.md). Untuk informasi selengkapnya CloudWatch, lihat [Apa itu Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) di *Panduan CloudWatch Pengguna Amazon*.
## Metrik dan dimensi untuk pemeriksaan kondisi Route 53
Saat Anda membuat pemeriksaan kesehatan, Amazon Route 53 mulai mengirim metrik dan dimensi satu menit sekali ke CloudWatch sumber daya yang Anda tentukan. Konsol Route 53 memungkinkan Anda melihat status pemeriksaan kondisi. Anda juga dapat menggunakan prosedur berikut untuk melihat metrik di CloudWatch konsol atau melihatnya menggunakan AWS Command Line Interface (AWS CLI).
**Untuk melihat metrik menggunakan konsol CloudWatch**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Pada panel navigasi, silakan pilih **Metrik**.
1. Pada tab **Semua metrik**, pilih **Route 53**.
1. Pilih **Metrik Pemeriksaan Kondisi**.
**Untuk melihat metrik menggunakan AWS CLI**
+ Pada prompt perintah, gunakan perintah berikut:
```
1. aws cloudwatch list-metrics --namespace "AWS/Route53"
```
**Topics**
+ [CloudWatch metrik untuk pemeriksaan kesehatan Route 53](#cloudwatch-metrics)
+ [Dimensi untuk metrik pemeriksaan kondisi Route 53](#cloudwatch-dimensions-route-53-metrics)
### CloudWatch metrik untuk pemeriksaan kesehatan Route 53
Namespace `AWS/Route53` mencakup metrik pemeriksaan status kondisi Route 53 berikut.
**ChildHealthCheckHealthyCount**
Untuk pemeriksaan kesehatan yang diperhitungkan, jumlah pemeriksaan kesehatan yang sehat.
Statistik yang valid: Rata-rata (direkomendadikan), Minimum, Maksimum
Unit: Hitungan
**ConnectionTime**
Rata-rata waktu, dalam milidetik, yang dibutuhkan pemeriksa kondisi Route 53 untuk membuat koneksi TCP dengan titik akhir. Anda dapat melihat `ConnectionTime` untuk pemeriksaan kondisi di seluruh wilayah atau untuk wilayah geografis yang dipilih.
Statistik yang valid: Rata-rata (direkomendadikan), Minimum, Maksimum
Unit: Milidetik
**HealthCheckPercentageHealthy**
Persentase pemeriksa kondisi Route 53 yang menganggap titik akhir yang dipilih sebagai sehat.
Statistik yang valid: Rata-rata, Minimum, Maksimum
Unit: Persen
**HealthCheckStatus**
Status titik akhir pemeriksaan kesehatan yang CloudWatch sedang diperiksa. **1** menunjukkan sehat, dan **0** menunjukkan tidak sehat.
Statistik yang valid: Minimum, Rata-rata, dan Maksimum
Unit: tidak ada
**SSLHandshakeWaktu**
Rata-rata waktu, dalam milidetik, yang dibutuhkan oleh pemeriksa kondisi Route 53 untuk menyelesaikan handshake SSL. Anda dapat melihat `SSLHandshakeTime` untuk pemeriksaan kondisi di seluruh wilayah atau untuk wilayah geografis yang dipilih.
Statistik yang valid: Rata-rata (direkomendadikan), Minimum, Maksimum
Unit: Milidetik
**TimeToFirstByte**
Rata-rata waktu, dalam milidetik, yang dibutuhkan pemeriksa kondisi Route 53 untuk menerima byte pertama respons bagi permintaan HTTP atau HTTPS. Anda dapat melihat `TimeToFirstByte` untuk pemeriksaan kondisi di seluruh wilayah atau untuk wilayah geografis yang dipilih.
Statistik yang valid: Rata-rata (direkomendadikan), Minimum, Maksimum
Unit: Milidetik
### Dimensi untuk metrik pemeriksaan kondisi Route 53
Metrik Route 53 untuk pemeriksaan kondisi menggunakan namespace `AWS/Route53` dan menyediakan metrik untuk `HealthCheckId`. Ketika mengambil metrik, Anda harus menyediakan dimensi `HealthCheckId`.
Selain itu, untuk `ConnectionTime`, `SSLHandshakeTime`, dan `TimeToFirstByte`, Anda dapat menentukan `Region` secara opsional. Jika Anda menghilangkan`Region`, CloudWatch mengembalikan metrik di semua wilayah. Jika Anda menyertakan`Region`, CloudWatch mengembalikan metrik hanya untuk wilayah tertentu.
Untuk informasi selengkapnya, lihat [Memantau pemeriksaan kesehatan menggunakan CloudWatch](monitoring-health-checks.md).
# Memantau zona yang dihosting menggunakan Amazon CloudWatch
Anda dapat memantau zona yang dihosting publik dengan menggunakan Amazon CloudWatch untuk mengumpulkan dan memproses data mentah menjadi metrik yang dapat dibaca, mendekati waktu nyata. Metrik tersedia segera setelah Route 53 menerima kueri DNS yang menjadi dasar metrik. CloudWatch data metrik untuk zona yang dihosting Route 53 memiliki perincian satu menit.
Untuk informasi lebih lanjut, lihat dokumentasi berikut
+ Untuk gambaran umum dan informasi tentang cara melihat metrik di CloudWatch konsol Amazon dan cara mengambil metrik menggunakan AWS Command Line Interface ()AWS CLI, lihat [Melihat metrik kueri DNS untuk zona yang di-hosting publik](hosted-zone-public-viewing-query-metrics.md)
+ Untuk informasi tentang periode retensi metrik, lihat [GetMetricStatistics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html)di *Referensi Amazon CloudWatch API*.
+ Untuk informasi selengkapnya CloudWatch, lihat [Apa itu Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) di *Panduan CloudWatch Pengguna Amazon*.
+ Untuk informasi selengkapnya tentang CloudWatch metrik, lihat [Menggunakan CloudWatch metrik Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) di * CloudWatch Panduan Pengguna Amazon*.
**Topics**
+ [CloudWatch metrik untuk Route 53 zona yang dihosting publik](#cloudwatch-metrics-route-53-hosted-zones)
+ [CloudWatch dimensi untuk metrik zona yang dihosting publik Route 53](#cloudwatch-dimensions-route-53-hosted-zones)
## CloudWatch metrik untuk Route 53 zona yang dihosting publik
`AWS/Route53`Namespace menyertakan metrik berikut untuk zona yang dihosting Route 53:
**DNSQueries**
Untuk zona yang dihosting, jumlah kueri DNS yang ditanggapi Route 53 dalam periode waktu tertentu.
Statistik yang valid: Jumlah, SampleCount
Unit: Hitungan
Wilayah: Route 53 adalah layanan global. Untuk mendapatkan metrik zona yang di-hosting, Anda harus menentukan US East (N. Virginia) sebagai Wilayah.
**DNSSECInternalKegagalan**
Nilai adalah 1 jika ada objek di zona yang di-hosting dalam status INTERNAL\$1FAILURE. Jika tidak, nilai adalah 0.
Statistik yang valid: Jumlah
Unit: Hitungan
Volume: 1 per 4 jam per zona yang dihosting
Wilayah: Route 53 adalah layanan global. Untuk mendapatkan metrik zona yang di-hosting, Anda harus menentukan US East (N. Virginia) sebagai Wilayah.
**DNSSECKeySigningKeysNeedingAction**
Jumlah kunci penandatanganan kunci (KSKs) yang memiliki status ACTION\$1NEEDED (karena kegagalan KMS).
Statistik yang valid: Jumlah, SampleCount
Unit: Hitungan
Volume: 1 per 4 jam per zona yang dihosting
Wilayah: Route 53 adalah layanan global. Untuk mendapatkan metrik zona yang di-hosting, Anda harus menentukan US East (N. Virginia) sebagai Wilayah.
**DNSSECKeySigningKeyMaxNeedingActionAge**
Waktu sejak kunci penandatanganan kunci (KSK) diatur ke status ACTION\$1NEEDED.
Statistik yang valid: Maksimum
Unit: detik
Volume: 1 per 4 jam per zona yang dihosting
Wilayah: Route 53 adalah layanan global. Untuk mendapatkan metrik zona yang di-hosting, Anda harus menentukan US East (N. Virginia) sebagai Wilayah.
**DNSSECKeySigningKeyAge**
Waktu sejak kunci penandatanganan kunci (KSK) dibuat (bukan sejak diaktifkan).
Statistik yang valid: Maksimum
Unit: detik
Volume: 1 per 4 jam per zona yang dihosting
Wilayah: Route 53 adalah layanan global. Untuk mendapatkan metrik zona yang di-hosting, Anda harus menentukan US East (N. Virginia) sebagai Wilayah.
## CloudWatch dimensi untuk metrik zona yang dihosting publik Route 53
Metrik Route 53 untuk zona yang di-hosting menggunakan namespace `AWS/Route53` dan menyediakan metrik untuk `HostedZoneId`. Untuk mendapatkan jumlah kueri DNS, Anda harus menentukan ID zona yang di-hosting dalam dimensi `HostedZoneId`.
# Memantau Route 53 titik akhir VPC Resolver dengan Amazon CloudWatch
Anda dapat menggunakan Amazon CloudWatch untuk memantau jumlah kueri DNS yang diteruskan oleh titik akhir Route 53 VPC Resolver. Amazon CloudWatch mengumpulkan dan memproses data mentah menjadi metrik yang dapat dibaca, mendekati waktu nyata. Statistik ini dicatat dalam jangka waktu dua minggu, sehingga Anda dapat mengakses informasi historis dan mendapatkan perspektif yang lebih baik tentang performa sumber daya Anda. Secara default, data metrik untuk titik akhir Resolver secara otomatis dikirim ke CloudWatch interval lima menit. Interval lima menit juga merupakan interval terkecil di mana data metrik dapat dikirim.
Untuk informasi selengkapnya tentang VPC Resolver, lihat. [Apa itu Route 53 VPC Resolver?](resolver.md) Untuk informasi selengkapnya CloudWatch, lihat [Apa itu Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) di *Panduan CloudWatch Pengguna Amazon*.
## Metrik dan dimensi untuk Route 53 VPC Resolver
Saat Anda mengonfigurasi VPC Resolver untuk meneruskan kueri DNS ke jaringan Anda atau sebaliknya, VPC Resolver mulai mengirim [metrik](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-resolver-with-cloudwatch.html#cloudwatch-metrics-resolver) dan [dimensi](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-resolver-with-cloudwatch.html#cloudwatch-dimensions-resolver) setiap lima menit sekali ke sekitar jumlah kueri yang diteruskan. CloudWatch Anda dapat menggunakan prosedur berikut untuk melihat metrik di CloudWatch konsol atau melihatnya menggunakan AWS Command Line Interface (AWS CLI).
**Untuk melihat metrik VPC Resolver menggunakan konsol CloudWatch**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Pada bilah navigasi, pilih Wilayah tempat Anda membuat titik akhir.
1. Pada panel navigasi, silakan pilih **Metrik**.
1. Pada tab **Semua metrik**, pilih **Route 53 Resolver**.
1. Pilih **Menurut Titik Akhir** untuk melihat jumlah kueri titik akhir tertentu. Kemudian pilih titik akhir yang ingin Anda lihat jumlah kuerinya.
Pilih **Di Seluruh Semua Titik Akhir** untuk melihat jumlah kueri untuk semua titik akhir masuk atau untuk semua titik akhir keluar yang dibuat oleh akun saat ini. AWS Kemudian pilih **InboundQueryVolume**atau **OutboundQueryVolume**untuk melihat jumlah yang diinginkan.
**Untuk melihat metrik menggunakan AWS CLI**
+ Pada prompt perintah, gunakan perintah berikut:
```
1. aws cloudwatch list-metrics --namespace "AWS/Route53Resolver"
```
**Topics**
+ [CloudWatch Metrik Dasar untuk Route 53 VPC Resolver](#cloudwatch-metrics-resolver)
+ [CloudWatch Metrik Terperinci untuk Route 53 VPC Resolver](#cloudwatch-detailed-metrics-resolver)
+ [Dimensi untuk metrik Route 53 VPC Resolver](#cloudwatch-dimensions-resolver)
### CloudWatch Metrik Dasar untuk Route 53 VPC Resolver
`AWS/Route53Resolver`namespace mencakup metrik dasar untuk titik akhir Route 53 VPC Resolver dan untuk alamat IP tanpa biaya.
**Topics**
+ [Metrik untuk titik akhir Route 53 VPC Resolver](#cloudwatch-metrics-resolver-endpoint)
+ [Metrik untuk alamat IP Route 53 VPC Resolver](#cloudwatch-metrics-resolver-ip-address)
#### Metrik untuk titik akhir Route 53 VPC Resolver
`AWS/Route53Resolver`Namespace menyertakan metrik berikut untuk titik akhir Route 53 VPC Resolver.
**EndpointHealthyENICount**
Jumlah antaramuka jaringan elastis dalam status `OPERATIONAL`. Ini berarti bahwa antarmuka jaringan VPC Amazon untuk titik akhir (ditentukan oleh`EndpointId`) dikonfigurasi dengan benar dan dapat meneruskan kueri DNS masuk atau keluar antara jaringan Anda dan Resolver.
Statistik yang Valid: Minimum, Maksimum, Rata-rata
Unit: Hitungan
**EndpointUnhealthyENICount**
Jumlah antaramuka jaringan elastis dalam status `AUTO_RECOVERING`.
Ini berarti penyelesai mencoba memulihkan satu atau beberapa antarmuka jaringan Amazon VPC yang terkait dengan titik akhir (ditentukan oleh `EndpointId`). Selama proses pemulihan, titik akhir berfungsi dengan kapasitas terbatas dan tidak dapat memproses kueri DNS hingga sepenuhnya pulih.
Statistik yang Valid: Minimum, Maksimum, Rata-rata
Unit: Hitungan
**InboundQueryVolume**
Untuk titik akhir masuk, jumlah kueri DNS yang diteruskan dari jaringan Anda ke Anda VPCs melalui titik akhir yang ditentukan oleh. `EndpointId`
Statistik Valid: Sum
Unit: Hitungan
**OutboundQueryVolume**
Untuk titik akhir keluar, jumlah kueri DNS yang diteruskan dari jaringan Anda VPCs ke jaringan Anda melalui titik akhir yang ditentukan oleh. `EndpointId`
Statistik Valid: Sum
Unit: Hitungan
**OutboundQueryAggregateVolume**
Untuk titik akhir keluar, jumlah total kueri DNS yang diteruskan dari Amazon VPCs ke jaringan Anda, termasuk yang berikut ini:
+ Jumlah kueri DNS yang diteruskan dari Anda VPCs ke jaringan Anda melalui titik akhir yang ditentukan oleh. `EndpointId`
+ Ketika akun saat ini membagikan aturan Resolver dengan akun lain, kueri dari akun VPCs tersebut dibuat oleh akun lain yang diteruskan ke jaringan Anda melalui titik akhir yang ditentukan oleh. `EndpointId`
Statistik Valid: Sum
Unit: Hitungan
**ResolverEndpointCapacityStatus**
Status kapasitas titik akhir Resolver. Metrik menunjukkan keadaan pemanfaatan kapasitas saat ini di mana: 0 = OK (Kapasitas operasi normal), 1 = Peringatan (Setidaknya satu elastic network interface melebihi 50% pemanfaatan kapasitas), dan 2 = Kritis (Setidaknya satu elastic network interface melebihi 75% pemanfaatan kapasitas).
Status kapasitas ditentukan oleh beberapa faktor termasuk volume kueri, latensi kueri, protokol DNS, ukuran paket DNS, dan status pelacakan koneksi.
Statistik yang Valid: Maksimum
Satuan: Tidak ada
**Praktik terbaik untuk Manajemen Kapasitas Titik Akhir VPC Resolver**
Untuk mengatasi masalah kapasitas, kami biasanya menyarankan untuk meningkatkan jumlah antarmuka jaringan elastis untuk titik akhir Resolver Anda. Namun, ada pertimbangan penting untuk jenis titik akhir tertentu:
Untuk **titik akhir masuk**, penyeimbangan beban lalu lintas bergantung pada pelanggan. Oleh karena itu peringatan kapasitas atau peringatan kritis dapat menunjukkan “hot spot” di mana subset antarmuka jaringan elastis digunakan secara tidak proporsional.
+ Untuk mengidentifikasi potensi masalah load balancing, periksa [InboundQueryVolume](#cloudwatch-metrics-resolver-ip-address)metrik untuk setiap elastic network interface secara individual.
Untuk **titik akhir keluar**, lalu lintas secara otomatis diseimbangkan di seluruh antarmuka jaringan elastis. Masalah kapasitas mungkin disebabkan oleh masalah dengan server nama target, atau karena permintaan batas waktu latensi tinggi membanjiri antarmuka jaringan Resolver.
+ Dalam kasus ini, hanya meningkatkan antarmuka jaringan elastis mungkin tidak efektif, dan kami sarankan untuk memperbaiki server nama target.
#### Metrik untuk alamat IP Route 53 VPC Resolver
Namespace `AWS/Route53Resolver` menyertakan metrik berikut untuk setiap alamat IP yang terkait dengan titik akhir masuk atau keluar Resolver. (Saat Anda menentukan titik akhir, VPC Resolver membuat antarmuka jaringan [elastis Amazon VPC](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html).)
**InboundQueryVolume**
Untuk setiap alamat IP titik akhir masuk Anda, jumlah kueri DNS yang diteruskan dari jaringan ke alamat IP yang ditentukan. Setiap alamat IP diidentifikasi oleh ID alamat IP. Anda bisa mendapatkan nilai ini menggunakan konsol Route 53. Pada halaman untuk titik akhir yang berlaku, di bagian alamat IP, lihat kolom **ID alamat IP**. Anda juga bisa mendapatkan nilai secara terprogram menggunakan. [ListResolverEndpointIpAddresses](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_ListResolverEndpointIpAddresses.html)
Statistik Valid: Sum
Unit: Hitungan
**OutboundQueryAggregateVolume**
Untuk setiap alamat IP untuk titik akhir keluar Anda, jumlah total kueri DNS yang diteruskan dari Amazon VPCs ke jaringan Anda, termasuk yang berikut ini:
+ Jumlah kueri DNS yang diteruskan dari Anda VPCs ke jaringan Anda menggunakan alamat IP yang ditentukan.
+ Ketika akun saat ini membagikan aturan Resolver dengan akun lain, kueri dari akun VPCs tersebut dibuat oleh akun lain yang diteruskan ke jaringan Anda melalui penggunaan alamat IP yang ditentukan.
Setiap alamat IP diidentifikasi oleh ID alamat IP. Anda bisa mendapatkan nilai ini menggunakan konsol Route 53. Pada halaman untuk titik akhir yang berlaku, di bagian alamat IP, lihat kolom **ID alamat IP**. Anda juga bisa mendapatkan nilai secara terprogram menggunakan. [ListResolverEndpointIpAddresses](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_ListResolverEndpointIpAddresses.html)
Statistik Valid: Sum
Unit: Hitungan
### CloudWatch Metrik Terperinci untuk Route 53 VPC Resolver
Route 53 VPC Resolver menyediakan RNI Enhanced dan Target Name Server Metrics sebagai fitur pilihan untuk titik akhir. Metrik ini dikirim ke CloudWatch interval 1 menit.
**catatan**
Metrik terperinci tidak diaktifkan secara default, tetapi dapat diaktifkan pada tingkat titik akhir. Metrik ini dapat diaktifkan secara terprogram saat membuat atau memperbarui titik akhir menggunakan tanda dan. RniEnhancedMetricsEnabled TargetNameServerMetricsEnabled Untuk informasi selengkapnya, lihat [CreateResolverEndpoint](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_CreateResolverEndpoint.html) dan [UpdateResolverEndpoint](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_UpdateResolverEndpoint.html).
CloudWatch Harga dan biaya standar diterapkan untuk menggunakan metrik rinci titik akhir Route 53 Resolver. Untuk informasi selengkapnya, lihat [ CloudWatch Harga Amazon](https://aws.amazon.com/cloudwatch/pricing/).
**Topics**
+ [Metrik yang Ditingkatkan RNI](#cloudwatch-detailed-metrics-resolver-endpoints-ip-addresses)
+ [Metrik Server Nama Target](#cloudwatch-detailed-metrics-resolver-endpoints-target-nameservers)
#### Metrik yang Ditingkatkan RNI
Route 53 Resolver menerbitkan metrik yang disempurnakan RNI ke Amazon CloudWatch untuk memantau kinerja dan kesehatan titik akhir Resolver dan alamat IP Resolver. `AWS/Route53Resolver`Namespace mencakup metrik yang ditingkatkan RNI berikut untuk titik akhir masuk dan keluar Resolver Route 53 Resolver di, dimensi: `EndpointId` `RniId`
**P90 ResponseTime**
Latensi respons persentil ke-90 dari kueri DNS yang diterima oleh IP Resolver () yang terkait dengan titik akhir Resolver () `RniId` `EndpointId`
Statistik yang Valid: Maksimum
Unit: Mikrodetik
**ServFailQueries**
Jumlah respons SERVFAIL untuk kueri DNS yang dikirim ke IP Resolver () yang terkait dengan titik akhir Resolver (`RniId`) `EndpointId`
Statistik Valid: Sum
Unit: Hitungan
**NxDomainQueries**
Jumlah respons NXDOMAIN untuk kueri DNS yang dikirim ke IP Resolver () yang terkait dengan titik akhir Resolver (`RniId`) `EndpointId`
Statistik Valid: Sum
Unit: Hitungan
**RefusedQueries**
Jumlah tanggapan REFUSED untuk kueri DNS yang dikirim ke IP Resolver () yang terkait dengan titik akhir Resolver (`RniId`) `EndpointId`
Statistik Valid: Sum
Unit: Hitungan
**FormErrorQueries**
Jumlah tanggapan FORMERR untuk kueri DNS yang dikirim ke IP Resolver () yang terkait dengan titik akhir Resolver (`RniId`) `EndpointId`
Statistik Valid: Sum
Unit: Hitungan
**TimeoutQueries**
Jumlah batas waktu untuk kueri DNS yang dikirim ke IP Resolver () yang terkait dengan titik akhir Resolver (`RniId`) `EndpointId`
Statistik Valid: Sum
Unit: Hitungan
#### Metrik Server Nama Target
Route 53 Resolver menerbitkan metrik server nama target ke CloudWatch Amazon untuk memantau kinerja dan ketersediaan server nama target yang terkait dengan titik akhir Resolver. `AWS/Route53Resolver`Namespace menyertakan metrik terperinci berikut untuk titik akhir keluar Route 53 Resolver dalam dimensi: `EndpointID` `TargetNameServerIP`
**P90 ResponseTime**
Latensi respons persentil ke-90 dari Target Name Server IP (`TargetNameServerIP`) untuk kueri DNS yang dikirim melalui titik akhir Resolver () `EndpointID`
Statistik yang Valid: Maksimum
Unit: Mikrodetik
**RequestQueries**
Jumlah kueri DNS yang dikirim ke IP Server Nama Target (`TargetNameServerIP`) melalui titik akhir Resolver (). `EndpointID`
Statistik Valid: Sum
Unit: Hitungan
**TimeoutQueries**
Jumlah kueri DNS yang dikirim melalui titik akhir Resolver (`EndpointID`) yang habis waktunya di IP Server Nama Target (). `TargetNameServerIP`
Statistik Valid: Sum
Unit: Hitungan
**catatan**
Dalam beberapa kasus, celah mungkin diamati dalam metrik VPC Resolver (ResolverEndpointCapacityStatus) dan metrik yang ditingkatkan RNI. Kesenjangan ini dapat terjadi ketika antarmuka jaringan Anda menjalani pemeliharaan atau pembaruan terjadwal berturut-turut. Setelah kami mengembalikan antarmuka jaringan ke layanan, dibutuhkan setidaknya 1 menit bagi layanan kami untuk mengumpulkan data operasional dan mempublikasikan metrik ini. Kesenjangan ini tidak menunjukkan bahwa titik akhir VPC Resolver Anda mengalami pemadaman. Jika Anda mengonfigurasi CloudWatch alarm untuk metrik ini, kami merekomendasikan hal berikut:
Atur alarm ke “Perlakukan data yang hilang sebagai abaikan”, atau
Konfigurasikan periode evaluasi lebih dari lima menit untuk ambang alarm.
Pengaturan ini akan membantu mengurangi alarm palsu selama aktivitas pemeliharaan normal.
### Dimensi untuk metrik Route 53 VPC Resolver
Metrik Route 53 VPC Resolver untuk titik akhir masuk dan keluar menggunakan `AWS/Route53Resolver` namespace dan menyediakan metrik untuk dimensi berikut:
+ `EndpointId`: Jika Anda menentukan nilai untuk `EndpointId` dimensi, CloudWatch mengembalikan jumlah query DNS untuk titik akhir yang ditentukan. Jika Anda tidak menentukan`EndpointId`, CloudWatch mengembalikan jumlah kueri DNS untuk semua titik akhir yang dibuat oleh akun saat ini. AWS
+ `RniId`dimensi didukung untuk `OutboundQueryAggregateVolume` dan `InboundQueryVolume` metrik.
+ `EndpointId`, `RniId` dimensi didukung untuk`P90ResponseTime`,,,`ServFailQueries`, `NxDomainQueries` `RefusedQueries``FormErrorQueries`, dan `TimeoutQueries` untuk Alamat IP Resolver yang terkait dengan titik akhir resolver.
+ `EndpointID`, `TargetNameServerIP` dimensi didukung untuk`P90ResponseTime`,`RequestQueries`, dan `TimeoutQueries` untuk server nama target yang terkait dengan titik akhir resolver.
# Memantau grup aturan DNS Firewall Resolver dengan Amazon CloudWatch
Anda dapat menggunakan Amazon CloudWatch untuk memantau jumlah kueri DNS yang difilter oleh grup aturan Resolver DNS Firewall. Amazon CloudWatch mengumpulkan dan memproses data mentah menjadi metrik yang dapat dibaca, mendekati waktu nyata. Statistik ini dicatat dalam jangka waktu dua minggu, sehingga Anda dapat mengakses informasi historis dan mendapatkan perspektif yang lebih baik tentang performa sumber daya Anda. Secara default, data metrik untuk grup aturan DNS Firewall dikirim secara otomatis CloudWatch pada interval lima menit.
Untuk informasi selengkapnya tentang Firewall DNS, lihat [Menggunakan DNS Firewall untuk menyaring lalu lintas DNS keluar](resolver-dns-firewall.md). Untuk informasi selengkapnya CloudWatch, lihat [Apa itu Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) di *Panduan CloudWatch Pengguna Amazon*.
## Metrik dan dimensi untuk Resolver DNS Firewall
Saat Anda mengaitkan grup aturan Resolver DNS Firewall dengan VPC untuk memfilter kueri DNS, DNS Firewall mulai mengirim metrik dan dimensi setiap 5 menit sekali ke kueri yang difilter. CloudWatch Untuk informasi tentang metrik dan dimensi Firewall DNS, lihat [CloudWatch metrik untuk Resolver DNS Firewall](#cloudwatch-metrics-resolver-dns-firewall).
Anda dapat menggunakan prosedur berikut untuk melihat metrik di CloudWatch konsol atau melihatnya menggunakan AWS Command Line Interface (AWS CLI).
**Untuk melihat metrik DNS Firewall menggunakan konsol CloudWatch**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di bilah navigasi, pilih Wilayah yang ingin Anda lihat.
1. Pada panel navigasi, silakan pilih **Metrik**.
1. Pada tab **Semua metrik**, pilih **Route 53 VPC Resolver**.
1. Pilih metrik yang menarik bagi Anda.
**Untuk melihat metrik menggunakan AWS CLI**
+ Pada prompt perintah, gunakan perintah berikut:
```
1. aws cloudwatch list-metrics --namespace "AWS/Route53Resolver"
```
**Topics**
+ [CloudWatch metrik untuk Resolver DNS Firewall](#cloudwatch-metrics-resolver-dns-firewall)
### CloudWatch metrik untuk Resolver DNS Firewall
`AWS/Route53Resolver`Namespace menyertakan metrik untuk grup aturan Resolver DNS Firewall.
**Topics**
+ [Metrik untuk grup aturan Resolver DNS Firewall](#cloudwatch-metrics-resolver-dns-firewall-rule-group)
+ [Metrik untuk VPCs](#cloudwatch-metrics-resolver-vpc)
+ [Metrik untuk grup aturan firewall dan pengaitan VPC](#cloudwatch-metrics-resolver-firewall-vpc)
+ [Metrik untuk daftar domain di grup aturan firewall](#cloudwatch-metrics-domain-list-firewall)
#### Metrik untuk grup aturan Resolver DNS Firewall
**FirewallRuleGroupQueryVolume**
Jumlah kueri Firewall DNS yang cocok dengan grup aturan firewall (ditentukan oleh `FirewallRuleGroupId`).
Dimensi: `FirewallRuleGroupId`
Statistik yang valid: Jumlah
Unit: Hitungan
#### Metrik untuk VPCs
**VpcFirewallQueryVolume**
Jumlah kueri Firewall DNS dari VPC (ditentukan oleh `VpcId`).
Dimensi: `VpcId`
Statistik yang valid: Jumlah
Unit: Hitungan
#### Metrik untuk grup aturan firewall dan pengaitan VPC
**FirewallRuleGroupVpcQueryVolume**
Jumlah kueri Firewall DNS dari VPC (ditentukan oleh `VpcId`) yang cocok dengan grup aturan firewall (ditentukan oleh `FirewallRuleGroupId`).
Dimensi: `FirewallRuleGroupId, VpcId`
Statistik yang valid: Jumlah
Unit: Hitungan
#### Metrik untuk daftar domain di grup aturan firewall
**FirewallRuleQueryVolume**
Jumlah kueri firewall DNS yang cocok dengan daftar domain firewall (ditentukan oleh `FirewallDomainListId`) dalam grup aturan firewall (ditentukan oleh `FirewallRuleGroupId`).
Dimensi: `FirewallRuleGroupId, FirewallDomainListId`
Statistik yang valid: Jumlah
Unit: Hitungan
# Mengelola peristiwa Resolver DNS Firewall menggunakan Amazon EventBridge
Amazon EventBridge adalah layanan tanpa server yang menggunakan peristiwa untuk menghubungkan komponen aplikasi bersama-sama, sehingga memudahkan Anda untuk membangun aplikasi berbasis peristiwa yang dapat diskalakan. Arsitektur berbasis peristiwa adalah gaya membangun sistem perangkat lunak yang digabungkan secara longgar yang bekerja sama dengan memancarkan dan menanggapi peristiwa. Peristiwa mewakili perubahan dalam sumber daya atau lingkungan.
Seperti banyak AWS layanan, DNS Firewall menghasilkan dan mengirim acara ke bus acara EventBridge default. (Bus acara default secara otomatis disediakan di setiap AWS akun.) Bus acara adalah router yang menerima acara dan mengirimkannya ke nol atau lebih tujuan, atau *target*. Aturan yang Anda tentukan untuk bus acara mengevaluasi peristiwa saat mereka tiba. Setiap aturan memeriksa apakah suatu peristiwa cocok dengan *pola acara* aturan. Jika acara tidak cocok, bus acara mengirimkan acara ke target yang ditentukan.
![\[AWS layanan mengirim acara ke bus acara EventBridge default. Jika acara cocok dengan pola acara aturan, EventBridge kirimkan acara ke target yang ditentukan untuk aturan tersebut.\]](http://docs.aws.amazon.com/id_id/Route53/latest/DeveloperGuide/images/eventbridge-integration-how-it-works.png)
**Topics**
+ [Acara Resolver DNS Firewall](#supported-events)
+ [Mengirim peristiwa Resolver DNS Firewall menggunakan aturan EventBridge](#eventbridge-using-events-rules)
+ [Amazon EventBridge izin](#eventbridge-permissions)
+ [EventBridge Sumber daya tambahan](#eventbridge-additonal-resources)
+ [Referensi detail acara Resolver DNS Firewall](events-detail-reference.md)
## Acara Resolver DNS Firewall
VPC Resolver mengirimkan peristiwa DNS Firewall ke bus acara default secara otomatis. EventBridge Anda dapat membuat aturan di bus acara; setiap aturan mencakup pola acara dan satu atau lebih target. Peristiwa yang cocok dengan pola acara aturan dikirimkan ke target yang ditentukan [berdasarkan upaya terbaik](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-service-event.html#eb-service-event-delivery-level). Acara mungkin dikirim keluar dari pesanan.
Peristiwa berikut dihasilkan oleh DNS Firewall. Untuk informasi selengkapnya, lihat [EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html)di *Panduan Amazon EventBridge Pengguna.* .
| Jenis detail acara | Deskripsi |
| --- | --- |
| [Blok Firewall DNS](events-detail-reference.md#dns-firewall-alert) | Tindakan blok apa pun yang dilakukan pada domain. |
| [Peringatan Firewall DNS](events-detail-reference.md#dns-firewall-block) | Tindakan peringatan apa pun yang dilakukan pada domain. |
## Mengirim peristiwa Resolver DNS Firewall menggunakan aturan EventBridge
Agar bus acara EventBridge default mengirim peristiwa DNS Firewall ke target, Anda harus membuat aturan yang berisi pola peristiwa yang cocok dengan data dalam peristiwa DNS Firewall yang diinginkan.
Membuat aturan terdiri dari langkah-langkah umum berikut:
1. Membuat pola acara untuk aturan yang menentukan:
+ VPC Resolver adalah sumber peristiwa yang dievaluasi oleh aturan.
+ (Opsional): Setiap data acara lain untuk dicocokkan.
Untuk informasi selengkapnya, lihat [Membuat pola acara untuk acara Resolver DNS Firewall](#eventbridge-using-events-rules-patterns)
1. (Opsional): Membuat *transformator input* yang menyesuaikan data dari peristiwa sebelum EventBridge meneruskan informasi ke target aturan.
Untuk informasi selengkapnya, lihat [Transformasi input](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-transform-target-input.html) di *Panduan EventBridge Pengguna*.
1. Menentukan target yang ingin EventBridge Anda sampaikan acara yang cocok dengan pola acara.
Target dapat berupa AWS layanan lain, aplikasi software-as-a-service (SaaS), tujuan API, atau titik akhir khusus lainnya. Untuk informasi lebih lanjut, lihat [Target](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) di *Panduan Pengguna EventBridge *.
Untuk petunjuk komprehensif tentang cara membuat aturan bus acara, lihat [Membuat aturan yang bereaksi terhadap peristiwa](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) di *Panduan EventBridge Pengguna*.
### Membuat pola acara untuk acara Resolver DNS Firewall
Saat DNS Firewall mengirimkan peristiwa ke bus peristiwa default, EventBridge gunakan pola peristiwa yang ditentukan untuk setiap aturan untuk menentukan apakah acara harus dikirim ke target aturan. Pola peristiwa cocok dengan data dalam peristiwa DNS Firewall yang diinginkan. Setiap pola acara adalah objek JSON yang berisi:
+ `source`Atribut yang mengidentifikasi layanan yang mengirim acara. Untuk acara DNS Firewall, sumbernya adalah`aws.route53resolver`.
+ (Opsional): `detail-type` Atribut yang berisi array jenis acara yang cocok.
+ (Opsional): `detail` Atribut yang berisi data acara lain yang cocok.
Misalnya, pola peristiwa berikut cocok dengan peristiwa peringatan dan pemblokiran dari DNS Firewall:
```
{
"source": ["aws.route53resolver"],
"detail-type": ["DNS Firewall Block", "DNS Firewall Alert"]
}
```
Sedangkan pola event berikut cocok dengan aksi BLOCK:
```
{
"source": ["aws.route53resolver"],
"detail-type": ["DNS Firewall Block"]
}
```
DNS Firewall mengirimkan acara yang sama untuk domain yang sama hanya sekali dalam jendela 6 jam. Contoh:
1. Instance i-123 mengirim kueri DNS exampledomain.com pada waktu T1. DNS Firewall mengirimkan peringatan atau peristiwa pemblokiran karena ini adalah kejadian pertama.
1. Instance i-123 mengirim DNSquery exampledomain.com pada waktu T1\$130 menit. DNS Firewall tidak mengirim peringatan atau memblokir peristiwa karena ini adalah kejadian berulang dalam jendela 6 jam.
1. Instance i-123 mengirim kueri DNS exampledomain.com pada waktu T1\$17 jam. DNS Firewall mengirimkan peringatan atau peristiwa pemblokiran karena ini terjadi di luar jendela 6 jam.
Untuk informasi selengkapnya tentang penulisan pola acara, lihat [Pola acara](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) di *Panduan EventBridge Pengguna*.
### Menguji pola acara untuk acara DNS Firewall di EventBridge
Anda dapat menggunakan EventBridge Sandbox untuk mendefinisikan dan menguji pola peristiwa dengan cepat, tanpa harus menyelesaikan proses pembuatan atau pengeditan aturan yang lebih besar. Menggunakan Sandbox, Anda dapat menentukan pola peristiwa dan menggunakan contoh peristiwa untuk mengonfirmasi pola cocok dengan peristiwa yang diinginkan. EventBridge memberi Anda pilihan untuk membuat aturan baru menggunakan pola acara itu, langsung dari kotak pasir.
Untuk informasi selengkapnya, lihat [Menguji pola peristiwa menggunakan EventBridge Kotak Pasir](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-pattern-sandbox.html) di *Panduan EventBridge Pengguna*.
### Membuat EventBridge aturan dan target untuk DNS Firewall
Prosedur berikut menunjukkan cara membuat aturan yang memungkinkan EventBridge untuk mengirim peristiwa untuk semua peringatan DNS Firewall dan tindakan blok, dan menambahkan AWS Lambda fungsi sebagai target untuk aturan tersebut.
1. Gunakan AWS CLI untuk membuat EventBridge aturan:
```
aws events put-rule \
--event-pattern "{\"source\":
[\"aws.route53resolver\"],\"detail-type\":
[\"DNS Firewall Block\", \"DNS Firewall Alert\"]}" \
--name dns-firewall-rule
```
1. Lampirkan fungsi Lambda sebagai target aturan:
`AWS events put-targets --rule dns-firewall-rule --targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:`
1. Untuk menambahkan izin yang diperlukan untuk memanggil target, jalankan perintah Lambda berikut: AWS CLI
`AWS lambda add-permission --function-name --statement-id 1 --action 'lambda:InvokeFunction' --principal events.amazonaws.com`
## Amazon EventBridge izin
DNS Firewall tidak memerlukan izin tambahan untuk mengirimkan acara ke. Amazon EventBridge
Target yang Anda tentukan mungkin memerlukan izin atau konfigurasi tertentu. Untuk detail selengkapnya tentang penggunaan layanan khusus untuk target, lihat [Amazon EventBridge target](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) di *Panduan Amazon EventBridge Pengguna*.
## EventBridge Sumber daya tambahan
Lihat topik-topik berikut di [https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) untuk informasi lebih lanjut tentang cara menggunakan EventBridge untuk memproses dan mengelola acara.
+ Untuk informasi rinci tentang cara kerja bus acara, lihat [bus Amazon EventBridge acara](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html).
+ Untuk informasi tentang struktur acara, lihat [Acara](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html).
+ Untuk informasi tentang membuat pola peristiwa untuk EventBridge digunakan saat mencocokkan peristiwa dengan aturan, lihat [Pola acara](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html).
+ Untuk informasi tentang membuat aturan untuk menentukan EventBridge proses peristiwa, lihat [Aturan](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html).
+ Untuk informasi tentang menentukan layanan atau tujuan lain yang EventBridge mengirimkan peristiwa yang cocok, lihat [Target](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html).
# Referensi detail acara Resolver DNS Firewall
Semua peristiwa dari AWS layanan memiliki seperangkat bidang umum yang berisi metadata tentang acara tersebut, seperti AWS layanan yang merupakan sumber acara, waktu acara dibuat, akun dan wilayah tempat acara berlangsung, dan lainnya. Untuk definisi bidang umum ini, lihat [Referensi struktur acara](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events-structure.html) di *Panduan Amazon EventBridge Pengguna*.
Selain itu, setiap acara memiliki `detail` bidang yang berisi data khusus untuk peristiwa tertentu. Referensi di bawah ini mendefinisikan bidang detail untuk berbagai peristiwa DNS Firewall.
Saat menggunakan EventBridge untuk memilih dan mengelola peristiwa DNS Firewall, penting untuk mengingat hal berikut:
+ `source`Bidang untuk semua peristiwa dari DNS Firewall diatur ke`aws.route53resolver`.
+ `detail-type`Bidang menentukan jenis acara.
Misalnya, `DNS Firewall Block` atau `DNS Firewall Alert`.
+ `detail`Bidang berisi data yang spesifik untuk peristiwa tertentu.
Untuk informasi tentang membuat pola peristiwa yang memungkinkan aturan agar sesuai dengan peristiwa DNS Firewall, lihat [Pola acara](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) di *Amazon EventBridge Panduan Pengguna*.
Untuk informasi selengkapnya tentang peristiwa dan cara EventBridge memprosesnya, lihat [Amazon EventBridge peristiwa](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) di *Panduan Amazon EventBridge Pengguna*.
**Topics**
+ [Detail acara peringatan DNS Firewall](#dns-firewall-alert)
+ [Detail acara blok DNS Firewall](#dns-firewall-block)
## Detail acara peringatan DNS Firewall
Di bawah ini adalah bidang detail untuk detail acara status Peringatan.
`detail-type`Bidang `source` dan disertakan karena berisi nilai khusus untuk acara Route 53.
```
{...,
"detail-type": "DNS Firewall Alert",
"source": "aws.route53resolver",
...,
"detail": {
"account-id": "string",
"last-observed-at": "string",
"query-name": "string",
"query-type": "string",
"query-class": "string",
"transport": "string",
"firewall-rule-action": "string",
"firewall-rule-group-id": "string",
"firewall-domain-list-id": "string",
"firewall-protection": "string",
"resources": [{
"resource-type": "string",
"instance-details": {
"id": "string",
}
},
{
"resource-type": "string",
"resolver-endpoint-details": {
"id": "string"
}
}
]
```
`detail-type`
Mengidentifikasi jenis acara.
Untuk acara ini, nilai ini adalah`DNS Firewall Alert`.
`source`
Mengidentifikasi layanan yang menghasilkan peristiwa. Untuk acara DNS Firewall, nilai ini adalah`aws.route53resolver`.
`detail`
Objek JSON yang berisi informasi tentang peristiwa. Layanan yang menghasilkan acara menentukan konten bidang ini.
Untuk acara ini, data ini meliputi:
`account-id`
ID Akun AWS yang menciptakan VPC.
`last-observed-at`
Stempel waktu kapan Alert/Block kueri dibuat di VPC.
`query-name`
Nama domain (example.com) atau nama subdomain (www.example.com) yang ditentukan dalam kueri.
`query-type`
Entah jenis catatan DNS yang ditentukan dalam permintaan, atau APAPUN. Untuk informasi tentang jenis yang didukung Route 53, lihat [Tipe data DNS yang didukung](ResourceRecordTypes.md).
`query-class`
Kelas kueri.
`transport`
Protokol yang digunakan untuk mengirimkan kueri DNS.
`firewall-rule-action`
Tindakan yang ditentukan oleh aturan yang cocok dengan nama domain dalam kueri. Baik `ALERT` atau `BLOCK`.
`firewall-rule-group-id`
ID grup aturan Firewall DNS yang cocok dengan nama domain dalam kueri. Untuk informasi selengkapnya tentang grup aturan firewall, lihat DNS Firewall[Grup aturan dan aturan DNS Firewall](resolver-dns-firewall-rule-groups.md).
`firewall-domain-list-id`
Daftar domain yang digunakan oleh aturan yang cocok dengan nama domain dalam kueri.
`firewall-protection`
Perlindungan lanjutan DNS Firewall: DGA, DICTIONARY\$1DGA, atau DNS\$1TUNNELING. Untuk informasi selengkapnya, lihat DNS Firewall[Resolver DNS Firewall Lanjutan](firewall-advanced.md).
`resourcese`
Berisi jenis sumber daya dan detail tambahan tentang mereka.
`resource-type`
Menentukan jenis sumber daya, seperti titik akhir resolver atau contoh VPC.
`resource-type-detail`
Detail tambahan tentang sumber daya.
**Example Acara peringatan DNS Firewall**
Berikut ini adalah contoh peristiwa peringatan.
```
{
"version": "1.0",
"id": "8e5622f9-d81c-4d81-612a-9319e7ee2506",
"detail-type": "DNS Firewall Alert",
"source": "aws.route53resolver",
"account": "123456789012",
"time": "2023-05-30T21:52:17Z",
"region": "us-west-2",
"resources": [],
"detail": {
"account-id": "123456789012",
"last-observed-at": "2023-05-30T20:15:15.900Z",
"query-name": "15.3.4.32.in-addr.arpa.",
"query-type": "A",
"query-class": "IN",
"transport": "UDP",
"firewall-rule-action": "ALERT",
"firewall-rule-group-id": "rslvr-frg-01234567890abcdef",
"firewall-domain-list-id": "rslvr-fdl-01234567890abcdef",
"firewall-protection": "DGA",
"resources": [{
"resource-type": "instance",
"instance-details": {
"id": "i-05746eb48123455e0",
}
},
{
"resource-type": "resolver-endpoint",
"resolver-endpoint-details": {
"id": "i-05746eb48123455e0"
}
}
],
"src-addr": "4.5.64.102",
"src-port": "56067",
"vpc-id": "vpc-7example"
}
}
```
## Detail acara blok DNS Firewall
Di bawah ini adalah bidang detail untuk*event name*.
`detail-type`Bidang `source` dan disertakan karena berisi nilai khusus untuk acara Route 53.
```
{...,
"detail-type": "DNS Firewall Block",
"source": "aws.route53resolver",
...,
"detail": {
"account-id": "string",
"last-observed-at": "string",
"query-name": "string",
"query-type": "string",
"query-class": "string",
"transport": "string",
"firewall-rule-action": "string",
"firewall-rule-group-id": "string",
"firewall-domain-list-id": "string",
"firewall-protection": "string",
"resources": [{
"resource-type": "string",
"instance-details": {
"id": "string",
}
},
{
"resource-type": "string",
"resolver-endpoint-details": {
"id": "string"
}
}
]
```
`detail-type`
Mengidentifikasi jenis acara.
Untuk acara ini, nilai ini adalah`DNS Firewall Alert`.
`source`
Mengidentifikasi layanan yang menghasilkan peristiwa. Untuk acara DNS Firewall, nilai ini adalah`aws.route53resolver`.
`detail`
Objek JSON yang berisi informasi tentang peristiwa. Layanan yang menghasilkan acara menentukan konten bidang ini.
Untuk acara ini, data ini meliputi:
`account-id`
ID Akun AWS yang menciptakan VPC.
`last-observed-at`
Stempel waktu kapan Alert/Block kueri dibuat di VPC.
`query-name`
Nama domain (example.com) atau nama subdomain (www.example.com) yang ditentukan dalam kueri.
`query-type`
Entah jenis catatan DNS yang ditentukan dalam permintaan, atau APAPUN. Untuk informasi tentang jenis yang didukung Route 53, lihat [Tipe data DNS yang didukung](ResourceRecordTypes.md).
`query-class`
Kelas kueri.
`transport`
Protokol yang digunakan untuk mengirimkan kueri DNS.
`firewall-rule-action`
Tindakan yang ditentukan oleh aturan yang cocok dengan nama domain dalam kueri. Baik `ALERT` atau `BLOCK`.
`firewall-rule-group-id`
ID grup aturan Firewall DNS yang cocok dengan nama domain dalam kueri. Untuk informasi selengkapnya tentang grup aturan firewall, lihat DNS Firewall[Grup aturan dan aturan DNS Firewall](resolver-dns-firewall-rule-groups.md).
`firewall-domain-list-id`
Daftar domain yang digunakan oleh aturan yang cocok dengan nama domain dalam kueri.
`firewall-protection`
Perlindungan lanjutan DNS Firewall: DGA, DICTIONARY\$1DGA, atau DNS\$1TUNNELING. Untuk informasi selengkapnya, lihat DNS Firewall[Resolver DNS Firewall Lanjutan](firewall-advanced.md).
`resourcese`
Berisi jenis sumber daya dan detail tambahan tentang mereka.
`resource-type`
Menentukan jenis sumber daya, seperti titik akhir resolver atau contoh VPC.
`resource-type-detail`
Detail tambahan tentang sumber daya.
**Example Contoh peristiwa**
Berikut ini adalah contoh peristiwa blok.
```
{
"version": "1.0",
"id": "8e5622f9-d81c-4d81-612a-9319e7ee2506",
"detail-type": "DNS Firewall Block",
"source": "aws.route53resolver",
"account": "123456789012",
"time": "2023-05-30T21:52:17Z",
"region": "us-west-2",
"resources": [],
"detail": {
"account-id": "123456789012",
"last-observed-at": "2023-05-30T20:15:15.900Z",
"query-name": "15.3.4.32.in-addr.arpa.",
"query-type": "A",
"query-class": "IN",
"transport": "UDP",
"firewall-rule-action": "BLOCK",
"firewall-rule-group-id": "rslvr-frg-01234567890abcdef",
"firewall-domain-list-id": "rslvr-fdl-01234567890abcdef",
"firewall-protection": "DNS_TUNNELING",
"resources": [{
"resource-type": "instance",
"instance-details": {
"id": "i-05746eb48123455e0"
}
},
{
"resource-type": "resolver-endpoint",
"resolver-endpoint-details": {
"id": "i-05746eb48123455e0",
}
}
],
"src-addr": "4.5.64.102",
"src-port": "56067",
"vpc-id": "vpc-7example"
}
}
```
# Mencatat panggilan API Amazon Route 53 dengan AWS CloudTrail
Route 53 terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan di Route 53. CloudTrail menangkap semua panggilan API untuk Route 53 sebagai peristiwa, termasuk panggilan dari konsol Route 53 dan dari panggilan kode ke Route 53 APIs. Jika Anda membuat jejak, Anda dapat mengaktifkan pengiriman CloudTrail acara secara terus menerus ke bucket Amazon S3, termasuk acara untuk Route 53. Jika Anda tidak mengonfigurasi jejak, Anda masih dapat melihat peristiwa terbaru di CloudTrail konsol dalam **Riwayat acara**. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat ke Route 53, alamat IP tempat permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan.
**Topics**
+ [Informasi rute 53 di CloudTrail](#route-53-info-in-cloudtrail)
+ [Melihat peristiwa Route 53 dalam riwayat peristiwa](#route-53-events-in-cloudtrail-event-history)
+ [Memahami entri berkas log Route 53](#understanding-route-53-entries-in-cloudtrail)
## Informasi rute 53 di CloudTrail
CloudTrail diaktifkan di AWS akun Anda saat Anda membuat akun. Ketika aktivitas terjadi di Rute 53, aktivitas tersebut dicatat dalam suatu CloudTrail peristiwa bersama dengan peristiwa AWS layanan lainnya dalam **riwayat Acara**. Anda dapat melihat, mencari, dan mengunduh acara terbaru di AWS akun Anda. Untuk informasi selengkapnya, lihat [Melihat peristiwa dengan riwayat CloudTrail acara](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Untuk catatan peristiwa yang sedang berlangsung di AWS akun Anda, termasuk acara untuk Route 53, buat jejak. Jejak memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon S3. Secara default, ketika Anda membuat jejak di konsol, jejak ini diterapkan ke semua Wilayah. Trail mencatat peristiwa dari semua wilayah di AWS partisi dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log. Untuk informasi lebih lanjut, lihat:
+ [Ikhtisar untuk membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail layanan dan integrasi yang didukung](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Mengonfigurasi notifikasi Amazon SNS untuk CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Menerima file CloudTrail log dari beberapa Wilayah](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) dan [Menerima file CloudTrail log dari beberapa akun](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Semua tindakan Route 53 dicatat oleh CloudTrail dan didokumentasikan dalam [Referensi API Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/APIReference/). Misalnya, panggilan ke`CreateHostedZone`,`CreateHealthCheck`, dan `RegisterDomain` tindakan menghasilkan entri dalam file CloudTrail log.
Setiap entri peristiwa atau log berisi informasi tentang entitas yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan hal berikut ini:
+ Apakah permintaan tersebut dibuat dengan kredensial root atau pengguna IAM.
+ Apakah permintaan tersebut dibuat dengan kredensial keamanan sementara untuk satu peran atau pengguna terfederasi.
+ Apakah permintaan itu dibuat oleh AWS layanan lain.
Untuk informasi selengkapnya, lihat [Elemen userIdentity CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Melihat peristiwa Route 53 dalam riwayat peristiwa
CloudTrail memungkinkan Anda melihat peristiwa terbaru dalam **riwayat Acara**. Untuk melihat peristiwa untuk permintaan API Route 53, Anda harus memilih **US East (N. Virginia)** pada pemiilih wilayah di bagian atas konsol. Untuk informasi selengkapnya, lihat [Melihat CloudTrail peristiwa dengan riwayat peristiwa](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) di *Panduan AWS CloudTrail Pengguna*.
## Memahami entri berkas log Route 53
Trail adalah konfigurasi yang memungkinkan pengiriman peristiwa sebagai file log ke bucket Amazon S3 yang Anda tentukan. CloudTrail file log berisi satu atau lebih entri log. Peristiwa mewakili permintaan tunggal dari sumber mana pun dan mencakup informasi tentang tindakan yang diminta, tanggal dan waktu tindakan, parameter permintaan, dan sebagainya. CloudTrail file log bukanlah jejak tumpukan yang diurutkan dari panggilan API publik, sehingga file tersebut tidak muncul dalam urutan tertentu.
Elemen `eventName` mengidentifikasi tindakan yang terjadi. (Dalam CloudTrail log, huruf pertama adalah huruf kecil untuk tindakan pendaftaran domain meskipun huruf besar dalam nama tindakan. Misalnya, `UpdateDomainContact` muncul seperti `updateDomainContact` di log). CloudTrail mendukung semua tindakan API Route 53. Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan tindakan berikut:
+ Buat daftar zona yang dihosting yang terkait dengan AWS akun
+ Membuat pemeriksaan kondisi
+ Membuat dua catatan
+ Menghapus zona yang di-hosting
+ Memperbarui informasi untuk domain terdaftar
+ Buat titik akhir keluar Route 53 VPC Resolver
```
{
"Records": [
{
"apiVersion": "2013-04-01",
"awsRegion": "us-east-1",
"eventID": "1cdbea14-e162-43bb-8853-f9f86d4739ca",
"eventName": "ListHostedZones",
"eventSource": "route53.amazonaws.com",
"eventTime": "2015-01-16T00:41:48Z",
"eventType": "AwsApiCall",
"eventVersion": "1.02",
"recipientAccountId": "444455556666",
"requestID": "741e0df7-9d18-11e4-b752-f9c6311f3510",
"requestParameters": null,
"responseElements": null,
"sourceIPAddress": "192.0.2.92",
"userAgent": "Apache-HttpClient/4.3 (java 1.5)",
"userIdentity": {
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"accountId": "111122223333",
"arn": "arn:aws:iam::111122223333:user/smithj",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"type": "IAMUser",
"userName": "smithj"
}
},
{
"apiVersion": "2013-04-01",
"awsRegion": "us-east-1",
"eventID": "45ec906a-1325-4f61-b133-3ef1012b0cbc",
"eventName": "CreateHealthCheck",
"eventSource": "route53.amazonaws.com",
"eventTime": "2018-01-16T00:41:57Z",
"eventType": "AwsApiCall",
"eventVersion": "1.02",
"recipientAccountId": "444455556666",
"requestID": "79915168-9d18-11e4-b752-f9c6311f3510",
"requestParameters": {
"callerReference": "2014-05-06 64832",
"healthCheckConfig": {
"iPAddress": "192.0.2.249",
"port": 80,
"type": "TCP"
}
},
"responseElements": {
"healthCheck": {
"callerReference": "2014-05-06 64847",
"healthCheckConfig": {
"failureThreshold": 3,
"iPAddress": "192.0.2.249",
"port": 80,
"requestInterval": 30,
"type": "TCP"
},
"healthCheckVersion": 1,
"id": "b3c9cbc6-cd18-43bc-93f8-9e557example"
},
"location": "https://route53.amazonaws.com/2013-04-01/healthcheck/b3c9cbc6-cd18-43bc-93f8-9e557example"
},
"sourceIPAddress": "192.0.2.92",
"userAgent": "Apache-HttpClient/4.3 (java 1.5)",
"userIdentity": {
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"accountId": "111122223333",
"arn": "arn:aws:iam::111122223333:user/smithj",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"type": "IAMUser",
"userName": "smithj"
}
},
{
"additionalEventData": {
"Note": "Do not use to reconstruct hosted zone"
},
"apiVersion": "2013-04-01",
"awsRegion": "us-east-1",
"eventID": "883b14d9-2f84-4005-8bc5-c7bf0cebc116",
"eventName": "ChangeResourceRecordSets",
"eventSource": "route53.amazonaws.com",
"eventTime": "2018-01-16T00:41:43Z",
"eventType": "AwsApiCall",
"eventVersion": "1.02",
"recipientAccountId": "444455556666",
"requestID": "7081d4c6-9d18-11e4-b752-f9c6311f3510",
"requestParameters": {
"changeBatch": {
"changes": [
{
"action": "CREATE",
"resourceRecordSet": {
"name": "prod.example.com.",
"resourceRecords": [
{
"value": "192.0.1.1"
},
{
"value": "192.0.1.2"
},
{
"value": "192.0.1.3"
},
{
"value": "192.0.1.4"
}
],
"tTL": 300,
"type": "A"
}
},
{
"action": "CREATE",
"resourceRecordSet": {
"name": "test.example.com.",
"resourceRecords": [
{
"value": "192.0.1.1"
},
{
"value": "192.0.1.2"
},
{
"value": "192.0.1.3"
},
{
"value": "192.0.1.4"
}
],
"tTL": 300,
"type": "A"
}
}
],
"comment": "Adding subdomains"
},
"hostedZoneId": "Z1PA6795UKMFR9"
},
"responseElements": {
"changeInfo": {
"comment": "Adding subdomains",
"id": "/change/C156SRE0X2ZB10",
"status": "PENDING",
"submittedAt": "Jan 16, 2018 12:41:43 AM"
}
},
"sourceIPAddress": "192.0.2.92",
"userAgent": "Apache-HttpClient/4.3 (java 1.5)",
"userIdentity": {
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"accountId": "111122223333",
"arn": "arn:aws:iam::111122223333:user/smithj",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"type": "IAMUser",
"userName": "smithj"
}
},
{
"apiVersion": "2013-04-01",
"awsRegion": "us-east-1",
"eventID": "0cb87544-ebee-40a9-9812-e9dda1962cb2",
"eventName": "DeleteHostedZone",
"eventSource": "route53.amazonaws.com",
"eventTime": "2018-01-16T00:41:37Z",
"eventType": "AwsApiCall",
"eventVersion": "1.02",
"recipientAccountId": "444455556666",
"requestID": "6d5d149f-9d18-11e4-b752-f9c6311f3510",
"requestParameters": {
"id": "Z1PA6795UKMFR9"
},
"responseElements": {
"changeInfo": {
"id": "/change/C1SIJYUYIKVJWP",
"status": "PENDING",
"submittedAt": "Jan 16, 2018 12:41:36 AM"
}
},
"sourceIPAddress": "192.0.2.92",
"userAgent": "Apache-HttpClient/4.3 (java 1.5)",
"userIdentity": {
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"accountId": "111122223333",
"arn": "arn:aws:iam::111122223333:user/smithj",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"type": "IAMUser",
"userName": "smithj"
}
},
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/smithj",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "smithj",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2018-11-01T19:43:59Z"
}
},
"invokedBy": "test"
},
"eventTime": "2018-11-01T19:49:36Z",
"eventSource": "route53domains.amazonaws.com",
"eventName": "updateDomainContact",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.92",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:52.0) Gecko/20100101 Firefox/52.0",
"requestParameters": {
"domainName": {
"name": "example.com"
}
},
"responseElements": {
"requestId": "034e222b-a3d5-4bec-8ff9-35877ff02187"
},
"additionalEventData": "Personally-identifying contact information is not logged in the request",
"requestID": "015b7313-bf3d-11e7-af12-cf75409087f6",
"eventID": "f34f3338-aaf4-446f-bf0e-f72323bac94d",
"eventType": "AwsApiCall",
"recipientAccountId": "444455556666"
},
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/smithj",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2018-11-01T14:33:09Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIUZEZLWWZOEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/Admin",
"accountId": "123456789012",
"userName": "Admin"
}
}
},
"eventTime": "2018-11-01T14:37:19Z",
"eventSource": "route53resolver.amazonaws.com",
"eventName": "CreateResolverEndpoint",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.176",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:52.0) Gecko/20100101 Firefox/52.0",
"requestParameters": {
"creatorRequestId": "123456789012",
"name": "OutboundEndpointDemo",
"securityGroupIds": [
"sg-05618b249example"
],
"direction": "OUTBOUND",
"ipAddresses": [
{
"subnetId": "subnet-01cb0c4676example"
},
{
"subnetId": "subnet-0534819b32example"
}
],
"tags": []
},
"responseElements": {
"resolverEndpoint": {
"id": "rslvr-out-1f4031f1f5example",
"creatorRequestId": "123456789012",
"arn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-endpoint/rslvr-out-1f4031f1f5example",
"name": "OutboundEndpointDemo",
"securityGroupIds": [
"sg-05618b249example"
],
"direction": "OUTBOUND",
"ipAddressCount": 2,
"hostVPCId": "vpc-0de29124example",
"status": "CREATING",
"statusMessage": "[Trace id: 1-5bd1d51e-f2f3032eb75649f71example] Creating the Resolver Endpoint",
"creationTime": "2018-11-01T14:37:19.045Z",
"modificationTime": "2018-11-01T14:37:19.045Z"
}
},
"requestID": "3f066d98-773f-4628-9cba-4ba6eexample",
"eventID": "cb05b4f9-9411-4507-813b-33cb0example",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
]
}
```