翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon CloudWatch メトリクスと Resolver のクエリログを使用して、DNS Firewall のルールを評価できます。ログには、すべてのアラートとブロックアクションのドメインリスト名が表示されます。Amazon CloudWatch の詳細については、「Amazon CloudWatch を使用した Route 53 Resolver DNS Firewall のルールグループのモニタリング」を参照してください。
DNS Firewall を有効にして、VPC に関連付けログ記録を有効にした場合、firewall_rule_group_id、firewall_rule_action、firewall_domain_list_id は、ログ内に提供される DNS Firewall 特有のフィールドです。
注記
クエリログには、DNS ファイアウォールルールによってブロックされたクエリの追加の DNS ファイアウォールフィールドのみが表示されます。
VPC から発信される DNS Firewall のルールによってフィルタリングされた DNS クエリのログ記録を開始するには、Amazon Route 53 コンソールで次のタスクを実行します。
DNS Firewall で Resolver のクエリログ記録を設定するには
にサインイン AWS Management Console し、https://console.aws.amazon.com/route53/
で Route 53 コンソールを開きます。 -
Route 53 コンソールのメニューを展開します。コンソールの左上隅にある 3 本の水平バー (
) アイコンを選択します。 -
Resolver メニューから、[Query logging (クエリログ記録)] を選択します。
-
リージョンセレクタで、クエリログ記録設定を作成する AWS リージョンを選択します。
これは、クエリをログに記録する DNS Firewall に関連付けた VPC を作成したリージョンと同じリージョンである必要があります。VPC が複数のリージョンに存在する場合は、リージョンごとにクエリログ記録の設定を少なくとも 1 つ作成する必要があります。
-
[クエリログ記録の設定] を選択します。
-
次の値を指定します。
- クエリログ記録設定の名前
-
クエリログ記録の設定に使用する名前を入力します。この名前は、コンソールのクエリログ記録の設定リストに表示されます。この設定では、後で検索する際に便利な名前を入力します。
- クエリログの保存先
-
Resolver がクエリログを送信する先の AWS リソースのタイプを選択します。各オプション (CloudWatch Logs ロググループ、S3 バケット、および Firehose 配信ストリーム) から選択する方法については、「AWS Resolver クエリログを送信できる リソース」を参照してください。
リソースのタイプを選択したら、そのタイプの別のリソースを作成するか、現在の AWS アカウントによって作成された既存のリソースを選択できます。
注記
ステップ 4 で選択した AWS リージョン (クエリログ記録の設定を作成するリージョン) で作成されたリソースのみを選択できます。新しいリソースを作成することを選択した場合、そのリソースは同じリージョンに作成されます。
- クエリをログに記録する VPC
-
このクエリログ記録の設定では、選択した VPC で発生した DNS クエリがログに記録されます。Resolver にクエリをログ記録させたい (現在のリージョンに置かれている) 各 VPC のチェックボックスをオンにし、[Choose (選択)] をクリックします。
注記
VPC ログの配信は、特定の送信先タイプに対して 1 回だけ有効にすることができます。ログは、同じタイプの複数の送信先に配信することはできません。例えば、VPC ログを 2 つの Amazon S3 の送信先に配信することはできません。
-
[クエリログ記録の設定] を選択します。
注記
クエリログ記録の設定が正常に作成されてから数分以内に、VPC 内のリソースによって作成された DNS クエリがログ内に表示されるようになります。
