パブリックDNSクエリのログ記録 - Amazon Route 53
DNS クエリのログ記録の設定Amazon CloudWatch を使用したDNSクエリログへのアクセスログの保持期間の変更と Amazon S3 へのログのエクスポートクエリログ記録の停止DNS クエリログに表示される値クエリログの例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

パブリックDNSクエリのログ記録

Amazon Route 53 は、Route 53 が受け取る次のようなパブリックDNSクエリに関する情報をログに記録するように設定できます。

  • リクエストされたドメインまたはサブドメイン

  • リクエストの日付と時刻

  • DNS レコードタイプ (A や などAAAA)

  • DNS クエリに応答した Route 53 エッジロケーション

  • DNS NoErrorや などのレスポンスコード ServFail

クエリログを設定すると、Route 53 はログを CloudWatch Logs に送信します。 CloudWatch ログツールを使用してクエリログにアクセスします。

クエリログには、DNSリゾルバーが Route 53 に転送するクエリのみが含まれます。DNS リゾルバーがクエリへのレスポンス (example.com のロードバランサーの IP アドレスなど) を既にキャッシュしている場合、リゾルバーは、対応するレコードTTLの が期限切れになるまで、クエリを Route 53 に転送せずに、キャッシュされたレスポンスを引き続き返します。

ユーザーが使用しているリゾルバーであるドメイン名 (example.com) またはサブドメイン名 (www.example.com) に対して送信されるDNSクエリの数と、レコードTTLの に応じて、クエリログには、DNSリゾルバーに送信された数千件のクエリごとに 1 つのクエリのみに関する情報が含まれる場合があります。のDNS仕組みの詳細については、「」を参照してくださいウェブサイトやウェブアプリケーションへのインターネットトラフィックのルーティング

詳細なログ情報が必要ない場合は、Amazon CloudWatch メトリクスを使用して、Route 53 がホストゾーンに対して応答するDNSクエリの合計数を確認できます。詳細については、「パブリックホストゾーンの DNS クエリメトリクスの表示」を参照してください。

DNS クエリのログ記録の設定

指定されたホストゾーンのDNSクエリのログ記録を開始するには、Amazon Route 53 コンソールで次のタスクを実行します。

  • Route 53 CloudWatch がログを発行するロググループを選択するか、新しいロググループを作成します。

    注記

    ロググループは、米国東部 (バージニア北部) リージョンに置かれる必要があります。

  • [Create (作成) ] を選択して終了します。

注記

ユーザーがドメインのDNSクエリを送信する場合は、クエリログ設定を作成してから数分以内にログにクエリが表示されるようになります。

DNS クエリのログ記録を設定するには

  1. にサインイン AWS Management Console し、 で Route 53 コンソールを開きますhttps://console.aws.amazon.com/route53/

  2. ナビゲーションペインで [Hosted zones] を選択します。

  3. クエリのログ記録を設定するホストゾーンを選択します。

  4. [Hosted zone details] ペインで、[クエリログ記録の設定] を選択します。

  5. 既存のロググループを選択するか、もしくは新しいロググループを作成します。

  6. 許可に関するアラートを受け取った場合 (これは、新しいコンソールでのクエリログ記録の設定が完了していない場合に発生します)、次のいずれかの操作を行います。

    • 既に 10 個のリソースポリシーがある場合、それ以上ポリシーを作成することはできません。リソースポリシーのいずれかを選択し、[Edit (編集)] を選択します。編集することで、ロググループにログを書き込む許可が Route 53 に与えられます。[Save] を選択します。アラートが消え、次のステップに進むことが可能になります。

    • 以前にクエリログ記録を設定したことがない場合 (または 10 個のリソースポリシーをまだ作成していない場合)、ログを CloudWatch Logs グループに書き込むためのアクセス許可を Route 53 に付与する必要があります。[Grant permissions (アクセス許可の付与)] を選択します。アラートが消え、次のステップに進むことが可能になります。

  7. アクセス許可 - オプションを選択すると、リソースポリシーが CloudWatch ロググループと一致するかどうか、および Route 53 にログを発行するアクセス許可があるかどうかを示すテーブルが表示されます CloudWatch。

  8. [Create] (作成) を選択します。

Amazon CloudWatch を使用したDNSクエリログへのアクセス

Amazon Route 53 はクエリログを CloudWatch Logs に直接送信します。ログに Route 53 経由でアクセスすることはできません。代わりに、 CloudWatch ログを使用して、ログをほぼリアルタイムで表示し、データを検索してフィルタリングし、ログを Amazon S3 にエクスポートします。

Route 53 は、指定されたホストゾーンのDNSクエリに応答し、該当する CloudWatch ログストリームにクエリログを送信する Route 53 エッジロケーションごとに 1 つのログストリームを作成します。各ログストリームの名前の形式は です。hosted-zone-id/edge-location-ID例えば、 などZ1D633PJN98FT9/DFW3です。

各エッジロケーションは、3 文字のコードと、 などの任意の割り当て番号によって識別されますDFW3。通常、この 3 文字コードは、エッジロケーションの近くにある空港の、国際航空運送協会の空港コードに対応します (これらの略語は今後変更される可能性があります。) エッジロケーションの一覧については、Route 53 製品の詳細ページの「Route 53 グローバルネットワーク」を参照してください。

注記

上記の規則に従わないプレフィックスまたはサフィックスが表示される場合があります。これらのエンコード属性は、内部使用のみを目的としています。

詳細については、該当するドキュメントを参照してください。

ログの保持期間の変更と Amazon S3 へのログのエクスポート

デフォルトでは、 CloudWatch Logs はクエリログを無期限に保存します。オプションで保持期間を指定して、 CloudWatch ログが保持期間より古いログを削除できます。詳細については、「Amazon CloudWatch ユーザーガイド」の CloudWatch 「ログのログデータ保持期間の変更」を参照してください。

ログデータを保持したいが、データを表示および分析するために CloudWatch Logs ツールが必要ない場合は、ログを Amazon S3 にエクスポートできるため、ストレージコストを削減できます。詳細については、「Amazon S3 へのログデータのエクスポート」を参照してください。

料金表の詳細については、該当の料金表ページを参照してください。

注記

DNS クエリをログに記録するように Route 53 を設定する場合、Route 53 の料金は発生しません。

クエリログ記録の停止

Amazon Route 53 でクエリログの CloudWatch Logs への送信を停止する場合は、次の手順を実行してクエリログ設定を削除します。

クエリログ記録設定を削除するには

  1. にサインイン AWS Management Console し、 で Route 53 コンソールを開きますhttps://console.aws.amazon.com/route53/

  2. ナビゲーションペインで [Hosted zones] を選択します。

  3. クエリログ記録の設定を削除するホストゾーンの名前を選択します。

  4. [Hosted zone details (ホストゾーンの詳細)] ペインで、[Delete query logging configuration (クエリログ記録の設定を削除)] を選択します。

  5. [Delete] を選択して確定します。

DNS クエリログに表示される値

各ログファイルには、Amazon Route 53 が対応するエッジロケーションのDNSリゾルバーから受信したDNSクエリごとに 1 つのログエントリが含まれています。各ログエントリには、以下の値が記述されています。

ログ形式バージョン

クエリログのバージョン番号。ログにフィールドを追加したり既存のフィールドの形式を変更した場合、この値を増分します。

クエリのタイムスタンプ

Route 53 がリクエストに応答した日時。8601 ISO 形式、協定世界時 (UTC)2017-03-16T19:20:25.177Z。例えば、。

ISO 8601 形式の詳細については、Wikipedia 記事 ISO8601 を参照してください。の詳細についてはUTC、Wikipedia の記事「協定世界時」を参照してください。

ホストゾーン ID

このログ内のすべてのDNSクエリに関連付けられているホストゾーンの ID。

クエリ名

リクエストで指定されたドメインまたはサブドメイン。

クエリタイプ

リクエストで指定されたDNSレコードタイプ、または のいずれかANY。Route 53 でサポートされるタイプについては、「サポートされる DNS レコードタイプ」を参照してください。

Response Code (レスポンスコード)

Route 53 がDNSクエリに応答して返したDNSレスポンスコード。

レイヤー 4 プロトコル

クエリの送信に使用されたプロトコル (TCP または UDP)。

Route 53 エッジロケーション

クエリに応答した Route 53 エッジロケーション。各エッジロケーションは、3 文字のコードと、 などの任意の番号で識別されますDFW3。通常、この 3 文字コードは、エッジロケーションの近くにある空港の、国際航空運送協会の空港コードに対応します (これらの略語は今後変更される可能性があります。)

エッジロケーションの一覧については、Route 53 製品の詳細ページの「Amazon Route 53 のグローバルネットワーク」を参照してください。

リゾルバー IP アドレス

Route 53 にリクエストを送信したDNSリゾルバーの IP アドレス。

EDNS クライアントサブネット

DNS リゾルバーから利用可能な場合、リクエストの送信元のクライアントの部分的な IP アドレス。

詳細については、「リクエスト」の「クライアントサブネットのIETFドラフト」を参照してください。 DNS

クエリログの例

クエリログの例を次のように表示します (リージョンはプレースホルダーです):

1.0 2017-12-13T08:16:02.130Z Z123412341234 example.com A NOERROR UDP Region 192.168.1.1 -
1.0 2017-12-13T08:15:50.235Z Z123412341234 example.com AAAA NOERROR TCP Region 192.168.3.1 192.168.222.0/24
1.0 2017-12-13T08:16:03.983Z Z123412341234 example.com ANY NOERROR UDP Region 2001:db8::1234 2001:db8:abcd::/48
1.0 2017-12-13T08:15:50.342Z Z123412341234 bad.example.com A NXDOMAIN UDP Region 192.168.3.1 192.168.111.0/24
1.0 2017-12-13T08:16:05.744Z Z123412341234 txt.example.com TXT NOERROR UDP Region 192.168.1.2 -