翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
DNS Firewall のログ記録の設定
AmazonDNS メトリクスと Resolver クエリログを使用して、 CloudWatch Firewall ルールを評価できます。ログには、すべてのアラートとブロックアクションのドメインリスト名が表示されます。Amazon CloudWatch の詳細については、「」を参照してくださいAmazon CloudWatch を使用した Route 53 Resolver DNS Firewall ルールグループのモニタリング。
DNS Firewall を有効にすると、Word Firewall を VPC に関連付けます。ログ記録が有効になっている場合、、firewall_rule_action、および firewall_rule_group_idfirewall_domain_list_idは、ログ内で提供される DNS Firewall 固有のフィールドです。
注記
クエリログには、DNS Firewall ルールによってブロックされているクエリのみの追加の DNS Firewall フィールドが表示されます。
DNS から発信される DNS Firewall ルールでフィルタリングされた VPCs クエリのログ記録を開始するには、Amazon Route 53 コンソールで次のタスクを実行します。
DNS Firewall の Resolver クエリログ記録を設定するには
にサインイン AWS Management Console し、https://console.aws.amazon.com/route53/ で Route 53
コンソールを開きます。 -
Route 53 コンソールのメニューを展開します。コンソールの左上隅にある 3 本の水平バー (
) アイコンを選択します。 -
Resolver メニューから、[Query logging (クエリログ記録)] を選択します。
-
リージョンセレクタで、クエリログ記録設定を作成する AWS リージョンを選択します。
これは、クエリをログに記録する VPCs Firewall に関連付けられている DNS を作成したリージョンと同じである必要があります。複数のリージョンに VPCs がある場合は、リージョンごとに少なくとも 1 つのクエリログ記録設定を作成する必要があります。
-
[クエリログ記録の設定] を選択します。
-
次の値を指定します。
- クエリログ記録設定の名前
-
クエリログ記録の設定に使用する名前を入力します。この名前は、コンソールのクエリログ記録の設定リストに表示されます。この設定では、後で検索する際に便利な名前を入力します。
- クエリログの保存先
-
Resolver がクエリログを送信する先の AWS リソースのタイプを選択します。オプション (CloudWatch Logs ロググループ、S3 バケット、Firehose 配信ストリーム) から選択する方法については、「」を参照してくださいAWS Resolver クエリログを送信できる リソース。
リソースのタイプを選択したら、そのタイプの別のリソースを作成するか、現在の AWS アカウントによって作成された既存のリソースを選択できます。
注記
ステップ 4 で選択した AWS リージョン (クエリログ記録の設定を作成するリージョン) で作成されたリソースのみを選択できます。新しいリソースを作成することを選択した場合、そのリソースは同じリージョンに作成されます。
- クエリをログに記録するVPCs
-
このクエリログ記録設定は、選択した DNS で発生した VPCs クエリをログに記録します。Resolver がクエリをログに記録する現在のリージョンの各 VPC のチェックボックスをオンにし、選択を選択します。
注記
VPCログ配信は、特定の送信先タイプに対して 1 回だけ有効にできます。ログは、同じタイプの複数の送信先に配信することはできません。例えば、VPC ログを 2 つの Amazon S3 送信先に配信することはできません。
-
[クエリログ記録の設定] を選択します。
注記
DNSログ設定が正常に作成されてから数分以内に、Word 内のリソースによって行われた VPC クエリがログに表示されるようになります。
