Pencatatan DNS kueri publik - Amazon Route 53
Mengkonfigurasi logging untuk DNS kueriMenggunakan Amazon CloudWatch untuk mengakses log DNS kueriMengubah periode retensi untuk log dan mengekspor log ke Amazon S3Menghentikan pencatatan kueriNilai yang muncul di log DNS kueriContoh log kueri

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pencatatan DNS kueri publik

Anda dapat mengonfigurasi Amazon Route 53 untuk mencatat informasi tentang DNS kueri publik yang diterima Route 53, seperti berikut ini:

  • Domain atau subdomain yang diminta

  • Tanggal dan waktu permintaan

  • DNSjenis rekaman (seperti A atauAAAA)

  • Rute 53 lokasi tepi yang merespons kueri DNS

  • DNSkode respon, seperti NoError atau ServFail

Setelah Anda mengonfigurasi pencatatan kueri, Route 53 akan mengirim CloudWatch log ke Log. Anda menggunakan alat CloudWatch Log untuk mengakses log kueri.

Log kueri hanya berisi kueri yang diteruskan oleh DNS resolver ke Route 53. Jika DNS resolver telah men-cache respons ke kueri (seperti alamat IP untuk penyeimbang beban untuk example.com), resolver akan terus mengembalikan respons yang di-cache tanpa meneruskan kueri ke Route 53 hingga catatan yang sesuai kedaluwarsa. TTL

Bergantung pada berapa banyak DNS kueri yang dikirimkan untuk nama domain (example.com) atau nama subdomain (www.example.com), resolver yang digunakan pengguna Anda, dan TTL untuk catatan, log kueri mungkin berisi informasi tentang hanya satu kueri dari setiap beberapa ribu kueri yang dikirimkan ke resolver. DNS Untuk informasi selengkapnya tentang cara DNS kerja, lihatCara lalu lintas internet dirutekan ke situs web atau aplikasi web Anda.

Jika Anda tidak memerlukan informasi pencatatan terperinci, Anda dapat menggunakan CloudWatch metrik Amazon untuk melihat jumlah total DNS kueri yang ditanggapi Route 53 untuk zona yang dihosting. Untuk informasi selengkapnya, lihat Melihat metrik kueri DNS untuk zona yang di-hosting publik.

Mengkonfigurasi logging untuk DNS kueri

Untuk memulai pencatatan DNS kueri untuk zona host tertentu, Anda melakukan tugas berikut di konsol Amazon Route 53:

  • Pilih grup CloudWatch log log yang Anda inginkan Route 53 untuk memublikasikan log, atau buat grup log baru.

    catatan

    Grup log harus berada di Wilayah US East (N. Virginia).

  • Pilih Create (Buat) untuk menyelesaikan.

catatan

Jika pengguna mengirimkan DNS kueri untuk domain Anda, Anda harus mulai melihat kueri di log dalam beberapa menit setelah Anda membuat konfigurasi pencatatan kueri.

Untuk mengonfigurasi pencatatan untuk DNS kueri

  1. Masuk ke AWS Management Console dan buka konsol Route 53 di https://console.aws.amazon.com/route53/.

  2. Pada panel navigasi, pilih Zona yang di-hosting.

  3. Pilih zona yang di-hosting dengan pencatatan kueri yang ingin Anda konfigurasi.

  4. Di panel Detail zona yang di-hosting, pilih Konfigurasi pencatatan kueri.

  5. Pilih grup log yang sudah ada atau buat grup log baru.

  6. Jika Anda menerima peringatan tentang izin (ini terjadi jika Anda belum mengonfigurasi pencatatan kueri dengan konsol baru), lakukan salah satu tindakan berikut:

    • Jika sudah memiliki 10 kebijakan sumber daya, Anda tidak dapat membuatnya lagi. Pilih salah satu kebijakan sumber daya, dan pilih Edit. Pengeditan akan memberikan izin kepada Route 53 untuk menulis log ke grup log Anda. Pilih Simpan. Peringatan akan hilang dan Anda dapat melanjutkan ke langkah berikutnya.

    • Jika Anda belum pernah mengonfigurasi pencatatan kueri sebelumnya (atau jika Anda belum membuat 10 kebijakan sumber daya), Anda perlu memberikan izin ke Route 53 untuk menulis log ke grup CloudWatch Log Anda. Pilih Berikan izin. Peringatan akan hilang dan Anda dapat melanjutkan ke langkah berikutnya.

  7. Pilih Izin - opsional untuk melihat tabel yang menunjukkan apakah kebijakan sumber daya cocok dengan grup CloudWatch log, dan apakah Route 53 memiliki izin untuk memublikasikan log. CloudWatch

  8. Pilih Buat.

Menggunakan Amazon CloudWatch untuk mengakses log DNS kueri

Amazon Route 53 mengirimkan log kueri langsung ke CloudWatch Log; log tidak pernah dapat diakses melalui Route 53. Sebagai gantinya, Anda menggunakan CloudWatch Log untuk melihat log dalam waktu dekat, mencari dan memfilter data, dan mengekspor log ke Amazon S3.

Route 53 membuat satu aliran CloudWatch log Log untuk setiap lokasi tepi Route 53 yang merespons DNS kueri untuk zona host yang ditentukan dan mengirimkan log kueri ke aliran log yang berlaku. Format untuk nama setiap aliran log adalah hosted-zone-id/edge-location-ID, misalnya,Z1D633PJN98FT9/DFW3.

Setiap lokasi tepi diidentifikasi oleh kode tiga huruf dan nomor yang ditetapkan secara sewenang-wenang, misalnya,. DFW3 Kode tiga huruf biasanya sesuai dengan kode bandara International Air Transport Association untuk bandara yang berada di dekat lokasi tepi. (Ringkasan ini mungkin berubah di masa mendatang.) Untuk daftar lokasi edge, lihat "The Route 53 Global Network" pada halaman Detail Produk Route 53.

catatan

Anda mungkin melihat beberapa awalan atau sufiks yang tidak mengikuti konvensi di atas. Mereka menyandikan atribut yang hanya untuk penggunaan internal.

Untuk informasi lebih lanjut, lihat dokumentasi yang berlaku:

Mengubah periode retensi untuk log dan mengekspor log ke Amazon S3

Secara default, CloudWatch Log menyimpan log kueri tanpa batas waktu. Anda dapat menentukan periode retensi secara opsional sehingga CloudWatch Log menghapus log yang lebih lama dari periode penyimpanan. Untuk informasi selengkapnya, lihat Mengubah penyimpanan data CloudWatch log di Log di Panduan CloudWatch Pengguna Amazon.

Jika Anda ingin menyimpan data log tetapi Anda tidak memerlukan alat CloudWatch Log untuk melihat dan menganalisis data, Anda dapat mengekspor log ke Amazon S3, yang dapat mengurangi biaya penyimpanan Anda. Untuk informasi lebih lanjut, lihat Mengekspor data log ke Amazon S3.

Untuk informasi tentang harga, lihat halaman harga yang berlaku:

catatan

Saat Anda mengonfigurasi Route 53 untuk mencatat DNS kueri, Anda tidak dikenakan biaya Route 53.

Menghentikan pencatatan kueri

Jika Anda ingin Amazon Route 53 berhenti mengirim log kueri ke CloudWatch Log, lakukan prosedur berikut untuk menghapus konfigurasi pencatatan kueri.

Cara menghapus konfigurasi pencatatan kueri

  1. Masuk ke AWS Management Console dan buka konsol Route 53 di https://console.aws.amazon.com/route53/.

  2. Pada panel navigasi, pilih Zona yang di-hosting.

  3. Pilih nama untuk zona yang di-hosting dengan konfigurasi pencatatan kueri yang ingin Anda hapus.

  4. Di panel Detail zona yang di-hosting, pilih Hapus konfigurasi pencatatan kueri.

  5. Pilih Hapus untuk mengonfirmasi.

Nilai yang muncul di log DNS kueri

Setiap file log berisi satu entri log untuk setiap DNS kueri yang diterima Amazon Route 53 dari DNS resolver di lokasi tepi yang sesuai. Setiap entri log mencakup nilai-nilai berikut:

Versi format log

Nomor versi log kueri ini. Jika kita menambahkan bidang ke log atau mengubah format bidang yang ada, kita akan menambahkan nilai ini.

Timestamp kueri

Tanggal dan waktu Route 53 menanggapi permintaan, dalam format ISO 8601 dan Waktu Universal Terkoordinasi (UTC), misalnya,. 2017-03-16T19:20:25.177Z

Untuk informasi tentang format ISO 8601, lihat artikel Wikipedia 8601. ISO Untuk selengkapnyaUTC, lihat artikel Wikipedia Coordinated Universal Time.

ID zona yang di-hosting

ID zona yang dihosting yang terkait dengan semua DNS kueri di log ini.

Nama kueri

Domain atau subdomain yang ditentukan dalam permintaan.

Jenis kueri

Entah jenis DNS rekaman yang ditentukan dalam permintaan, atauANY. Untuk informasi tentang jenis yang didukung Route 53, lihat Tipe data DNS yang didukung.

Kode respons

Kode DNS respons yang dikembalikan Route 53 sebagai respons terhadap DNS kueri.

Protokol Layer 4

Protokol yang digunakan untuk mengirimkan kueri, baik TCP atau UDP.

Lokasi edge Route 53

Lokasi edge Route 53 yang merespons kueri. Setiap lokasi tepi diidentifikasi oleh kode tiga huruf dan nomor arbitrer, misalnya,. DFW3 Kode tiga huruf biasanya sesuai dengan kode bandara International Air Transport Association untuk bandara yang berada di dekat lokasi tepi. (Ringkasan ini mungkin berubah di masa mendatang.)

Untuk daftar lokasi edge, lihat "The Route 53 Global Network" pada halaman Detail Produk Route 53.

Alamat IP penyelesai

Alamat IP DNS resolver yang mengajukan permintaan ke Route 53.

EDNSsubnet klien

Alamat IP sebagian untuk klien tempat permintaan berasal, jika tersedia dari DNS resolver.

Untuk informasi selengkapnya, lihat IETF draf Subnet Klien di DNS Permintaan.

Contoh log kueri

Berikut contoh log kueri (Region adalah placeholder):

1.0 2017-12-13T08:16:02.130Z Z123412341234 example.com A NOERROR UDP Region 192.168.1.1 -
1.0 2017-12-13T08:15:50.235Z Z123412341234 example.com AAAA NOERROR TCP Region 192.168.3.1 192.168.222.0/24
1.0 2017-12-13T08:16:03.983Z Z123412341234 example.com ANY NOERROR UDP Region 2001:db8::1234 2001:db8:abcd::/48
1.0 2017-12-13T08:15:50.342Z Z123412341234 bad.example.com A NXDOMAIN UDP Region 192.168.3.1 192.168.111.0/24
1.0 2017-12-13T08:16:05.744Z Z123412341234 txt.example.com TXT NOERROR UDP Region 192.168.1.2 -