Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Pencatatan kueri penyelesai
Anda dapat mencatat kueri DNS berikut:
+ Kueri yang berasal dari Amazon Virtual Private Cloud VPCs yang Anda tentukan, serta tanggapan terhadap kueri DNS tersebut.
+ Kueri dari sumber daya on-premise yang menggunakan titik akhir Resolver masuk.
+ Kueri yang menggunakan titik akhir Resolver keluar untuk resolusi DNS rekursif.
+ Kueri yang menggunakan aturan Resolver DNS Firewall untuk memblokir, mengizinkan, atau memantau daftar domain.
Log kueri VPC Resolver menyertakan nilai-nilai seperti berikut ini:
+ AWS Wilayah tempat VPC dibuat
+ ID VPC tempat kueri berasal
+ Alamat IP instans tempat kueri berasal
+ ID instans sumber daya tempat kueri berasal
+ Tanggal dan waktu pertama kali kueri dibuat
+ Nama DNS yang diminta (seperti prod.example.com)
+ Jenis catatan DNS (seperti A atau AAAA)
+ Kode respons DNS, seperti `NoError` atau `ServFail`
+ Data respons DNS, seperti alamat IP yang dikembalikan dalam merespons kueri DNS
+ Respons terhadap tindakan aturan Firewall DNS
Untuk daftar detail dari semua nilai yang dicatat dan contoh, lihat [Nilai yang muncul di log kueri VPC Resolver](resolver-query-logs-format.md).
**catatan**
Seperti standar untuk resolver DNS, resolver cache DNS query untuk jangka waktu yang ditentukan oleh (TTL) untuk resolver. time-to-live Resolver VPC Route 53 menyimpan kueri yang berasal dari Anda VPCs, dan merespons dari cache bila memungkinkan untuk mempercepat respons. Pencatatan kueri VPC Resolver hanya mencatat kueri unik, bukan kueri yang dapat ditanggapi oleh VPC Resolver dari cache.
Misalnya, misalkan instans EC2 di salah satu konfigurasi pencatatan kueri untuk mencatat kueri, mengirimkan permintaan untuk accounting.example.com. VPCs VPC Resolver menyimpan respons terhadap kueri itu, dan mencatat kueri. Jika elastic network interface instance yang sama membuat kueri untuk accounting.example.com dalam TTL cache VPC Resolver, VPC Resolver merespons kueri dari cache. Kueri kedua tidak dicatat.
Anda dapat mengirim log ke salah satu AWS sumber daya berikut:
+ Grup CloudWatch log Amazon CloudWatch Log (Log)
+ Bucket Amazon S3 (S3)
+ Aliran pengiriman Firehose
Untuk informasi selengkapnya, lihat [AWS sumber daya yang dapat Anda kirim log kueri VPC Resolver](resolver-query-logs-choosing-target-resource.md).
**Topics**
+ [AWS sumber daya yang dapat Anda kirim log kueri VPC Resolver](resolver-query-logs-choosing-target-resource.md)
+ [Mengelola konfigurasi pencatatan kueri Resolver](resolver-query-logging-configurations-managing.md)
# AWS sumber daya yang dapat Anda kirim log kueri VPC Resolver
**catatan**
Jika ingin mencatat kueri untuk beban kerja dengan kueri tinggi per detik (QPS), Anda harus menggunakan Amazon S3 untuk memastikan log kueri Anda tidak di-throttle ketika ditulis ke tujuan Anda. Jika Anda menggunakan Amazon CloudWatch, Anda dapat meningkatkan batas permintaan per detik untuk `PutLogEvents` operasi. Untuk mempelajari lebih lanjut tentang meningkatkan CloudWatch batas, lihat [Kuota CloudWatch log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html) di *Panduan CloudWatch Pengguna Amazon*.
Anda dapat mengirim log kueri VPC Resolver ke sumber daya berikut: AWS
**Grup CloudWatch log Amazon CloudWatch Logs (Amazon Logs)**
Anda dapat menganalisis log dengan Wawasan Log serta membuat metrik dan alarm.
Untuk informasi selengkapnya, lihat [Panduan Pengguna Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).
**Bucket Amazon S3 (S3)**
Bucket S3 memiliki harga yang ekonomis untuk pengarsipan log jangka panjang. Latensi biasanya lebih tinggi.
Semua opsi enkripsi sisi server S3 didukung. Untuk informasi selengkapnya, lihat [Melindungi data dengan enkripsi sisi server di Panduan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) Pengguna *Amazon* S3.
Jika Anda memilih Enkripsi Sisi Server dengan AWS KMS Kunci (SSE-KMS), Anda harus memperbarui kebijakan kunci untuk kunci yang dikelola pelanggan agar akun pengiriman log dapat menulis ke bucket Amazon S3 Anda. *Untuk informasi selengkapnya tentang kebijakan kunci yang diperlukan untuk digunakan dengan SSE-KMS, lihat enkripsi [sisi server bucket Amazon S3 di Panduan Pengguna](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-infrastructure-V2-S3.html#AWS-logs-SSE-KMS-S3-V2) Amazon. CloudWatch *
Jika bucket S3 ada di akun yang Anda miliki, izin yang diperlukan akan ditambahkan secara otomatis ke kebijakan bucket Anda. Jika ingin mengirim log ke bucket S3 di akun yang tidak Anda miliki, pemilik bucket S3 harus menambahkan izin untuk akun Anda dalam kebijakan bucket mereka. Contoh:
****
```
{
"Version":"2012-10-17",
"Id": "CrossAccountAccess",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::your_bucket_name/AWSLogs/your_caller_account/*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::your_bucket_name"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "iam_user_arn_or_account_number_for_root"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::your_bucket_name"
}
]
}
```
Jika ingin menyimpan log di bucket S3 sentral untuk organisasi Anda, kami sarankan Anda menyiapkan konfigurasi pencatatan kueri dari akun terpusat (dengan izin yang diperlukan untuk menulis ke bucket sentral) dan menggunakan [RAM](query-logging-configurations-managing-sharing.md) untuk berbagi konfigurasi di seluruh akun.
Untuk informasi selengkapnya, lihat [Panduan Pengguna Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/).
**Aliran pengiriman Firehose**
Anda dapat melakukan streaming log secara real time ke Amazon OpenSearch Service, Amazon Redshift, atau aplikasi lain.
Untuk informasi selengkapnya, lihat Panduan [Pengembang Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/).
Untuk informasi tentang harga untuk pencatatan kueri Resolver, lihat harga [Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/pricing/).
CloudWatch Biaya Vending Logs berlaku saat menggunakan log Resolver VPC, bahkan ketika log dipublikasikan langsung ke Amazon S3. Untuk informasi selengkapnya, lihat [*Harga log* dengan CloudWatch harga Amazon](https://aws.amazon.com//cloudwatch/pricing/#Vended_Logs).
# Mengelola konfigurasi pencatatan kueri Resolver
## Mengkonfigurasi (pencatatan kueri VPC Resolver)
Anda dapat mengonfigurasi pencatatan kueri VPC Resolver dengan dua cara:
+ **Asosiasi VPC langsung** - Kaitkan VPCs langsung ke konfigurasi pencatatan kueri.
+ **Asosiasi profil** - Kaitkan konfigurasi pencatatan kueri ke Profil Route 53, yang menerapkan pencatatan ke semua yang VPCs terkait dengan Profil tersebut. Untuk informasi selengkapnya, lihat [Kaitkan konfigurasi pencatatan kueri VPC Resolver ke Profil Route 53](profile-associate-query-logging.md).
Untuk mulai mencatat kueri DNS yang berasal dari Anda VPCs, Anda melakukan tugas berikut di konsol Amazon Route 53:
**Cara mengonfigurasi pencatatan kueri Resolver**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Memperluas menu konsol Route 53. Di sudut kiri atas konsol, pilih ikon tiga bilah horizontal (![\[Menu icon\]](http://docs.aws.amazon.com/id_id/Route53/latest/DeveloperGuide/images/menu-icon.png)).
1. Dalam menu Resolver, pilih **Pencatatan kueri**.
1. Di pemilih Region, pilih AWS Wilayah tempat Anda ingin membuat konfigurasi pencatatan kueri. Ini harus menjadi Wilayah yang sama tempat Anda membuat tempat Anda ingin mencatat kueri DNS. VPCs Jika Anda memiliki VPCs di beberapa Wilayah, Anda harus membuat setidaknya satu konfigurasi pencatatan kueri untuk setiap Wilayah.
1. Pilih **Konfigurasikan pencatatan kueri**.
1. Tentukan nilai-nilai berikut ini:
**Nama konfigurasi pencatatan kueri**
Masukkan nama untuk konfigurasi pencatatan kueri. Nama muncul di konsol dalam daftar konfigurasi pencatatan kueri. Masukkan nama yang akan membantu Anda menemukan konfigurasi ini nanti.
**Tujuan log kueri**
Pilih jenis AWS sumber daya yang Anda inginkan VPC Resolver untuk mengirim log kueri. Untuk informasi tentang cara memilih di antara opsi (Grup CloudWatch log log, bucket S3, dan aliran pengiriman Firehose), lihat. [AWS sumber daya yang dapat Anda kirim log kueri VPC Resolver](resolver-query-logs-choosing-target-resource.md)
Setelah Anda memilih jenis sumber daya, Anda dapat membuat sumber daya lain dari jenis itu atau memilih sumber daya yang ada yang dibuat oleh AWS akun saat ini.
Anda dapat memilih hanya sumber daya yang dibuat di Wilayah AWS yang Anda pilih di langkah 4, Wilayah tempat Anda membuat konfigurasi pencatatan kueri. Jika Anda memilih untuk membuat sumber daya baru, sumber daya tersebut akan dibuat di Wilayah yang sama.
**VPCs untuk mencatat kueri untuk**
Konfigurasi pencatatan kueri ini akan mencatat kueri DNS yang berasal dari VPCs yang Anda pilih. **Centang kotak untuk setiap VPC di Wilayah saat ini yang Anda inginkan VPC Resolver untuk mencatat kueri, lalu pilih Pilih.**
**Alternatif**: Alih-alih mengaitkan VPCs secara langsung, Anda dapat mengaitkan konfigurasi pencatatan kueri ini ke Profil Route 53, yang akan menerapkan pencatatan ke semua yang VPCs terkait dengan Profil tersebut. Untuk informasi selengkapnya, lihat [Kaitkan konfigurasi pencatatan kueri VPC Resolver ke Profil Route 53](profile-associate-query-logging.md).
Pengiriman log VPC dapat diaktifkan hanya sekali untuk jenis tujuan tertentu. Log tidak dapat dikirim ke beberapa tujuan dengan jenis yang sama, misalnya, log VPC tidak dapat dikirim ke 2 tujuan Amazon S3.
1. Pilih **Konfigurasikan pencatatan kueri**.
**catatan**
Seharusnya Anda mulai melihat kueri DNS yang dibuat oleh sumber daya di VPC Anda di log dalam beberapa menit setelah berhasil membuat konfigurasi pencatatan kueri.
# Nilai yang muncul di log kueri VPC Resolver
Setiap file log berisi satu entri log untuk setiap kueri DNS yang diterima Amazon Route 53 dari penyelesai DNS di lokasi edge yang sesuai. Setiap entri log mencakup nilai-nilai berikut:
**versi**
Nomor versi format log kueri. Versi saat ini adalah `1.1`.
Nilai versi merupakan versi utama dan minor dalam bentuk **major\$1version.minor\$1version**. Misalnya, Anda dapat memilki nilai `version` sebesar `1.7`, dengan `1 ` merupakan versi utama, dan `7` adalah versi minor.
Route 53 meningkatkan versi utama jika ada perubahan pada struktur log yang tidak kompatibel dengan versi sebelumnya. Ini termasuk menghapus bidang JSON yang sudah ada, atau mengubah bagaimana isi bidang direpresentasikan (misalnya, format tanggal).
Route 53 meningkatkan versi minor jika perubahan menambahkan bidang baru ke berkas log. Hal ini dapat terjadi jika informasi baru tersedia untuk beberapa atau semua kueri DNS yang ada dalam VPC.
**account\$1id**
ID AWS akun yang membuat VPC.
**region**
AWS Wilayah tempat Anda membuat VPC.
**vpc\$1id**
ID VPC tempat kueri berasal.
**query\$1timestamp**
Tanggal dan waktu kueri dikirimkan, dalam format ISO 8601 dan Coordinated Universal Time (UTC), misalnya, `2017-03-16T19:20:177Z`.
Untuk informasi tentang format ISO 8601, lihat artikel Wikipedia [ISO 8601](https://en.wikipedia.org/wiki/ISO_8601). Untuk informasi tentang UTC, lihat artikel Wikipedia [Coordinated Universal Time](https://en.wikipedia.org/wiki/Coordinated_Universal_Time).
**query\$1name**
Nama domain (example.com) atau nama subdomain (www.example.com) yang ditentukan dalam kueri.
**query\$1type**
Jenis catatan DNS yang ditentukan dalam permintaan, atau `ANY`. Untuk informasi tentang jenis yang didukung Route 53, lihat [Tipe data DNS yang didukung](ResourceRecordTypes.md).
**query\$1class**
Kelas kueri.
**rcode**
Kode respons DNS yang dikembalikan VPC Resolver sebagai respons terhadap kueri DNS. Kode respons yang menunjukkan apakah kueri valid atau tidak. Kode respons yang paling umum adalah `NOERROR`, yang berarti bahwa kueri tersebut valid. Jika respons tidak valid, Resolver mengembalikan kode respons yang menjelaskan alasannya. Untuk daftar kode respons yang mungkin, lihat [DNS RCODEs](https://www.iana.org/assignments/dns-parameters/dns-parameters.xhtml#dns-parameters-6) di situs web IANA.
**answer\$1type**
Jenis catatan DNS (seperti A, MX, atau CNAME) dari nilai yang dikembalikan VPC Resolver sebagai respons terhadap kueri. Untuk informasi tentang jenis yang didukung Route 53, lihat [Tipe data DNS yang didukung](ResourceRecordTypes.md).
**rdata**
Nilai yang dikembalikan VPC Resolver sebagai respons terhadap kueri. Misalnya, untuk catatan A, ini adalah alamat IP dalam IPv4 format. Untuk catatan CNAME, ini adalah nama domain dalam catatan CNAME.
**answer\$1class**
Kelas respons VPC Resolver terhadap kueri.
**srcaddr**
Alamat IP host yang berasal dari kueri.
**srcport**
Port pada instans tempat kueri berasal.
**transport**
Protokol yang digunakan untuk mengirimkan kueri DNS.
**srcids**
IDs dari`instance`,`resolver_endpoint`, dan `resolver_network_interface` bahwa kueri DNS berasal atau dilewati.
**instans**
ID instans tempat kueri berasal.
Jika Anda melihat ID instance di log kueri Route 53 VPC Resolver yang tidak terlihat di akun Anda, itu mungkin karena kueri DNS berasal dari konsol, AWS Lambda Amazon EKS AWS CloudShell, atau Fargate, yang digunakan oleh Anda.
**resolver\$1titik akhir**
ID titik akhir penyelesai yang melewati kueri DNS ke server DNS on-premise.
Jika Anda memiliki catatan CNAME yang berantai di seluruh aturan penerusan yang berbeda menggunakan titik akhir resolver yang berbeda, log kueri hanya menampilkan ID dari titik akhir resolver terakhir yang digunakan dalam rantai. Untuk melacak jalur resolusi lengkap melalui beberapa titik akhir, Anda dapat mengkorelasikan log di berbagai konfigurasi pencatatan kueri.
**firewall\$1rule\$1group\$1id**
ID grup aturan Firewall DNS yang cocok dengan nama domain dalam kueri. Ini diisi hanya jika Firewall DNS menemukan kecocokan untuk aturan dengan tindakan yang diatur ke pemberitahuan atau blokir.
Untuk informasi selengkapnya tentang grup aturan firewall, lihat [Grup aturan dan aturan DNS Firewall](resolver-dns-firewall-rule-groups.md).
**firewall\$1rule\$1action**
Tindakan yang ditentukan oleh aturan yang cocok dengan nama domain dalam kueri. Ini diisi hanya jika Firewall DNS menemukan kecocokan untuk aturan dengan tindakan yang diatur ke pemberitahuan atau blokir.
**firewall\$1domain\$1list\$1id**
Daftar domain yang digunakan oleh aturan yang cocok dengan nama domain dalam kueri. Ini diisi hanya jika Firewall DNS menemukan kecocokan untuk aturan dengan tindakan yang diatur ke pemberitahuan atau blokir.
**additional\$1properties**
Informasi tambahan tentang peristiwa pengiriman log. **is\$1delayed**: Jika ada penundaan pengiriman log.
# Contoh log kueri Route 53 VPC Resolver
Berikut adalah contoh log kueri Resolver:
```
{
"srcaddr": "4.5.64.102",
"vpc_id": "vpc-7example",
"answers": [
{
"Rdata": "203.0.113.9",
"Type": "PTR",
"Class": "IN"
}
],
"firewall_rule_group_id": "rslvr-frg-01234567890abcdef",
"firewall_rule_action": "BLOCK",
"query_name": "15.3.4.32.in-addr.arpa.",
"firewall_domain_list_id": "rslvr-fdl-01234567890abcdef",
"query_class": "IN",
"srcids": {
"instance": "i-0d15cd0d3example"
},
"rcode": "NOERROR",
"query_type": "PTR",
"transport": "UDP",
"version": "1.100000",
"account_id": "111122223333",
"srcport": "56067",
"query_timestamp": "2021-02-04T17:51:55Z",
"region": "us-east-1"
}
```
# Berbagi konfigurasi pencatatan kueri Resolver dengan akun lain AWS
Anda dapat membagikan konfigurasi pencatatan kueri yang Anda buat menggunakan satu AWS akun dengan AWS akun lain. Untuk berbagi konfigurasi, konsol Resolver VPC Route 53 terintegrasi dengan AWS Resource Access Manager. Untuk informasi lebih lanjut tentang Resource Access Manager, lihat [Panduan Pengguna Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).
Perhatikan hal-hal berikut:
**Mengaitkan VPCs dengan konfigurasi pencatatan kueri bersama**
Jika AWS akun lain telah berbagi satu atau beberapa konfigurasi dengan akun Anda, Anda dapat mengaitkannya VPCs dengan konfigurasi dengan cara yang sama seperti yang Anda kaitkan VPCs dengan konfigurasi yang Anda buat.
**Menghapus atau membatalkan berbagi konfigurasi**
Jika Anda berbagi konfigurasi dengan akun lain dan kemudian menghapus konfigurasi atau berhenti membagikannya, dan jika satu atau lebih VPCs dikaitkan dengan konfigurasi, Route 53 VPC Resolver berhenti mencatat kueri DNS yang berasal dari itu. VPCs
**Jumlah maksimum konfigurasi pencatatan kueri dan VPCs yang dapat dikaitkan dengan konfigurasi**
Ketika akun membuat konfigurasi dan membagikannya dengan satu atau lebih akun lain, jumlah maksimum VPCs yang dapat dikaitkan dengan konfigurasi diterapkan per akun. Misalnya, jika Anda memiliki 10.000 akun di organisasi Anda, Anda dapat membuat konfigurasi pencatatan kueri di akun pusat dan membagikannya melalui AWS RAM untuk membagikannya ke akun organisasi. Akun organisasi kemudian akan mengaitkan konfigurasi dengan VPCs penghitungannya terhadap asosiasi VPC konfigurasi log kueri akun mereka per Wilayah AWS batas 100. Namun, jika semua VPCs berada dalam satu akun, maka batas layanan akun mungkin diperlukan untuk ditingkatkan.
Untuk kuota Resolver VPC saat ini, lihat. [Kuota pada Route 53 VPC Resolver](DNSLimitations.md#limits-api-entities-resolver)
**Izin**
Untuk berbagi aturan dengan AWS akun lain, Anda harus memiliki izin untuk menggunakan [PutResolverQueryLogConfigPolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutResolverQueryLogConfigPolicy.html)tindakan tersebut.
**Pembatasan pada AWS akun tempat aturan dibagikan**
Akun yang dibagikan aturan tidak dapat mengubah atau menghapus aturan.
**Penandaan**
Hanya akun yang membuat aturan yang dapat menambahkan, menghapus, atau melihat tanda pada aturan.
Untuk melihat status berbagi aturan saat ini (termasuk akun yang membagikan aturan atau akun tempat aturan dibagikan), dan untuk berbagi aturan dengan akun lain, lakukan prosedur berikut.
**Untuk melihat status berbagi dan berbagi konfigurasi pencatatan kueri dengan akun lain AWS**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Di panel navigasi, pilih **Pencatatan Kueri**.
1. Pada bilah navigasi, pilih Wilayah tempat Anda membuat aturan.
Kolom **Status berbagi** menampilkan status berbagi aturan saat ini yang dibuat oleh akun saat ini atau yang dibagikan dengan akun saat ini:
+ **Tidak dibagikan**: AWS Akun saat ini membuat aturan, dan aturan tidak dibagikan dengan akun lain.
+ **Dibagikan oleh saya**: Akun saat ini membuat aturan dan membagikannya dengan satu atau beberapa akun.
+ **Dibagikan dengan saya**: Akun saat ini membuat aturan dan membagikannya dengan akun saat ini.
1. Pilih nama aturan dengan informasi berbagi yang ingin Anda tampilkan atau yang ingin Anda bagikan dengan akun lain.
Pada *rule name* halaman **Aturan:**, nilai di bawah **Pemilik** menampilkan ID akun yang membuat aturan. Itu adalah akun saat ini kecuali nilai **Status berbagi** adalah **Dibagikan dengan saya**. Dalam hal ini, **Pemilik** adalah akun yang membuat aturan dan membagikannya dengan akun saat ini.
Status berbagi juga ditampilkan.
1. Pilih **Bagikan konfigurasi** untuk membuka AWS RAM konsol
1. Untuk membuat pembagian sumber daya, ikuti langkah-langkah dalam [Membuat berbagi sumber daya di AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) dalam *panduan AWS RAM pengguna*.
**catatan**
Anda tidak dapat memperbarui pengaturan berbagi. Jika ingin mengubah salah satu pengaturan berikut, Anda harus membagikan ulang aturan dengan pengaturan baru lalu menghapus pengaturan berbagi yang lama.