翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
リゾルバーでのクエリのログ記録
次の DNS クエリをログに記録できます。
指定した Amazon Virtual Private Cloud VPCs を起点とするクエリと、それらの DNS クエリに対するレスポンス。
インバウンドの Resolver エンドポイントを使用する、オンプレミスのリソースからのクエリ。
再帰的な DNS 解決にアウトバウンド Resolver エンドポイントを使用するクエリ。
Route 53 Resolver DNS Firewall ルールを使用してドメインリストをブロック、許可、またはモニタリングするクエリ。
Resolver のクエリログには、次のような値が含まれます。
-
VPC が作成された AWS リージョン
-
クエリの発信元の VPC の ID
-
クエリの発信元であるインスタンスの IP アドレス
-
クエリの発信元であるリソースのインスタンス ID
-
クエリが最初に作成された日時
-
リクエストされたDNS名 (prod.example.com など)
-
DNS レコードタイプ (A や AAAA など)
-
NoErrorや などの DNS レスポンスコードServFail -
DNS クエリに応答して返される IP アドレスなどの DNS レスポンスデータ
-
DNS Firewall ルールアクションへのレスポンス
ログに記録されるすべての値の詳細なリストと、その例については、「Resolver クエリログに表示される値」を参照してください。
注記
は DNS リゾルバーの標準であるため、リゾルバーはリゾルバーの DNS (TTL) によって決定される期間 time-to-live クエリをキャッシュします。Route 53 Resolver は、VPCs から送信されるクエリをキャッシュし、可能な限りキャッシュから応答して応答を高速化します。Resolver クエリのログ記録では、キャッシュからの応答が可能なクエリではなく、一意のクエリのみをログに記録します。
例えば、クエリログ記録設定がクエリをログ記録している EC2 の 1 つの VPCs インスタンスが accounting.example.com のリクエストを送信するとします。Resolver は、そのクエリに対する応答をキャッシュし、クエリ自体をログに記録します。同じインスタンスの Elastic Network Interface が Resolver のキャッシュの TTL 内で accounting.example.com のクエリを実行すると、Resolver はキャッシュからクエリに応答します。この 2 番目のクエリはログに記録されません。
ログは、次のいずれかの AWS リソースに送信できます。
-
Amazon CloudWatch Logs (CloudWatch Logs) ロググループ
-
Amazon S3 (S3) バケット
-
Firehose 配信ストリーム
詳細については、「AWS Resolver クエリログを送信できる リソース」を参照してください。
