Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Registrazione delle query di Resolver
<a name="resolver-query-logs"></a>

È possibile registrare le seguenti query DNS: 
+ Query che hanno origine in Amazon Virtual Private Cloud VPCs da te specificate, nonché le risposte a tali query DNS.
+ Query da risorse on-premise che utilizzano un endpoint Resolver in ingresso.
+ Query che utilizzano un endpoint Resolver in uscita per la risoluzione DNS ricorsiva.
+ Query che utilizzano le regole Resolver DNS Firewall per bloccare, consentire o monitorare gli elenchi di domini.

I log delle query di VPC Resolver includono valori come i seguenti:
+ La AWS regione in cui è stato creato il VPC
+ L'ID dell'VPC da cui è stata originata la query
+ L'indirizzo IP dell'istanza da cui è stata originata la query
+ L'ID istanza della risorsa da cui è stata originata la query
+ La data e l'ora in cui la query è stata eseguita per la prima volta
+ Il nome DNS richiesto (ad esempio prod.esempio.com)
+ Il tipo di record DNS (ad esempio A o AAAA)
+ Il codice di risposta DNS, ad esempio `NoError` o `ServFail`
+ I dati di risposta DNS, ad esempio l'indirizzo IP che viene restituito in risposta alla query DNS
+ Una risposta a un'operazione della regola DNS Firewall

Per un elenco dettagliato di tutti i valori registrati e un esempio, consulta [Valori che appaiono nei log delle query di VPC Resolver](resolver-query-logs-format.md).

**Nota**  
Come di norma per i resolver DNS, i resolver memorizzano nella cache le query DNS per un periodo di tempo determinato dal (TTL) del resolver. time-to-live Il Route 53 VPC Resolver memorizza nella cache le query che hanno origine nel tuo computer e risponde dalla cache ogni VPCs volta che è possibile per velocizzare le risposte. La registrazione delle query di VPC Resolver registra solo le query univoche, non le query a cui VPC Resolver è in grado di rispondere dalla cache.  
Ad esempio, supponiamo che un'istanza EC2 in una delle configurazioni per cui una configurazione di registrazione delle query sta registrando le query, invii una richiesta a VPCs accounting.example.com. VPC Resolver memorizza nella cache la risposta a tale query e la registra. Se l'interfaccia di rete elastica della stessa istanza effettua una query per accounting.example.com all'interno del TTL della cache del VPC Resolver, VPC Resolver risponde alla query dalla cache. La seconda query non viene registrata.

È possibile AWS inviare i log a una delle seguenti risorse: 
+ Gruppo di CloudWatch log Amazon Logs (CloudWatch Logs)
+ Bucket di Amazon S3 (S3)
+ Flussi di distribuzione Firehose

Per ulteriori informazioni, consulta [AWS risorse a cui inviare i log delle query di VPC Resolver](resolver-query-logs-choosing-target-resource.md).

**Topics**
+ [AWS risorse a cui inviare i log delle query di VPC Resolver](resolver-query-logs-choosing-target-resource.md)
+ [Gestione delle configurazioni di registrazione delle query di Resolver](resolver-query-logging-configurations-managing.md)

# AWS risorse a cui inviare i log delle query di VPC Resolver
<a name="resolver-query-logs-choosing-target-resource"></a>

**Nota**  
Se prevedi di registrare le query per carichi di lavoro con query elevate al secondo (QPS), è consigliabile utilizzare Amazon S3 per garantire che i log delle query non siano limitati quando vengono scritti sulla destinazione. Se utilizzi Amazon CloudWatch, puoi aumentare il limite di richieste al secondo per l'`PutLogEvents`operazione. Per ulteriori informazioni sull'aumento CloudWatch dei limiti, consulta [CloudWatch Logs quotas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html) nella *Amazon CloudWatch User* Guide.

Puoi inviare i log delle query di VPC Resolver alle seguenti risorse: AWS 

**Gruppo di CloudWatch log Amazon Logs (Amazon CloudWatch Logs)**  
Puoi analizzare i log con Logs Insights e creare parametri e allarmi.  
Per ulteriori informazioni, consulta la [Amazon CloudWatch Logs User Guide](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).

**Bucket di Amazon S3 (S3)**  
Un bucket S3 è una opzione economica per l'archiviazione dei log a lungo termine. La latenza è in genere superiore.  
Tutte le opzioni di crittografia lato server S3 sono supportate. Per ulteriori informazioni, consulta [Protezione dei dati con la crittografia lato server](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) nella *Guida per l'utente di Amazon S3*.  
Se scegli Server-Side Encryption with AWS KMS Keys (SSE-KMS), devi aggiornare la politica delle chiavi per la chiave gestita dal cliente in modo che l'account di consegna dei log possa scrivere nel tuo bucket Amazon S3. *Per ulteriori informazioni sulla politica delle chiavi richiesta per l'uso con SSE-KMS, consulta la crittografia lato [server con bucket Amazon S3 nella Amazon User Guide](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-infrastructure-V2-S3.html#AWS-logs-SSE-KMS-S3-V2). CloudWatch *  
Se il bucket S3 si trova in un account di tua proprietà, le autorizzazioni richieste vengono automaticamente aggiunte alla tua policy relativa ai bucket. Se desideri inviare i log a un bucket S3 in un account di cui non si è proprietari, il proprietario del bucket S3 deve aggiungere le autorizzazioni per l'account nelle policy del bucket. Ad esempio:    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "CrossAccountAccess",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::your_bucket_name/AWSLogs/your_caller_account/*"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::your_bucket_name"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "iam_user_arn_or_account_number_for_root"
            },
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::your_bucket_name"
        }
    ]
}
```
 Se desideri archiviare i log in un bucket S3 centrale per l'organizzazione, è consigliabile impostare la configurazione della registrazione delle query da un account centralizzato (con le autorizzazioni necessarie per scrivere in un bucket centrale) e utilizzare [RAM](query-logging-configurations-managing-sharing.md) per condividere la configurazione tra gli account.
Per ulteriori informazioni, consultare la [Guida per l'utente di Amazon Simple archiviazione Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/).

**Flussi di distribuzione Firehose**  
Puoi trasmettere i log in tempo reale su Amazon OpenSearch Service, Amazon Redshift o altre applicazioni.  
Per ulteriori informazioni, consulta la [Amazon Data Firehose Developer Guide](https://docs.aws.amazon.com/firehose/latest/dev/).

[Per informazioni sui prezzi per la registrazione delle query con Resolver, consulta i prezzi di Amazon. CloudWatch ](https://aws.amazon.com/cloudwatch/pricing/)

CloudWatch I costi di Vented Logs si applicano quando si utilizzano i log VPC Resolver, anche quando i log vengono pubblicati direttamente su Amazon S3. Per ulteriori informazioni, consulta la pagina dei prezzi di [*Logs nella pagina dei prezzi* di Amazon CloudWatch ](https://aws.amazon.com//cloudwatch/pricing/#Vended_Logs).

# Gestione delle configurazioni di registrazione delle query di Resolver
<a name="resolver-query-logging-configurations-managing"></a>

## Configurazione (registrazione delle query VPC Resolver)
<a name="resolver-query-logs-configuring"></a>

È possibile configurare la registrazione delle query di VPC Resolver in due modi:
+ **Associazione VPC diretta**: si associa VPCs direttamente a una configurazione di registrazione delle query.
+ **Associazione di profili**: associa una configurazione di registrazione delle query a un profilo Route 53, che applica la registrazione a tutti i profili VPCs associati a quel profilo. Per ulteriori informazioni, consulta [Associa le configurazioni di registrazione delle query VPC Resolver a un profilo Route 53](profile-associate-query-logging.md).

Per iniziare a registrare le query DNS che hanno origine nel tuo VPCs, esegui le seguenti attività nella console Amazon Route 53:<a name="resolver-query-logs-configuring-procedure"></a>

**Come configurare la registrazione delle query di Resolver**

1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)

1. Espandi il menu della console Route 53. Nell'angolo in alto a sinistra della console, scegli l'icona con le tre barre orizzontali (![\[Menu icon\]](http://docs.aws.amazon.com/it_it/Route53/latest/DeveloperGuide/images/menu-icon.png)).

1. Nel menu Resolver, scegli **Registrazione delle query**.

1. Nel selettore Regione, scegli la AWS regione in cui desideri creare la configurazione di registrazione delle interrogazioni. Questa deve essere la stessa regione in cui hai creato la regione per VPCs cui desideri registrare le query DNS. Se ti trovi VPCs in più regioni, devi creare almeno una configurazione di registrazione delle query per ogni regione.

1. Scegli **Configura registrazione delle query**.

1. Specifica i seguenti valori:  
**Nome della configurazione della registrazione delle query**  
Specifica un nome per la configurazione della registrazione delle query. Il nome sarà visualizzato nella console nell'elenco delle configurazioni di registrazione delle query. Specifica un nome che consenta di trovare facilmente questa configurazione in un secondo momento.  
**Destinazione dei log delle query**  
Scegli il tipo di AWS risorsa a cui desideri che VPC Resolver invii i log delle query. Per informazioni su come scegliere tra le opzioni (CloudWatch Logs log group, S3 bucket e Firehose delivery stream), consulta. [AWS risorse a cui inviare i log delle query di VPC Resolver](resolver-query-logs-choosing-target-resource.md)  
Dopo aver scelto il tipo di risorsa, puoi creare un'altra risorsa di quel tipo o scegliere una risorsa esistente creata dall'account corrente. AWS   
È possibile scegliere solo le risorse che sono state create nella regione AWS scelta nella fase 4, la regione in cui si sta creando la configurazione di registrazione delle query. Se decidi di creare una nuova risorsa, tale risorsa verrà creata nella stessa regione.  
**VPCs per registrare le interrogazioni per**  
Questa configurazione di registrazione delle query registrerà le query DNS che hanno origine nel server scelto dall' VPCs utente. **Seleziona la casella di controllo per ogni VPC nella regione corrente per cui desideri che VPC Resolver registri le query, quindi scegli Scegli.**  
**Alternativa**: invece di eseguire l'associazione VPCs diretta, è possibile associare questa configurazione di registrazione delle query a un profilo Route 53, che applicherà la registrazione a tutti i profili VPCs associati a quel profilo. Per ulteriori informazioni, consulta [Associa le configurazioni di registrazione delle query VPC Resolver a un profilo Route 53](profile-associate-query-logging.md).  
La consegna dei log VPC può essere abilitata una sola volta per un tipo di destinazione specifico. I log non possono essere consegnati a più destinazioni dello stesso tipo, ad esempio, i log VPC non possono essere consegnati a 2 destinazioni Amazon S3.

1. Scegli **Configura registrazione delle query**.

**Nota**  
Le query DNS eseguite dalle risorse nel VPC vengono visualizzate nei log dopo pochi minuti dalla creazione della configurazione della registrazione delle query.

# Valori che appaiono nei log delle query di VPC Resolver
<a name="resolver-query-logs-format"></a>

Ogni file di log contiene una voce di log per ogni query DNS che Amazon Route 53 ha ricevuto dai resolver DNS nella posizione edge corrispondente. Ogni voce di log include i seguenti valori:

**version**  
Il numero di versione del formato del log di query. La versione corrente è `1.1`.  
Il valore della versione è una versione principale e secondaria nel formato **major\$1version.minor\$1version**. Ad esempio, puoi avere un valore `version` di `1.7`, dove `1 ` è la versione principale e `7` è la versione secondaria.  
Route 53 incrementa la versione principale se viene apportata una modifica alla struttura dei log che non è compatibile con le versioni precedenti. Questo include la rimozione di un campo JSON che esiste già o la modifica del modo in cui i contenuti di un campo sono rappresentati (ad esempio, un formato di data).  
 Route 53 incrementa la versione secondaria se una modifica aggiunge nuovi campi al file di log. Ciò può verificarsi se sono disponibili nuove informazioni per alcune o tutte le query DNS esistenti all'interno di un VPC. 

**account\$1id**  
L'ID dell' AWS account che ha creato il VPC.

**region**  
La AWS regione in cui hai creato il VPC.

**vpc\$1id**  
L'ID del VPC in cui è stata originata la query.

**query\$1timestamp**  
La data e l'ora in cui la query è stata inoltrata, in formato ISO 8601 e UTC, ad esempio `2017-03-16T19:20:177Z`.   
Per informazioni sul formato ISO 8601, consulta l'articolo di Wikipedia [ISO 8601](https://en.wikipedia.org/wiki/ISO_8601). Per informazioni su UTC, consulta l'articolo di Wikipedia [Coordinated Universal Time](https://en.wikipedia.org/wiki/Coordinated_Universal_Time).

**query\$1name**  
Il nome di dominio (esempio.com) o di sottodominio (www.esempio.com) specificato nella query.

**query\$1type**  
Il tipo di record DNS specificato nella richiesta, o `ANY`. Per ulteriori informazioni sui tipi supportati da Route 53, consulta [Tipi di record DNS supportati](ResourceRecordTypes.md).

**query\$1class**  
La classe della query.

**rcode**  
Il codice di risposta DNS restituito da VPC Resolver in risposta alla query DNS. Il codice di risposta indica se la query era valida o meno. Il codice di risposta più comune è `NOERROR`, che indica che la query era valida. Se la risposta non è valida, Resolver restituisce un codice di risposta che spiega il motivo. Per un elenco dei possibili codici di risposta, consulta [DNS RCODEs](https://www.iana.org/assignments/dns-parameters/dns-parameters.xhtml#dns-parameters-6) sul sito Web IANA.

**answer\$1type**  
Il tipo di record DNS (ad esempio A, MX o CNAME) del valore che VPC Resolver restituisce in risposta alla query. Per ulteriori informazioni sui tipi supportati da Route 53, consulta [Tipi di record DNS supportati](ResourceRecordTypes.md).

**rdata**  
Il valore restituito da VPC Resolver in risposta alla query. Ad esempio, per un record A, si tratta di un indirizzo IP in formato. IPv4 Per un record CNAME, questo è il nome di dominio nel record CNAME. 

**answer\$1class**  
La classe della risposta VPC Resolver alla query.

**srcaddr**  
Indirizzo IP dell'host che ha originato la query. 

**srcport**  
La porta dell'istanza da cui è stata originata la query.

**Trasporto**  
Il protocollo utilizzato per inviare la query DNS.

**srcids**  
IDs del `instance``resolver_endpoint`, e `resolver_network_interface` quello da cui è stata originata o trasmessa la query DNS.

**istanza**  
L'ID dell'istanza in cui è stata originata la query.  
 Se vedi un ID di istanza nei log delle query di Route 53 VPC Resolver che non è visibile nel tuo account, è possibile che la query DNS provenga dalla console AWS Lambda Amazon EKS o Fargate, che è stata utilizzata da te. AWS CloudShell

**resolver\$1endpoint**  
L'ID dell'endpoint del resolver che passa la query DNS ai server DNS on-premise.  
Se disponi di record CNAME che si concatenano tra diverse regole di inoltro utilizzando endpoint resolver diversi, i log delle query mostrano solo l'ID dell'ultimo endpoint resolver utilizzato nella catena. Per tracciare il percorso di risoluzione completo attraverso più endpoint, puoi correlare i log tra diverse configurazioni di registrazione delle query.

**firewall\$1rule\$1group\$1id**  
L'ID del gruppo di regole di DNS Firewall che corrisponde al nome di dominio nella query. Questa operazione viene compilata solo se DNS Firewall ha trovato una corrispondenza per una regola con azione impostata per l'avviso o il blocco.  
Per ulteriori informazioni sui gruppi di regole del firewall, consulta [Gruppi di regole e regole in DNS Firewall](resolver-dns-firewall-rule-groups.md).

**firewall\$1rule\$1action**  
L'operazione specificata dalla regola che corrisponde al nome di dominio nella query. Questa operazione viene compilata solo se DNS Firewall ha trovato una corrispondenza per una regola con azione impostata per l'avviso o il blocco.

**firewall\$1domain\$1list\$1id**  
L'elenco di domini utilizzato dalla regola che corrisponde al nome di dominio nella query. Questa operazione viene compilata solo se DNS Firewall ha trovato una corrispondenza per una regola con azione impostata per l'avviso o il blocco.

**proprietà\$1aggiuntive**  
Informazioni aggiuntive sugli eventi di consegna dei log. **is\$1delayed**: se c'è un ritardo nella consegna dei log.

# Esempio di log di interrogazione VPC Resolver Route 53
<a name="resolver-query-logs-example-json"></a>

Ecco un esempio di log delle query del resolver:

```
          
      {
        "srcaddr": "4.5.64.102",
        "vpc_id": "vpc-7example",
        "answers": [
            {
                "Rdata": "203.0.113.9",
                "Type": "PTR",
                "Class": "IN"
            }
        ],
        "firewall_rule_group_id": "rslvr-frg-01234567890abcdef",
        "firewall_rule_action": "BLOCK",
        "query_name": "15.3.4.32.in-addr.arpa.",
        "firewall_domain_list_id": "rslvr-fdl-01234567890abcdef",
        "query_class": "IN",
        "srcids": {
            "instance": "i-0d15cd0d3example"
        },
        "rcode": "NOERROR",
        "query_type": "PTR",
        "transport": "UDP",
        "version": "1.100000",
        "account_id": "111122223333",
        "srcport": "56067",
        "query_timestamp": "2021-02-04T17:51:55Z",
        "region": "us-east-1"
    }
```

# Condivisione delle configurazioni di registrazione delle query di Resolver con altri account AWS
<a name="query-logging-configurations-managing-sharing"></a>

È possibile condividere le configurazioni di registrazione delle interrogazioni create utilizzando un account con altri account. AWS AWS Per condividere le configurazioni, la console Route 53 VPC Resolver si integra con Resource AWS Access Manager. Per ulteriori informazioni su Resource Access Manager, consulta la [Guida per l'utente a Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).

Tenere presente quanto segue:

**Associazione a configurazioni VPCs di registrazione delle query condivise**  
Se un altro AWS account ha condiviso una o più configurazioni con il tuo account, puoi associarlo alla VPCs configurazione nello stesso modo in cui lo fai VPCs con le configurazioni che hai creato.

**Eliminazione o annullamento di una condivisione di una configurazione**  
Se condividi una configurazione con altri account e poi elimini la configurazione o interrompi la condivisione e se uno o più VPCs sono associati alla configurazione, Route 53 VPC Resolver interrompe la registrazione delle query DNS che provengono da tali account. VPCs

**Numero massimo di configurazioni di registrazione delle query, che possono essere associate a una configurazione VPCs **  
Quando un account crea una configurazione e la condivide con uno o più altri account, viene applicato il numero massimo di configurazioni VPCs che è possibile associare alla configurazione per account. Ad esempio, se l'organizzazione dispone di 10.000 account, è possibile creare la configurazione di registrazione delle query nell'account centrale e condividerla tramite AWS RAM per condividerla con gli account dell'organizzazione. Gli account dell'organizzazione assoceranno quindi la configurazione al loro VPCs conteggio rispetto alla configurazione del registro di query dell'account (associazioni VPC) Regione AWS per limite di 100. Tuttavia, se tutti si VPCs trovano in un unico account, potrebbe essere necessario aumentare i limiti di servizio dell'account.  
Per le quote correnti di VPC Resolver, vedere. [Quote sul Resolver VPC Route 53](DNSLimitations.md#limits-api-entities-resolver)

**Permissions**  
Per condividere una regola con un altro AWS account, è necessario disporre dell'autorizzazione per utilizzare l'azione. [PutResolverQueryLogConfigPolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutResolverQueryLogConfigPolicy.html)

**Restrizioni sull' AWS account con cui è condivisa una regola**  
L'account con cui si condivide una regola non può modificare né eliminare la regola. 

**Assegnazione di tag**  
Solo l'account che ha creato una regola può aggiungere, eliminare o visualizzare i tag della regola.

Per visualizzare lo stato di condivisione corrente di una regola (incluso l'account che ha condiviso la regola o l'account con cui la regola è condivisa) e per condividere regole con un altro account, procedi nel seguente modo.<a name="resolver-rules-managing-sharing-procedure"></a>

**Per visualizzare lo stato della condivisione e condividere le configurazioni di registrazione delle query con un altro account AWS**

1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)

1. Nel pannello di navigazione, scegliere **Registrazione delle query**.

1. Nella barra di navigazione, selezionare la regione dove è stata creata la regola.

   La colonna **Sharing status (Stato condivisione)** mostra l'attuale stato delle regole create dall'account attuale o condivise con l'account attuale.
   + **Non condivisa**: l' AWS account corrente ha creato la regola e la regola non è condivisa con altri account.
   + **Condivisa da me**: l'attuale account ha creato la regola e l'ha condivisa con uno o più account.
   + **Condivisa con me**: un altro account ha creato la regola e l'ha condivisa con l'account attuale.

1. Scegliere il nome della regola di cui si desidera visualizzare le informazioni di condivisione o che si desidera condividere con un altro account.

   Nella *rule name* pagina **Regola:**, il valore in **Proprietario** mostra l'ID dell'account che ha creato la regola. Questo è l'account attuale, a meno che il valore di **Sharing status (Stato di condivisione)** non sia **Shared with me (Condivisa con me)**. In questo caso, il **Owner (Proprietario)** è l'account che ha creato la regola e l'ha condivisa con l'account attuale.

   Viene visualizzato anche lo stato della condivisione.

1. Scegli **Condividi configurazione** per aprire la AWS RAM console

1. Per creare una condivisione di risorse, segui i passaggi descritti in [Creazione di una condivisione di risorse AWS RAM nella](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) *guida per l'AWS RAM utente*.
**Nota**  
Non è possibile aggiornare le impostazioni di condivisione. Se vuoi modificare una delle seguenti impostazioni, devi ricondividere una regola con le nuove impostazioni e rimuovere le precedenti impostazioni di condivisione.