As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Como monitorar o Amazon Route 53
O monitoramento é uma parte importante da manutenção da confiabilidade, disponibilidade e desempenho de suas AWS soluções. Você deve coletar dados de monitoramento de todas as partes da sua AWS solução para poder depurar com mais facilidade uma falha de vários pontos, caso ocorra. No entanto, antes de iniciar o monitoramento, é necessário criar um plano que inclua respostas às seguintes perguntas:
+ Quais são seus objetivos de monitoramento?
+ Quais recursos você vai monitorar?
+ Com que frequência você vai monitorar esses recursos?
+ Quais ferramentas de monitoramento você usará?
+ Quem realizará o monitoramento das tarefas?
+ Quem deve ser notificado quando algo der errado?
**Topics**
+ [Log de consultas de DNS pública](query-logs.md)
+ [Log de consultas do Resolver](resolver-query-logs.md)
+ [Monitorar registros de domínio](monitoring-domain-registrations.md)
+ [Monitorando seus recursos com as verificações de saúde do Amazon Route 53 e a Amazon CloudWatch](monitoring-cloudwatch.md)
+ [Monitoramento de zonas hospedadas usando a Amazon CloudWatch](monitoring-hosted-zones-with-cloudwatch.md)
+ [Monitorando endpoints do Route 53 VPC Resolver com a Amazon CloudWatch](monitoring-resolver-with-cloudwatch.md)
+ [Monitorando grupos de regras do Resolver DNS Firewall com a Amazon CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md)
+ [Gerenciando eventos do Resolver DNS Firewall usando Amazon EventBridge](dns-firewall-eventbridge-integration.md)
+ [Registro de chamadas de API do Amazon Route 53 com AWS CloudTrail](logging-using-cloudtrail.md)
# Log de consultas de DNS pública
É possível configurar o Amazon Route 53 para registrar informações sobre as consultas públicas de DNS recebidas pelo Route 53, como as seguintes:
+ Domínio ou subdomínio que foi solicitado
+ Data e hora da solicitação
+ Tipo de registro DNS (como A ou AAAA)
+ Localização de borda do Route 53 que respondeu à consulta de DNS
+ O código de resposta DNS, como `NoError` ou `ServFail`
Depois de configurar o registro de consultas, o Route 53 enviará registros para o CloudWatch Logs. Você usa CloudWatch as ferramentas de registros para acessar os registros de consulta.
Os logs de consultas contêm apenas as consultas que os resolvedores DNS enviam ao Route 53. Se o resolvedor de DNS já tiver armazenado em cache a resposta a uma consulta (como o endereço IP de um balanceador de carga para example.com), o resolvedor continuará a retornar a resposta armazenada em cache sem enviar a consulta para o Route 53 até que o TTL do registro correspondente expire.
Dependendo da quantidade de consultas DNS enviadas a um nome de domínio (example.com) ou nome de subdomínio (www.example.com), de quais resolvedores seus usuários estão usando e do TTL do registro, os logs de consulta poderão conter informações apenas sobre uma das milhares de consultas que são enviadas aos resolvedores de DNS. Para mais informações sobre como o DNS funciona, consulte [Como o tráfego da Internet é roteado para seu site ou o aplicativo web](welcome-dns-service.md).
Se você não precisar de informações detalhadas de registro, poderá usar as CloudWatch métricas da Amazon para ver o número total de consultas de DNS às quais o Route 53 responde em uma zona hospedada. Para obter mais informações, consulte [Visualizar métricas de consulta de DNS para uma zona hospedada pública](hosted-zone-public-viewing-query-metrics.md).
**Topics**
+ [Configurar o registro em log para consultas DNS](#query-logs-configuring)
+ [Usando CloudWatch a Amazon para acessar registros de consultas de DNS](#query-logs-viewing)
+ [Alterar o período de retenção para logs e exportar logs para o Amazon S3](#query-logs-changing-retention-period)
+ [Interromper o registro de consultas em log](#query-logs-deleting-configuration)
+ [Valores que aparecem em logs de consultas de DNS](#query-logs-format)
+ [Exemplo de log de consulta](#query-logs-example)
## Configurar o registro em log para consultas DNS
Para iniciar o registro em log de consultas de DNS para uma zona hospedada especificada, você executa as seguintes tarefas no console do Amazon Route 53:
+ Escolha o grupo de CloudWatch registros no qual você deseja que o Route 53 publique registros ou crie um novo grupo de registros.
**nota**
O grupo de logs deve estar na região Leste dos EUA (Norte da Virgínia).
+ Selecione **Create (Criar)** para terminar.
**nota**
Se os usuários estiverem enviando consultas de DNS para seu domínio, você deverá começar a ver consultas nos logs vários minutos após criar a configuração de registro de consultas.
**Para configurar o registro em log para consultas DNS**
1. Faça login no Console de gerenciamento da AWS e abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. No painel de navegação, escolha **Zonas hospedadas**.
1. Escolha a zona hospedada para a qual você quer configurar o log de consultas.
1. No painel **Hosted zone details**, escolha **Configure query logging**.
1. Escolha um grupo de logs existente ou crie um novo grupo de logs.
1. Se você receber um alerta sobre permissões (isso acontece se você não tiver configurado o log de consultas com o novo console antes), siga um destes procedimentos:
+ Se já tiver dez políticas de recursos, você não poderá criar mais. Selecione qualquer uma das políticas de recursos e selecione **Edit** (Editar). A edição dará ao Route 53 permissões para gravar logs em seus grupos de logs. Escolha **Salvar**. O alerta desaparece e você pode continuar na próxima etapa.
+ Se você nunca configurou o registro de consultas antes (ou se ainda não criou 10 políticas de recursos), você precisa conceder permissões ao Route 53 para gravar registros em seus grupos de CloudWatch registros. Escolha **Grant permissions** (Conceder permissões). O alerta desaparece e você pode continuar na próxima etapa.
1. Escolha **Permissões - opcional** para ver uma tabela que mostra se a política de recursos corresponde ao grupo de CloudWatch registros e se o Route 53 tem permissão para publicar registros no CloudWatch.
1. Escolha **Criar**.
## Usando CloudWatch a Amazon para acessar registros de consultas de DNS
O Amazon Route 53 envia registros de consulta diretamente para o CloudWatch Logs; os registros nunca são acessíveis por meio do Route 53. Em vez disso, você usa CloudWatch Logs para visualizar registros quase em tempo real, pesquisar e filtrar dados e exportar registros para o Amazon S3.
O Route 53 cria um fluxo de CloudWatch registros para cada ponto de borda do Route 53 que responde às consultas de DNS para a zona hospedada especificada e envia os registros de consulta para o fluxo de registros aplicável. O formato para o nome de cada fluxo de log é*hosted-zone-id*/*edge-location-ID*, por exemplo,`Z1D633PJN98FT9/DFW3`.
Cada localização de borda é identificada por um código de três letras e um número atribuído arbitrariamente, por exemplo,. DFW3 O código de três letras normalmente corresponde ao código da Associação Internacional de Transportes Aéreos de um aeroporto perto do ponto de presença. (Essas abreviações podem mudar no futuro.) Para obter uma lista dos pontos de presença, consulte "A rede global do Route 53" na página [Detalhes do produto Route 53](https://aws.amazon.com/route53/details/).
**nota**
Pode ser que você veja alguns prefixos ou sufixos que não sigam a convenção acima. Esses atributos de codificação que são somente para uso interno.
Para obter mais informações, consulte a documentação aplicável:
+ [Guia do usuário do Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)
+ [Referência da API Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/)
+ [CloudWatch Seção Logs da Referência de AWS CLI Comandos](https://docs.aws.amazon.com/cli/latest/reference/logs/index.html)
+ [Valores que aparecem em logs de consultas de DNS](#query-logs-format)
## Alterar o período de retenção para logs e exportar logs para o Amazon S3
Por padrão, o CloudWatch Logs armazena registros de consultas indefinidamente. Opcionalmente, você pode especificar um período de retenção para que o CloudWatch Logs exclua os registros mais antigos do que o período de retenção. Para obter mais informações, consulte [Alterar a retenção de dados de log em CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SettingLogRetention.html) no *Guia CloudWatch do usuário da Amazon*.
Se você quiser reter dados de log, mas não precisar de ferramentas de CloudWatch registros para visualizar e analisar os dados, você pode exportar registros para o Amazon S3, o que pode reduzir seus custos de armazenamento. Para obter mais informações, consulte [Como exportar dados de log para o Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html).
Para obter informações sobre definição de preço, consulte a página de definição de preço aplicável:
+ “Amazon CloudWatch Logs” na página [CloudWatch de preços](https://aws.amazon.com/cloudwatch/pricing)
+ [Preços do Amazon S3](https://aws.amazon.com/s3/pricing)
**nota**
Quando você configura o Route 53 para registrar consultas de DNS, você não recebe cobranças do Route 53.
## Interromper o registro de consultas em log
Se você quiser que o Amazon Route 53 pare de enviar registros de consulta para CloudWatch Logs, execute o procedimento a seguir para excluir a configuração de registro de consultas.
**Para excluir a configuração do registro em log de consultas**
1. Faça login no Console de gerenciamento da AWS e abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. No painel de navegação, escolha **Zonas hospedadas**.
1. Escolha o nome da zona hospedada da qual você quer excluir a configuração de log de consultas.
1. No painel **Hosted zone details** (Detalhes da zona hospedada), escolha **Configure query logging** (Configurar log de consultas).
1. Escolha **Delete** para confirmar.
## Valores que aparecem em logs de consultas de DNS
Cada arquivo de log contém uma entrada de log para cada consulta de DNS recebida pelo Amazon Route 53 de resolvedores de DNS no local da borda correspondente. Cada entrada do log inclui os seguintes valores:
**Versão do formato do log**
O número da versão deste log de consulta. Se você adicionar campos ao log ou alterar o formato dos campos existentes, incrementaremos esse valor.
**Timestamp da consulta**
A data e a hora na qual o Route 53 respondeu à solicitação, no formato ISO 8601 e no Tempo Universal Coordenado (UTC), por exemplo, `2017-03-16T19:20:25.177Z`.
Para obter informações sobre o formato ISO 8601, consulte o artigo [ISO 8601](https://en.wikipedia.org/wiki/ISO_8601) na Wikipédia. Para obter informações sobre UTC, consulte o artigo [Tempo Universal Coordenado](https://en.wikipedia.org/wiki/Coordinated_Universal_Time) na Wikipédia.
**ID da hosted zone**
O ID da zona hospedada associada a todas as consultas DNS neste log.
**Nome da consulta**
O domínio ou o subdomínio que foi especificado na solicitação.
**Tipo da consulta**
O tipo de registro DNS que foi especificado na solicitação ou `ANY`. Para obter informações sobre os tipos com suporte do Route 53, consulte [Tipos de registro de DNS com suporte](ResourceRecordTypes.md).
**Código de resposta**
O código de resposta do DNS que o Route 53 retornou em resposta à consulta de DNS.
**Protocolo da camada 4**
O protocolo que foi usado para enviar a consulta, `TCP` ou `UDP`.
**Local do borda do Route 53**
O local da borda do Route 53 que respondeu à consulta. Cada localização de borda é identificada por um código de três letras e um número arbitrário, por exemplo,. DFW3 O código de três letras normalmente corresponde ao código da Associação Internacional de Transportes Aéreos de um aeroporto perto do ponto de presença. (Essas abreviações podem mudar no futuro.)
Para obter uma lista dos locais da borda, consulte “A rede global do Route 53” na página [Route 53 Product Detail](https://aws.amazon.com/route53/details/) (Detalhes do produto Route 53).
**Endereço IP do resolvedor**
O endereço IP do resolvedor de DNS que enviou a solicitação ao Route 53.
**Sub-rede do cliente EDNS**
Um endereço IP parcial do cliente do qual a solicitação se originou, se disponível no resolvedor de DNS.
Para obter mais informações, consulte o rascunho do IETF [Sub-rede de cliente em solicitações DNS](https://tools.ietf.org/html/draft-ietf-dnsop-edns-client-subnet-08).
## Exemplo de log de consulta
Aqui está um exemplo de log de consulta (A região é um espaço reservado):
```
1.0 2017-12-13T08:16:02.130Z Z123412341234 example.com A NOERROR UDP Region 192.168.1.1 -
1.0 2017-12-13T08:15:50.235Z Z123412341234 example.com AAAA NOERROR TCP Region 192.168.3.1 192.168.222.0/24
1.0 2017-12-13T08:16:03.983Z Z123412341234 example.com ANY NOERROR UDP Region 2001:db8::1234 2001:db8:abcd::/48
1.0 2017-12-13T08:15:50.342Z Z123412341234 bad.example.com A NXDOMAIN UDP Region 192.168.3.1 192.168.111.0/24
1.0 2017-12-13T08:16:05.744Z Z123412341234 txt.example.com TXT NOERROR UDP Region 192.168.1.2 -
```
# Log de consultas do Resolver
Você pode registrar as seguintes consultas ao DNS em log:
+ Consultas que se originam na Amazon Virtual Private Cloud VPCs que você especifica, bem como as respostas a essas consultas de DNS.
+ Consultas de recursos on-premises que usam um endpoint do Resolver de entrada.
+ Consultas que usam um endpoint do Resolver de saída para resolução de DNS recursiva.
+ Consultas que usam as regras do Resolver DNS Firewall para bloquear, permitir ou monitorar listas de domínios.
Os registros de consulta do VPC Resolver incluem valores como os seguintes:
+ A AWS região em que o VPC foi criado
+ O ID da VPC da qual a consulta se originou
+ O endereço IP da instância da qual a consulta se originou
+ O ID da instância do recurso do qual a consulta se originou
+ Data e hora em que a consulta foi feita pela primeira vez
+ O nome DNS solicitado (como, prod.example.com)
+ O tipo de registro DNS (como A ou AAAA)
+ O código de resposta DNS, como, por exemplo, `NoError` ou `ServFail`
+ Os dados de resposta do DNS, como o endereço IP que é retornado em resposta à consulta de DNS
+ Uma resposta a uma ação de regra do Firewall DNS
Para obter uma lista detalhada de todos os valores registrados e um exemplo, consulte [Valores que aparecem nos registros de consulta do VPC Resolver](resolver-query-logs-format.md).
**nota**
Como é padrão para resolvedores de DNS, os resolvedores armazenam em cache as consultas de DNS por um período determinado pelo time-to-live (TTL) do resolvedor. O Resolvedor de VPC do Route 53 armazena em cache as consultas que se originam em você VPCs e responde do cache sempre que possível para acelerar as respostas. O registro de consultas do VPC Resolver registra somente consultas exclusivas, não consultas às quais o VPC Resolver é capaz de responder a partir do cache.
Por exemplo, suponha que uma instância do EC2 em uma das VPCs configurações de registro de consultas esteja registrando consultas envie uma solicitação para accounting.example.com. O VPC Resolver armazena em cache a resposta a essa consulta e registra a consulta. Se a interface de rede elástica da mesma instância fizer uma consulta para accounting.example.com dentro do TTL do cache do VPC Resolver, o VPC Resolver responderá à consulta do cache. A segunda consulta não é registrada.
Você pode enviar os registros para um dos seguintes AWS recursos:
+ Grupo de CloudWatch registros Amazon CloudWatch Logs (Logs)
+ Bucket do Amazon S3 (S3)
+ Fluxo de entrega do Firehose
Para obter mais informações, consulte [AWS recursos para os quais você pode enviar registros de consulta do VPC Resolver](resolver-query-logs-choosing-target-resource.md).
**Topics**
+ [AWS recursos para os quais você pode enviar registros de consulta do VPC Resolver](resolver-query-logs-choosing-target-resource.md)
+ [Como gerenciar configurações de log de consultas do Resolver](resolver-query-logging-configurations-managing.md)
# AWS recursos para os quais você pode enviar registros de consulta do VPC Resolver
**nota**
Se você pretende registrar consultas para workloads com altas consultas por segundo (QPS), use o Amazon S3 para garantir que seus logs de consultas não sejam limitados quando gravados em seu destino. Se você usa a Amazon CloudWatch, pode aumentar o limite de solicitações por segundo para a `PutLogEvents` operação. Para saber mais sobre como aumentar seus CloudWatch limites, consulte [CloudWatch Registrar cotas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html) no *Guia do CloudWatch usuário da Amazon*.
Você pode enviar registros de consulta do VPC Resolver para os seguintes recursos: AWS
**Grupo de CloudWatch registros Amazon CloudWatch Logs (Amazon Logs)**
Você pode analisar logs com o Logs Insights e criar métricas e alarmes.
Para obter mais informações, consulte o [Guia do usuário do Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).
**Bucket do Amazon S3 (S3)**
Um bucket do S3 é econômico para arquivamento de logs em longo prazo. A latência geralmente é maior.
Todas as opções de criptografia do lado do servidor do S3 são compatíveis. Para obter mais informações, consulte [Proteger os dados usando criptografia do lado do servidor](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) no *Guia do usuário do Amazon S3*.
Se você escolher a criptografia do lado do servidor com AWS KMS chaves (SSE-KMS), deverá atualizar a política de chaves da sua chave gerenciada pelo cliente para que a conta de entrega de logs possa gravar no seu bucket do Amazon S3. *Para obter mais informações sobre a política de chaves necessária para uso com o SSE-KMS, consulte Criptografia do [lado do servidor do bucket Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-infrastructure-V2-S3.html#AWS-logs-SSE-KMS-S3-V2) no Guia do usuário da Amazon. CloudWatch *
Se o bucket do S3 estiver em uma conta que você possui, as permissões necessárias serão adicionadas automaticamente à sua política de bucket. Se você quiser enviar logs para um bucket do S3 em uma conta que você não possui, o proprietário do bucket do S3 deverá adicionar permissões para sua conta em sua política de bucket. Por exemplo:
****
```
{
"Version":"2012-10-17",
"Id": "CrossAccountAccess",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::your_bucket_name/AWSLogs/your_caller_account/*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::your_bucket_name"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "iam_user_arn_or_account_number_for_root"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::your_bucket_name"
}
]
}
```
Se você quiser armazenar logs em um bucket do S3 central para sua organização, recomendamos que você configure sua configuração de log de consultas a partir de uma conta centralizada (com as permissões necessárias para gravar em um bucket central) e use a [RAM](query-logging-configurations-managing-sharing.md) para compartilhar a configuração entre contas.
Para obter mais detalhes, consulte o [Manual do usuário do Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/).
**Fluxo de entrega do Firehose**
Você pode transmitir logs em tempo real para o Amazon OpenSearch Service, o Amazon Redshift ou outros aplicativos.
Para obter mais informações, consulte o [Guia do desenvolvedor do Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/).
Para obter informações sobre os preços do registro de consultas do Resolver, consulte os [ CloudWatch preços da Amazon](https://aws.amazon.com/cloudwatch/pricing/).
CloudWatch As cobranças do Vended Logs se aplicam ao usar os registros do VPC Resolver, mesmo quando os registros são publicados diretamente no Amazon S3. Para obter mais informações, consulte [*Preços de registros* nos CloudWatch preços da Amazon](https://aws.amazon.com//cloudwatch/pricing/#Vended_Logs).
# Como gerenciar configurações de log de consultas do Resolver
## Configuração (registro de consultas do VPC Resolver)
Você pode configurar o registro de consultas do VPC Resolver de duas maneiras:
+ **Associação direta de VPC** — associe-se VPCs diretamente a uma configuração de registro de consultas.
+ **Associação de perfil** - Associe uma configuração de registro de consultas a um perfil do Route 53, que aplica o registro a todos os VPCs associados a esse perfil. Para obter mais informações, consulte [Associe as configurações de registro de consultas do VPC Resolver a um perfil do Route 53](profile-associate-query-logging.md).
Para começar a registrar consultas de DNS que se originam em você VPCs, você executa as seguintes tarefas no console do Amazon Route 53:
**Para configurar o log de consultas do Resolver**
1. Faça login no Console de gerenciamento da AWS e abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Expanda o menu do console do Route 53. No canto superior esquerdo do console, escolha o ícone de três barras horizontais (![\[Menu icon\]](http://docs.aws.amazon.com/pt_br/Route53/latest/DeveloperGuide/images/menu-icon.png)).
1. No menu Resolver, escolha **Query logging** (Log de consultas).
1. No seletor de região, escolha a AWS região em que você deseja criar a configuração de registro de consultas. Essa deve ser a mesma região em VPCs que você criou as consultas de DNS para as quais deseja registrar. Se você tiver VPCs em várias regiões, deverá criar pelo menos uma configuração de registro de consultas para cada região.
1. Escolha **Configure query logging** (Configurar log de consultas).
1. Especifique os seguintes valores:
**Nome da configuração do log de consultas**
Insira um nome para sua configuração do log de consultas. O nome é exibido no console na lista de configurações do log de consultas. Insira um nome que o ajudará a encontrar essa configuração posteriormente.
**Destino dos logs de consulta**
Escolha o tipo de AWS recurso para o qual você deseja que o VPC Resolver envie registros de consulta. Para obter informações sobre como escolher entre as opções (grupo de CloudWatch registros de registros, bucket do S3 e stream de entrega do Firehose), consulte. [AWS recursos para os quais você pode enviar registros de consulta do VPC Resolver](resolver-query-logs-choosing-target-resource.md)
Depois de escolher o tipo de recurso, você pode criar outro recurso desse tipo ou escolher um recurso existente criado pela AWS conta atual.
Você pode escolher somente recursos criados na caixa de diálogo região da AWS escolhida na etapa 4, a região onde você está criando a configuração de log de consultas. Se você optar por criar um novo recurso, esse recurso será criado na mesma região.
**VPCs para registrar consultas para**
Essa configuração de registro de consultas registrará as consultas DNS originadas no VPCs que você escolher. **Marque a caixa de seleção de cada VPC na região atual para a qual você deseja que o VPC Resolver registre consultas e escolha Escolher.**
**Alternativa**: em vez de associar VPCs diretamente, você pode associar essa configuração de registro de consultas a um perfil do Route 53, que aplicará o registro a todos os VPCs associados a esse perfil. Para obter mais informações, consulte [Associe as configurações de registro de consultas do VPC Resolver a um perfil do Route 53](profile-associate-query-logging.md).
A entrega de log da VPC pode ser habilitada apenas uma vez para um tipo de destino específico. Os logs não podem ser entregues a vários destinos do mesmo tipo, por exemplo, os logs da VPC não podem ser entregues a dois destinos do Amazon S3.
1. Escolha **Configure query logging** (Configurar log de consultas).
**nota**
Você deve começar a ver consultas de DNS feitas por recursos em sua VPC nos logs em alguns minutos após a criação bem-sucedida da configuração do log de consultas.
# Valores que aparecem nos registros de consulta do VPC Resolver
Cada arquivo de log contém uma entrada de log para cada consulta de DNS recebida pelo Amazon Route 53 de resolvedores de DNS no local da borda correspondente. Cada entrada do log inclui os seguintes valores:
**version**
O número da versão do formato do log de consulta. A versão atual é `1.1`.
O valor da chave é uma versão principal e secundária no formulário **major\$1version.minor\$1version**. Por exemplo, você pode ter um valor de `version` de `1.7`, onde `1 ` é a versão principal, e `7` é a versão secundária.
O Route 53 incrementa a versão principal, se uma alteração for feita para a estrutura do log que não é compatível com as versões anteriores. Isso inclui a remoção de um campo JSON que já está presente ou a alteração de como os conteúdos de um campo são representados (por exemplo, um formato de data).
O Route 53 incrementa a versão secundária se uma alteração adicionar novos campos ao arquivo de log. Isso pode ocorrer se novas informações estiverem disponíveis para algumas ou todas as consultas DNS existentes em uma VPC.
**account\$1id**
O ID da AWS conta que criou a VPC.
**region**
A AWS região na qual você criou a VPC.
**vpc\$1id**
O ID da VPC na qual a consulta se originou.
**query\$1timestamp**
A data e a hora em que a consulta foi submetida, no formato ISO 8601 e no Tempo Universal Coordenado (UTC), por exemplo, `2017-03-16T19:20:177Z`.
Para obter informações sobre o formato ISO 8601, consulte o artigo [ISO 8601](https://en.wikipedia.org/wiki/ISO_8601) na Wikipédia. Para obter informações sobre UTC, consulte o artigo [Tempo Universal Coordenado](https://en.wikipedia.org/wiki/Coordinated_Universal_Time) na Wikipédia.
**query\$1name**
O nome de domínio (example.com) ou de subdomínio (www.example.com) especificado na consulta.
**query\$1type**
O tipo de registro DNS que foi especificado na solicitação ou `ANY`. Para obter informações sobre os tipos com suporte do Route 53, consulte [Tipos de registro de DNS com suporte](ResourceRecordTypes.md).
**query\$1class**
A classe da consulta.
**rcode**
O código de resposta DNS que o VPC Resolver retornou em resposta à consulta de DNS. Um código de resposta que indica se a consulta foi válida ou não. O código de resposta mais comum é `NOERROR` e indica que a consulta foi válida. Se a resposta não for válida, o Resolver retornará um código de resposta que explica o motivo. Para obter uma lista de possíveis códigos de resposta, consulte [DNS RCODEs](https://www.iana.org/assignments/dns-parameters/dns-parameters.xhtml#dns-parameters-6) no site da IANA.
**responder\$1type**
O tipo de registro DNS (como A, MX ou CNAME) do valor que o VPC Resolver está retornando em resposta à consulta. Para obter informações sobre os tipos com suporte do Route 53, consulte [Tipos de registro de DNS com suporte](ResourceRecordTypes.md).
**rdata**
O valor que o VPC Resolver retornou em resposta à consulta. Por exemplo, para um registro A, esse é um endereço IP em IPv4 formato. Para um registro CNAME, este é o nome de domínio no registro CNAME.
**answer\$1class**
A classe da resposta do VPC Resolver à consulta.
**srcaddr**
Endereço IP do host que originou a consulta.
**srcport**
A porta na instância na qual a consulta se originou.
**transport**
O protocolo usado para enviar a consulta de DNS.
**srcids**
IDs do`instance`,`resolver_endpoint`, e do `resolver_network_interface` qual a consulta DNS se originou ou foi transmitida.
**instância**
O ID da instância da qual a consulta se originou.
Se você ver uma ID de instância nos registros de consulta do Route 53 VPC Resolver que não está visível em sua conta, talvez seja porque a consulta de DNS foi originada do AWS Lambda Amazon EKS AWS CloudShell ou do console Fargate, que foi usado por você.
**resolver\$1endpoint**
O ID do endpoint do resolvedor que passa a consulta de DNS para servidores DNS on-premises.
Se você tiver registros CNAME que se encadeiam em diferentes regras de encaminhamento usando diferentes endpoints do resolvedor, os logs de consulta mostrarão somente o ID do último endpoint do resolvedor usado na cadeia. Para rastrear o caminho completo da resolução por meio de vários endpoints, você pode correlacionar logs em diferentes configurações de registro em log de consultas.
**firewall\$1rule\$1group\$1id**
O ID do grupo de regras do Firewall DNS que correspondeu ao nome de domínio na consulta. Esta opção é preenchida somente se o Firewall DNS encontrar uma correspondência para uma regra com a ação definida como alerta ou bloqueio.
Para obter mais informações sobre grupos de regras de firewall, consulte [Regras e grupos de regras do Firewall DNS](resolver-dns-firewall-rule-groups.md).
**firewall\$1rule\$1action**
A ação especificada pela regra que correspondeu ao nome de domínio na consulta. Esta opção é preenchida somente se o Firewall DNS encontrar uma correspondência para uma regra com a ação definida como alerta ou bloqueio.
**firewall\$1domain\$1list\$1id**
A lista de domínios usada pela regra que correspondeu ao nome de domínio na consulta. Esta opção é preenchida somente se o Firewall DNS encontrar uma correspondência para uma regra com a ação definida como alerta ou bloqueio.
**propriedades\$1adicionais**
Informações adicionais sobre os eventos de entrega de log. **is\$1delayed**: se houver um atraso na entrega dos logs.
# Exemplo de registro de consultas do Route 53 VPC Resolver
Aqui está um exemplo de log de consultas do Resolver:
```
{
"srcaddr": "4.5.64.102",
"vpc_id": "vpc-7example",
"answers": [
{
"Rdata": "203.0.113.9",
"Type": "PTR",
"Class": "IN"
}
],
"firewall_rule_group_id": "rslvr-frg-01234567890abcdef",
"firewall_rule_action": "BLOCK",
"query_name": "15.3.4.32.in-addr.arpa.",
"firewall_domain_list_id": "rslvr-fdl-01234567890abcdef",
"query_class": "IN",
"srcids": {
"instance": "i-0d15cd0d3example"
},
"rcode": "NOERROR",
"query_type": "PTR",
"transport": "UDP",
"version": "1.100000",
"account_id": "111122223333",
"srcport": "56067",
"query_timestamp": "2021-02-04T17:51:55Z",
"region": "us-east-1"
}
```
# Compartilhando configurações de registro de consultas do Resolver com outras contas AWS
Você pode compartilhar as configurações de registro de consultas que você criou usando uma AWS conta com outras AWS contas. Para compartilhar configurações, o console do Route 53 VPC Resolver se integra ao Resource Access AWS Manager. Para obter mais informações sobre o Resource Access Manager, consulte o [Guia do usuário do Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).
Observe o seguinte:
**Associando-se a configurações VPCs de registro de consultas compartilhadas**
Se outra AWS conta tiver compartilhado uma ou mais configurações com sua conta, você poderá VPCs associar à configuração da mesma forma que VPCs associa às configurações que criou.
**Como excluir ou cancelar o compartilhamento de uma configuração**
Se você compartilhar uma configuração com outras contas e, em seguida, excluir a configuração ou parar de compartilhá-la, e se uma ou mais VPCs estiverem associadas à configuração, o Route 53 VPC Resolver interromperá o registro de consultas DNS originadas nessas contas. VPCs
**Número máximo de configurações de registro de consultas e VPCs que podem ser associadas a uma configuração**
Quando uma conta cria uma configuração e a compartilha com uma ou mais outras contas, o número máximo VPCs que pode ser associado à configuração é aplicado por conta. Por exemplo, se você tiver 10.000 contas em sua organização, poderá criar a configuração de registro de consultas na conta central e compartilhá-la via AWS RAM para compartilhá-la com as contas da organização. As contas da organização então associarão a configuração à VPCs contagem delas em relação às associações VPC da configuração do log de consulta da conta (VPC) por Região da AWS limite de 100. No entanto, se todos VPCs estiverem em uma única conta, talvez seja necessário aumentar os limites de serviço da conta.
Para as cotas atuais do VPC Resolver, consulte. [Cotas no Route 53 VPC Resolver](DNSLimitations.md#limits-api-entities-resolver)
**Permissões**
Para compartilhar uma regra com outra AWS conta, você precisa ter permissão para usar a [PutResolverQueryLogConfigPolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutResolverQueryLogConfigPolicy.html)ação.
**Restrições na AWS conta com a qual uma regra é compartilhada**
A conta com a qual uma regra é compartilhada não pode alterar ou excluir a regra.
**Tags**
Somente a conta que criou uma regra pode adicionar, excluir ou consultar tags na regra.
Para visualizar o status de compartilhamento atual de uma regra (incluindo a conta que compartilhou a regra ou a conta com a qual uma regra é compartilhada) e para compartilhar regras com outra conta, realize o procedimento a seguir.
**Para ver o status de compartilhamento e compartilhar configurações de registro de consultas com outra AWS conta**
1. Faça login no Console de gerenciamento da AWS e abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. No painel de navegação, escolha **Query Logging** (Log de consultas).
1. Na barra de navegação, escolha a Região onde a regra foi criada.
A coluna **Sharing status (Status de compartilhamento)** mostra o status de compartilhamento atual das regras criadas pela conta atual ou que foram compartilhadas com a conta atual:
+ **Não compartilhada**: a AWS conta atual criou a regra e a regra não é compartilhada com nenhuma outra conta.
+ **Shared by me (Compartilhada por mim)**: a conta atual criou a regra e compartilhou com uma ou mais contas.
+ **Shared with me (Compartilhada comigo)**: outra conta criou a regra e compartilhou com a conta atual.
1. Escolha o nome da regra para a qual deseja exibir informações de compartilhamento ou que deseja compartilhar com outra conta.
Na *rule name* página **Regra:**, o valor em **Proprietário** exibe a ID da conta que criou a regra. Essa é a conta atual, a menos que o valor do **Sharing status (Status de compartilhamento)** seja **Shared with me (Compartilhada comigo)**. Neste caso, **Owner (Proprietário)** é a conta que criou a regra e compartilhou com a conta atual.
O status de compartilhamento também é exibido.
1. Escolha **Compartilhar configuração** para abrir o AWS RAM console
1. Para criar um compartilhamento de recursos, siga as etapas em [Creating a resource share in AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) no *AWS RAM User Guide*.
**nota**
Não é possível atualizar as configurações de compartilhamento. Se quiser alterar qualquer uma das configurações a seguir, é necessário compartilhar a regra novamente com as novas configurações e, em seguida, remover as configurações de compartilhamento antigas.
# Monitorar registros de domínio
O painel do Amazon Route 53 fornece informações detalhadas sobre o status dos seus registros de domínio, incluindo:
+ Status dos novos registros de domínio
+ Status das transferências de domínio para o Route 53
+ Lista dos domínios cujas datas de expiração estão próximas
Recomendamos verificar periodicamente o painel no console do Route 53, principalmente depois de registrar um novo domínio ou transferir um domínio para o Route 53, para confirmar se não há problemas a serem corrigidos.
Recomendamos também que você verifique se as informações de contato dos seus domínios estão atualizadas. Quando a data de expiração de um domínio estiver próxima, enviaremos um e-mail ao contato registrante do domínio contendo informações sobre quando o domínio expirará e como renová-lo.
# Monitorando seus recursos com as verificações de saúde do Amazon Route 53 e a Amazon CloudWatch
Você pode monitorar seus recursos criando verificações de saúde do Amazon Route 53, que são usadas CloudWatch para coletar e processar dados brutos em métricas legíveis e quase em tempo real. Essas estatísticas são registradas por um período de duas semanas, de maneira que você possa acessar informações do histórico e ter uma perspectiva melhor sobre o desempenho dos seus recursos. Por padrão, os dados métricos das verificações de saúde do Route 53 são enviados automaticamente CloudWatch em intervalos de um minuto.
Para obter mais informações sobre as verificações de integridade do Route 53 consulte [Monitorando verificações de saúde usando CloudWatch](monitoring-health-checks.md). Para obter mais informações sobre CloudWatch, consulte [O que é a Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) no *Guia do CloudWatch usuário da Amazon*.
## Métricas e dimensões para verificações de integridade do Route 53
Quando você cria uma verificação de saúde, o Amazon Route 53 começa a enviar métricas e dimensões uma vez por minuto para CloudWatch aproximadamente o recurso que você especifica. No console do Route 53, é possível visualizar o status das suas verificações de integridade. Você também pode usar os procedimentos a seguir para visualizar as métricas no CloudWatch console ou visualizá-las usando o AWS Command Line Interface (AWS CLI).
**Para visualizar métricas usando o CloudWatch console**
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, selecione **Métricas**.
1. Na guia **Todas as métricas**, escolha **Route 53**.
1. Escolha **Métricas de verificação de integridade**.
**Para visualizar métricas usando o AWS CLI**
+ Em um prompt de comando, use o seguinte comando:
```
1. aws cloudwatch list-metrics --namespace "AWS/Route53"
```
**Topics**
+ [CloudWatch métricas para verificações de saúde do Route 53](#cloudwatch-metrics)
+ [Dimensões para métricas de verificações de integridade do Route 53](#cloudwatch-dimensions-route-53-metrics)
### CloudWatch métricas para verificações de saúde do Route 53
O namespace `AWS/Route53` inclui as métricas a seguir para verificações de integridade do Route 53.
**ChildHealthCheckHealthyCount**
Para uma verificação de estado de integridade, o número de verificações de integridade íntegras.
Estatísticas válidas: média (recomendada), mínimo, máximo
Unidades: contagem
**ConnectionTime**
O tempo médio, em milissegundos, que os verificadores de integridade do Route 53 levaram para estabelecer uma conexão TCP com o endpoint. Você pode visualizar `ConnectionTime` para uma verificação de saúde em todas as regiões ou para uma região selecionada.
Estatísticas válidas: média (recomendada), mínimo, máximo
Unidade: milissegundos
**HealthCheckPercentageHealthy**
O percentual dos verificadores de integridade do Route 53 que consideram o endpoint selecionado íntegro.
Estatísticas válidas: média, mínimo, máximo
Unidades: percentual
**HealthCheckStatus**
O status do endpoint de verificação de saúde que CloudWatch está sendo verificado. **1** indica saudável e **0** indica insalubre.
Estatísticas válidas: mínimo, máximo e média
Unidades: nenhuma
**SSLHandshakeHora**
O tempo médio, em milissegundos, que os verificadores de integridade do Route 53 levaram para concluir o handshake do SSL. Você pode visualizar `SSLHandshakeTime` para uma verificação de saúde em todas as regiões ou para uma região selecionada.
Estatísticas válidas: média (recomendada), mínimo, máximo
Unidade: milissegundos
**TimeToFirstByte**
O tempo médio, em milissegundos, que os verificadores de integridade do Route 53 levaram para receber o primeiro byte da resposta a uma solicitação HTTP ou HTTPS. Você pode visualizar `TimeToFirstByte` para uma verificação de saúde em todas as regiões ou para uma região selecionada.
Estatísticas válidas: média (recomendada), mínimo, máximo
Unidade: milissegundos
### Dimensões para métricas de verificações de integridade do Route 53
As métricas do Route 53 para verificações de integridade usam o namespace do `AWS/Route53` e fornecem métricas para `HealthCheckId`. Ao recuperar métricas, você deve fornecer a dimensão `HealthCheckId`.
Além disso, para `ConnectionTime`, `SSLHandshakeTime` e `TimeToFirstByte`, você pode opcionalmente especificar `Region`. Se você omitir`Region`, CloudWatch retornará métricas em todas as regiões. Se você incluir`Region`, CloudWatch retornará métricas somente para a região especificada.
Para obter mais informações, consulte [Monitorando verificações de saúde usando CloudWatch](monitoring-health-checks.md).
# Monitoramento de zonas hospedadas usando a Amazon CloudWatch
Você pode monitorar suas zonas públicas hospedadas usando CloudWatch a Amazon para coletar e processar dados brutos em métricas legíveis e quase em tempo real. As métricas estão disponíveis logo após o Route 53 receber as consultas de DNS nas quais as métricas se baseiam. CloudWatch os dados métricos das zonas hospedadas do Route 53 têm uma granularidade de um minuto.
Para obter mais informações, consulte a documentação a seguir
+ Para obter uma visão geral e informações sobre como visualizar métricas no CloudWatch console da Amazon e como recuperar métricas usando o AWS Command Line Interface (AWS CLI), consulte [Visualizar métricas de consulta de DNS para uma zona hospedada pública](hosted-zone-public-viewing-query-metrics.md)
+ Para obter informações sobre o período de retenção das métricas, consulte [GetMetricStatistics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html)a *Amazon CloudWatch API Reference*.
+ Para obter mais informações sobre CloudWatch, consulte [O que é a Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) no *Guia do CloudWatch usuário da Amazon*.
+ Para obter mais informações sobre CloudWatch métricas, consulte [Usando CloudWatch métricas da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) no *Guia CloudWatch do usuário da Amazon*.
**Topics**
+ [CloudWatch métricas para zonas hospedadas públicas do Route 53](#cloudwatch-metrics-route-53-hosted-zones)
+ [CloudWatch dimensão para métricas de zona hospedada pública do Route 53](#cloudwatch-dimensions-route-53-hosted-zones)
## CloudWatch métricas para zonas hospedadas públicas do Route 53
O namespace `AWS/Route53` inclui as seguintes métricas para zonas hospedadas do Route 53:
**DNSQueries**
Para uma zona hospedada, o número de consultas de DNS respondidas pelo Route 53 em um período especificado.
Estatísticas válidas: soma, SampleCount
Unidades: contagem
Região: o Route 53 é um serviço global. Para obter métricas de zonas hospedadas, você deve especificar US East (N. Virginia) (Leste dos EUA (Norte da Virgínia)) para a região.
**DNSSECInternalFalha**
O valor será um se qualquer objeto na zona hospedada estiver em um estado INTERNAL\$1FAILURE. Caso contrário, o valor será zero.
Estatísticas válidas: soma
Unidades: contagem
Volume: 1 por 4 horas por zona hospedada
Região: o Route 53 é um serviço global. Para obter métricas de zonas hospedadas, você deve especificar US East (N. Virginia) (Leste dos EUA (Norte da Virgínia)) para a região.
**DNSSECKeySigningKeysNeedingAction**
Número de chaves de assinatura de chave (KSKs) que têm um estado ACTION\$1NEEDED (devido à falha do KMS).
Estatísticas válidas: soma, SampleCount
Unidades: contagem
Volume: 1 por 4 horas por zona hospedada
Região: o Route 53 é um serviço global. Para obter métricas de zonas hospedadas, você deve especificar US East (N. Virginia) (Leste dos EUA (Norte da Virgínia)) para a região.
**DNSSECKeySigningKeyMaxNeedingActionAge**
Tempo decorrido desde que a chave de assinatura de chaves (KSK) foi definida para o estado ACTION\$1NEEDED.
Estatísticas válidas: máximo
Unidades: segundos
Volume: 1 por 4 horas por zona hospedada
Região: o Route 53 é um serviço global. Para obter métricas de zonas hospedadas, você deve especificar US East (N. Virginia) (Leste dos EUA (Norte da Virgínia)) para a região.
**DNSSECKeySigningKeyAge**
O tempo decorrido desde que a chave de assinatura de chaved (KSK) foi criada (não desde que foi ativada).
Estatísticas válidas: máximo
Unidades: segundos
Volume: 1 por 4 horas por zona hospedada
Região: o Route 53 é um serviço global. Para obter métricas de zonas hospedadas, você deve especificar US East (N. Virginia) (Leste dos EUA (Norte da Virgínia)) para a região.
## CloudWatch dimensão para métricas de zona hospedada pública do Route 53
As métricas do Route 53 para zonas hospedadas usam o namespace `AWS/Route53` e fornecem métricas para `HostedZoneId`. Para obter o número de consultas de DNS, você deve especificar o ID da zona hospedada na dimensão `HostedZoneId`.
# Monitorando endpoints do Route 53 VPC Resolver com a Amazon CloudWatch
Você pode usar CloudWatch a Amazon para monitorar o número de consultas de DNS que são encaminhadas pelos endpoints do Route 53 VPC Resolver. A Amazon CloudWatch coleta e processa dados brutos em métricas legíveis, quase em tempo real. Essas estatísticas são registradas por um período de duas semanas, de maneira que você possa acessar informações do histórico e ter uma perspectiva melhor sobre o desempenho dos seus recursos. Por padrão, os dados métricos dos endpoints do Resolver são enviados automaticamente CloudWatch em intervalos de cinco minutos. O intervalo de cinco minutos também é o menor intervalo no qual os dados métricos podem ser enviados.
Para obter mais informações sobre o VPC Resolver, consulte. [O que é o Route 53 VPC Resolver?](resolver.md) Para obter mais informações sobre CloudWatch, consulte [O que é a Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) no *Guia do CloudWatch usuário da Amazon*.
## Métricas e dimensões do Route 53 VPC Resolver
Quando você configura o VPC Resolver para encaminhar consultas de DNS para sua rede ou vice-versa, o VPC Resolver começa a enviar [métricas](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-resolver-with-cloudwatch.html#cloudwatch-metrics-resolver) e [dimensões](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-resolver-with-cloudwatch.html#cloudwatch-dimensions-resolver) uma vez a cada cinco minutos para CloudWatch aproximadamente o número de consultas que são encaminhadas. Você pode usar os procedimentos a seguir para visualizar as métricas no CloudWatch console ou visualizá-las usando o AWS Command Line Interface (AWS CLI).
**Para visualizar as métricas do VPC Resolver usando o console CloudWatch**
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Na barra de navegação, selecione a Região onde você criou o endpoint.
1. No painel de navegação, selecione **Métricas**.
1. Na guia **All metrics (Todas as métricas)**, selecione **Route 53 Resolver (Resolvedor do Route 53)**.
1. Selecione **By Endpoint (Por endpoint)** para visualizar as contagens de consultas para um endpoint especificado. Em seguida, selecione os endpoints para os quais você deseja visualizar o número de consultas.
Escolha **Across All Endpoints** para visualizar as contagens de consultas para todos os endpoints de entrada ou para todos os endpoints de saída que foram criados pela conta atual. AWS Em seguida, escolha **InboundQueryVolume**ou **OutboundQueryVolume**veja as contagens desejadas.
**Para visualizar métricas usando o AWS CLI**
+ Em um prompt de comando, use o seguinte comando:
```
1. aws cloudwatch list-metrics --namespace "AWS/Route53Resolver"
```
**Topics**
+ [CloudWatch Métricas básicas para o Route 53 VPC Resolver](#cloudwatch-metrics-resolver)
+ [CloudWatch Métricas detalhadas para o Route 53 VPC Resolver](#cloudwatch-detailed-metrics-resolver)
+ [Dimensões das métricas do Route 53 VPC Resolver](#cloudwatch-dimensions-resolver)
### CloudWatch Métricas básicas para o Route 53 VPC Resolver
`AWS/Route53Resolver`O namespace inclui métricas básicas para endpoints do Route 53 VPC Resolver e para endereços IP gratuitamente.
**Topics**
+ [Métricas para endpoints do Route 53 VPC Resolver](#cloudwatch-metrics-resolver-endpoint)
+ [Métricas para endereços IP do Route 53 VPC Resolver](#cloudwatch-metrics-resolver-ip-address)
#### Métricas para endpoints do Route 53 VPC Resolver
O `AWS/Route53Resolver` namespace inclui as seguintes métricas para endpoints do Route 53 VPC Resolver.
**EndpointHealthyENICount**
O número de interfaces de rede elástica no status `OPERATIONAL`. Isso significa que as interfaces de rede Amazon VPC para o endpoint (especificado pela `EndpointId`) estão configuradas corretamente e podem passar consultas de DNS de entrada ou saída entre sua rede e o Resolver.
Estatísticas válidas: mínimo, máximo, médio
Unidades: contagem
**EndpointUnhealthyENICount**
O número de interfaces de rede elástica no status `AUTO_RECOVERING`.
Isso significa que o resolvedor está tentando recuperar uma ou mais interfaces de rede da Amazon VPC associadas ao endpoint (especificado pelo `EndpointId`). Durante o processo de recuperação, o endpoint funciona com capacidade limitada e não consegue processar consultas de DNS até que seja totalmente recuperado.
Estatísticas válidas: mínimo, máximo, médio
Unidades: contagem
**InboundQueryVolume**
Para endpoints de entrada, o número de consultas de DNS encaminhadas da sua rede para a sua VPCs por meio do endpoint especificado por. `EndpointId`
Estatísticas válidas: soma
Unidades: contagem
**OutboundQueryVolume**
Para endpoints de saída, o número de consultas de DNS encaminhadas de você VPCs para sua rede por meio do endpoint especificado por. `EndpointId`
Estatísticas válidas: soma
Unidades: contagem
**OutboundQueryAggregateVolume**
Para endpoints de saída, o número total de consultas de DNS encaminhadas da Amazon VPCs para sua rede, incluindo o seguinte:
+ O número de consultas de DNS encaminhadas de você VPCs para sua rede por meio do endpoint especificado por. `EndpointId`
+ Quando a conta atual compartilha as regras do Resolver com outras contas, as consultas a partir VPCs delas são criadas por outras contas que são encaminhadas para sua rede por meio do endpoint especificado por. `EndpointId`
Estatísticas válidas: soma
Unidades: contagem
**ResolverEndpointCapacityStatus**
O status da capacidade do endpoint do Resolver. A métrica indica o estado atual de utilização da capacidade em que: 0 = OK (capacidade operacional normal), 1 = Aviso (pelo menos uma interface de rede elástica excede 50% de utilização da capacidade) e 2 = Crítico (pelo menos uma interface de rede elástica excede 75% de utilização da capacidade).
O status da capacidade é determinado por vários fatores, incluindo volume da consulta, latência de consultas, protocolos DNS, tamanho do pacote de DNS e status de rastreamento da conexão.
Estatísticas válidas: máximo
Unidades: nenhuma
**Práticas recomendadas para gerenciamento de capacidade de endpoints do VPC Resolver**
Para resolver problemas de capacidade, geralmente recomendamos aumentar o número de interfaces de rede elásticas para seu endpoint do Resolver. Porém, existem considerações importantes para tipos específicos de endpoint:
Para **endpoints de entrada**, o balanceamento de carga de tráfego depende do cliente. Portanto, avisos de capacidade ou alertas críticos podem indicar um “hotspot” em que um subconjunto de interfaces de rede elásticas é utilizado de forma desproporcional.
+ Para identificar possíveis problemas de balanceamento de carga, examine as [InboundQueryVolume](#cloudwatch-metrics-resolver-ip-address)métricas de cada interface de elastic network individualmente.
Para **endpoints de saída**, o tráfego é balanceado automaticamente entre interfaces de rede elásticas. Problemas de capacidade podem ser causados por problemas com o servidor de nomes de destino ou porque consultas de alta latência ou tempos limite sobrecarregam as interfaces de rede do Resolver.
+ Nesses casos, simples aumento das interfaces de rede elásticas pode não ser eficaz, e recomendamos corrigir o servidor de nomes de destino.
#### Métricas para endereços IP do Route 53 VPC Resolver
O namespace `AWS/Route53Resolver` inclui as métricas a seguir para cada endereço IP associado a um endpoint de entrada ou saída do Resolver. (Quando você especifica um endpoint, o VPC Resolver cria uma [interface de rede](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) elástica Amazon VPC.)
**InboundQueryVolume**
Para cada endereço IP dos endpoints de entrada, o número de consultas DNS encaminhadas da rede para o endereço IP especificado. Cada endereço IP é identificado pelo ID do endereço IP. É possível obter esse valor usando o console do Route 53. Na página do endpoint aplicável, na seção Endereços IP, consulte a coluna **IP address ID (ID do endereço IP)**. Você também pode obter o valor programaticamente usando. [ListResolverEndpointIpAddresses](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_ListResolverEndpointIpAddresses.html)
Estatísticas válidas: soma
Unidades: contagem
**OutboundQueryAggregateVolume**
Para cada endereço IP dos seus endpoints de saída, o número total de consultas de DNS encaminhadas da Amazon VPCs para sua rede, incluindo o seguinte:
+ O número de consultas de DNS encaminhadas de você VPCs para sua rede usando o endereço IP especificado.
+ Quando a conta atual compartilha as regras do Resolver com outras contas, as consultas a partir VPCs delas são criadas por outras contas que são encaminhadas para sua rede usando o endereço IP especificado.
Cada endereço IP é identificado pelo ID do endereço IP. É possível obter esse valor usando o console do Route 53. Na página do endpoint aplicável, na seção Endereços IP, consulte a coluna **IP address ID (ID do endereço IP)**. Você também pode obter o valor programaticamente usando. [ListResolverEndpointIpAddresses](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_ListResolverEndpointIpAddresses.html)
Estatísticas válidas: soma
Unidades: contagem
### CloudWatch Métricas detalhadas para o Route 53 VPC Resolver
O Route 53 VPC Resolver fornece métricas aprimoradas de RNI e Target Name Server como recursos opcionais para endpoints. Essas métricas são enviadas em intervalos CloudWatch de 1 minuto.
**nota**
As métricas detalhadas não são ativadas por padrão, mas podem ser ativadas no nível do endpoint. Essas métricas podem ser ativadas programaticamente ao criar ou atualizar endpoints usando os RniEnhancedMetricsEnabled sinalizadores e. TargetNameServerMetricsEnabled Para obter mais informações, consulte [CreateResolverEndpoint](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_CreateResolverEndpoint.html) e [UpdateResolverEndpoint](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_UpdateResolverEndpoint.html).
CloudWatch Os preços e cobranças padrão são aplicados para usar as métricas detalhadas do endpoint do Route 53 Resolver. Para obter mais informações, consulte [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/).
**Topics**
+ [Métricas aprimoradas do RNI](#cloudwatch-detailed-metrics-resolver-endpoints-ip-addresses)
+ [Métricas do servidor de nomes de destino](#cloudwatch-detailed-metrics-resolver-endpoints-target-nameservers)
#### Métricas aprimoradas do RNI
O Route 53 Resolver publica métricas aprimoradas de RNI na Amazon CloudWatch para monitorar o desempenho e a integridade dos endpoints do Resolver e dos endereços IP do Resolver. O `AWS/Route53Resolver` namespace inclui as seguintes métricas aprimoradas de RNI para endpoints de entrada e saída do Route 53 Resolver em, dimensão: `EndpointId` `RniId`
**P90 ResponseTime**
A latência de resposta do 90º percentil das consultas DNS recebidas pelo Resolver IP (`RniId`) associado ao endpoint Resolver () `EndpointId`
Estatísticas válidas: máximo
Unidade: microssegundos
**ServFailQueries**
Número de respostas SERVFAIL para consultas DNS enviadas ao Resolver IP (`RniId`) associado ao endpoint Resolver () `EndpointId`
Estatísticas válidas: soma
Unidades: contagem
**NxDomainQueries**
Número de respostas NXDOMAIN para consultas DNS enviadas ao Resolver IP (`RniId`) associado ao endpoint Resolver () `EndpointId`
Estatísticas válidas: soma
Unidades: contagem
**RefusedQueries**
Número de respostas RECUSADAS para consultas de DNS enviadas ao Resolver IP (`RniId`) associado ao endpoint Resolver () `EndpointId`
Estatísticas válidas: soma
Unidades: contagem
**FormErrorQueries**
Número de respostas FORMERR para consultas DNS enviadas ao Resolver IP (`RniId`) associado ao endpoint Resolver () `EndpointId`
Estatísticas válidas: soma
Unidades: contagem
**TimeoutQueries**
Número de tempos limite para consultas de DNS enviadas ao Resolver IP (`RniId`) associado ao endpoint Resolver () `EndpointId`
Estatísticas válidas: soma
Unidades: contagem
#### Métricas do servidor de nomes de destino
O Route 53 Resolver publica métricas do servidor de nomes de destino na Amazon CloudWatch para monitorar o desempenho e a disponibilidade dos servidores de nomes de destino associados aos endpoints do Resolver. O `AWS/Route53Resolver` namespace inclui as seguintes métricas detalhadas para pontos de extremidade de saída do Resolvedor do Route 53 em dimensões: `EndpointID` `TargetNameServerIP`
**P90 ResponseTime**
A latência de resposta do 90º percentil do Target Name Server IP (`TargetNameServerIP`) para consultas de DNS enviadas por meio do endpoint Resolver () `EndpointID`
Estatísticas válidas: máximo
Unidade: microssegundos
**RequestQueries**
Número de consultas de DNS enviadas ao Target Name Server IP (`TargetNameServerIP`) por meio do endpoint Resolver (). `EndpointID`
Estatísticas válidas: soma
Unidades: contagem
**TimeoutQueries**
Número de consultas de DNS enviadas pelo endpoint do Resolver (`EndpointID`) que atingiram o tempo limite no IP do Target Name Server (). `TargetNameServerIP`
Estatísticas válidas: soma
Unidades: contagem
**nota**
Em alguns casos, lacunas podem ser observadas nas métricas do VPC Resolver (ResolverEndpointCapacityStatus) e nas métricas aprimoradas do RNI. Essas lacunas podem ocorrer quando suas interfaces de rede passam por atualizações ou manutenções programadas consecutivas. Depois de retornarmos uma interface de rede ao serviço, leva pelo menos 1 minuto para que nosso serviço colete dados operacionais e publique essas métricas. Essas lacunas não indicam que seu endpoint do VPC Resolver esteja passando por uma interrupção. Se você estiver configurando um CloudWatch alarme para essas métricas, recomendamos o seguinte:
Defina o alarme para “Tratar dados perdidos como ignorados”, ou
Configure um período de avaliação de mais de cinco minutos para o limiar de alarme.
Essas configurações ajudarão a reduzir alarmes falsos durante atividades normais de manutenção.
### Dimensões das métricas do Route 53 VPC Resolver
As métricas do Route 53 VPC Resolver para endpoints de entrada e saída usam o `AWS/Route53Resolver` namespace e fornecem métricas para as seguintes dimensões:
+ `EndpointId`: se você especificar um valor para a `EndpointId` dimensão, CloudWatch retornará o número de consultas de DNS para o endpoint especificado. Se você não especificar`EndpointId`, CloudWatch retornará o número de consultas DNS para todos os endpoints que foram criados pela conta atual. AWS
+ `RniId`a dimensão é suportada por `OutboundQueryAggregateVolume` e `InboundQueryVolume` métricas.
+ `EndpointId`, a `RniId` dimensão é suportada para`P90ResponseTime`,`ServFailQueries`,`NxDomainQueries`, `RefusedQueries``FormErrorQueries`, e `TimeoutQueries` para o endereço IP do resolvedor associado ao endpoint do resolvedor.
+ `EndpointID`, a `TargetNameServerIP` dimensão é suportada para `P90ResponseTime``RequestQueries`, e `TimeoutQueries` para o servidor de nomes de destino associado ao endpoint do resolvedor.
# Monitorando grupos de regras do Resolver DNS Firewall com a Amazon CloudWatch
Você pode usar CloudWatch a Amazon para monitorar o número de consultas de DNS que são filtradas pelos grupos de regras do Resolver DNS Firewall. A Amazon CloudWatch coleta e processa dados brutos em métricas legíveis, quase em tempo real. Essas estatísticas são registradas por um período de duas semanas, de maneira que você possa acessar informações do histórico e ter uma perspectiva melhor sobre o desempenho dos seus recursos. Por padrão, os dados métricos dos grupos de regras do Firewall DNS são enviados automaticamente CloudWatch em intervalos de cinco minutos.
Para obter mais informações sobre o Firewall de DNS, consulte [Uso do DNS Firewall para filtrar tráfego de DNS de entrada](resolver-dns-firewall.md). Para obter mais informações sobre CloudWatch, consulte [O que é a Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) no *Guia do CloudWatch usuário da Amazon*.
## Métricas e dimensões do Resolver DNS Firewall
Quando você associa um grupo de regras do Resolver DNS Firewall a uma VPC para filtrar consultas de DNS, o DNS Firewall começa a enviar métricas e dimensões uma vez a cada 5 minutos CloudWatch para aproximadamente as consultas que ele filtra. Para obter informações sobre as métricas e dimensões do DNS Firewall, consulte [CloudWatch métricas para Resolver DNS Firewall](#cloudwatch-metrics-resolver-dns-firewall).
Você pode usar os procedimentos a seguir para visualizar as métricas no CloudWatch console ou visualizá-las usando o AWS Command Line Interface (AWS CLI).
**Para visualizar as métricas do DNS Firewall usando o console CloudWatch**
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Na barra de navegação, escolha a região que você quer exibir.
1. No painel de navegação, selecione **Métricas**.
1. Na guia **Todas as métricas**, escolha **Route 53 VPC** Resolver.
1. Escolha uma métrica na qual esteja interessado.
**Para visualizar métricas usando o AWS CLI**
+ Em um prompt de comando, use o seguinte comando:
```
1. aws cloudwatch list-metrics --namespace "AWS/Route53Resolver"
```
**Topics**
+ [CloudWatch métricas para Resolver DNS Firewall](#cloudwatch-metrics-resolver-dns-firewall)
### CloudWatch métricas para Resolver DNS Firewall
O `AWS/Route53Resolver` namespace inclui métricas para grupos de regras do Resolver DNS Firewall.
**Topics**
+ [Métricas para grupos de regras do Resolver DNS Firewall](#cloudwatch-metrics-resolver-dns-firewall-rule-group)
+ [Métricas para VPCs](#cloudwatch-metrics-resolver-vpc)
+ [Métricas para grupo de regras de firewall e associação de VPC](#cloudwatch-metrics-resolver-firewall-vpc)
+ [Métricas para uma lista de domínios em um grupo de regras de firewall](#cloudwatch-metrics-domain-list-firewall)
#### Métricas para grupos de regras do Resolver DNS Firewall
**FirewallRuleGroupQueryVolume**
O número de consultas do Firewall DNS que correspondem a um grupo de regras de firewall (especificado por `FirewallRuleGroupId`).
Dimensões: `FirewallRuleGroupId`
Estatísticas válidas: soma
Unidades: contagem
#### Métricas para VPCs
**VpcFirewallQueryVolume**
O número de consultas do Firewall DNS de uma VPC (especificado por `VpcId`).
Dimensões: `VpcId`
Estatísticas válidas: soma
Unidades: contagem
#### Métricas para grupo de regras de firewall e associação de VPC
**FirewallRuleGroupVpcQueryVolume**
O número de consultas do Firewall DNS de uma VPC (especificado por `VpcId`) que correspondem a um grupo de regras de firewall (especificado por `FirewallRuleGroupId`).
Dimensões: `FirewallRuleGroupId, VpcId`
Estatísticas válidas: soma
Unidades: contagem
#### Métricas para uma lista de domínios em um grupo de regras de firewall
**FirewallRuleQueryVolume**
O número de consultas de firewall DNS que correspondem a uma lista de domínios de firewall (especificado por `FirewallDomainListId`) dentro de um grupo de regras de firewall (especificado por `FirewallRuleGroupId`).
Dimensões: `FirewallRuleGroupId, FirewallDomainListId`
Estatísticas válidas: soma
Unidades: contagem
# Gerenciando eventos do Resolver DNS Firewall usando Amazon EventBridge
Amazon EventBridge é um serviço sem servidor que usa eventos para conectar componentes do aplicativo, facilitando a criação de aplicativos escaláveis orientados por eventos. A arquitetura orientada a eventos é um estilo de criação de sistemas de software com acoplamento fraco que funcionam juntos emitindo e respondendo a eventos. Os eventos representam uma mudança em um recurso ou ambiente.
Como acontece com muitos AWS serviços, o DNS Firewall gera e envia eventos para o barramento de eventos EventBridge padrão. (O barramento de eventos padrão é provisionado automaticamente em cada conta da AWS .) Um barramento de eventos é um roteador que recebe eventos e os entrega a zero ou mais destinos, ou *alvos*. As regras especificadas para o barramento de eventos avaliam os eventos à medida que eles chegam. Cada regra verifica se um evento corresponde ao *padrão do evento*. Se o evento corresponder, o barramento de eventos enviará o evento para os destinos especificados.
![\[AWS os serviços enviam eventos para o barramento de eventos EventBridge padrão. Se o evento corresponder ao padrão de evento de uma regra, EventBridge envia o evento para os destinos especificados para essa regra.\]](http://docs.aws.amazon.com/pt_br/Route53/latest/DeveloperGuide/images/eventbridge-integration-how-it-works.png)
**Topics**
+ [Resolver eventos do DNS Firewall](#supported-events)
+ [Enviando eventos do Resolver DNS Firewall usando regras EventBridge](#eventbridge-using-events-rules)
+ [Amazon EventBridge permissões](#eventbridge-permissions)
+ [EventBridge Recursos adicionais](#eventbridge-additonal-resources)
+ [Referência detalhada de eventos do Resolver DNS Firewall](events-detail-reference.md)
## Resolver eventos do DNS Firewall
O VPC Resolver envia eventos do DNS Firewall para o barramento de EventBridge eventos padrão automaticamente. Você pode criar regras no barramento de eventos; cada regra inclui um padrão de eventos e um ou mais destinos. Os eventos que correspondem ao padrão de eventos de uma regra são entregues aos destinos especificados [sempre que possível](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-service-event.html#eb-service-event-delivery-level). Pode ser que os eventos sejam entregues fora da ordem.
Os eventos a seguir são gerados pelo DNS Firewall. Para obter mais informações, consulte [EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) no *Amazon EventBridge User Guide*.
| Tipo de detalhe de evento | Description |
| --- | --- |
| [Bloqueio do DNS Firewall](events-detail-reference.md#dns-firewall-alert) | Qualquer ação de bloqueio realizada em um domínio. |
| [Alerta do DNS Firewall](events-detail-reference.md#dns-firewall-block) | Qualquer ação de alerta realizada em um domínio. |
## Enviando eventos do Resolver DNS Firewall usando regras EventBridge
Para que o barramento de eventos EventBridge padrão envie eventos do Firewall DNS para um destino, você deve criar uma regra que contenha um padrão de eventos que corresponda aos dados nos eventos do Firewall DNS desejados.
A criação de uma regra consiste nas seguintes etapas gerais:
1. Criar um padrão de evento para a regra que especifica:
+ O VPC Resolver é a fonte dos eventos que estão sendo avaliados pela regra.
+ (Opcional): qualquer outro dado de evento para comparar.
Para obter mais informações, consulte [Criação de padrões de eventos para eventos do Resolver DNS Firewall](#eventbridge-using-events-rules-patterns).
1. (Opcional): Criação *de um transformador de entrada* que personaliza os dados do evento antes de EventBridge passar as informações para o destino da regra.
Para obter mais informações, consulte [Transformação da entrada](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-transform-target-input.html) no *Guia do usuário do EventBridge *.
1. Especificar o (s) destino (s) para o (s) qual (is) você EventBridge deseja entregar eventos que correspondam ao padrão do evento.
Os destinos podem ser outros AWS serviços, aplicativos software-as-a-service (SaaS), destinos de API ou outros endpoints personalizados. Para obter mais informações, consulte [Targets](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) (Alvos) no *Guia do usuário do EventBridge *.
Para obter instruções abrangentes de como criar regras de barramento de eventos, consulte [Criar regras que reagem a eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) no *Guia do usuário do EventBridge *.
### Criação de padrões de eventos para eventos do Resolver DNS Firewall
Quando o DNS Firewall entrega um evento ao barramento de eventos padrão, EventBridge usa o padrão de evento definido para cada regra para determinar se o evento deve ser entregue ao (s) alvo (s) da regra. Um padrão de eventos corresponde aos dados dos eventos do DNS Firewall desejados. Cada padrão de evento é um objeto JSON que contém:
+ Um atributo `source` que identifica o serviço que envia o evento. Para eventos do DNS Firewall, a origem é `aws.route53resolver`.
+ (Opcional): um atributo `detail-type` que contém uma matriz dos tipos de eventos a serem correlacionados.
+ (Opcional): um atributo `detail` que contém quaisquer outros dados relacionados aos eventos a serem correlacionados.
Por exemplo, o padrão de eventos a seguir corresponde tanto aos eventos de alerta quanto aos eventos de bloqueio do DNS Firewall:
```
{
"source": ["aws.route53resolver"],
"detail-type": ["DNS Firewall Block", "DNS Firewall Alert"]
}
```
Embora o padrão de eventos a seguir corresponda a uma ação BLOQUEAR:
```
{
"source": ["aws.route53resolver"],
"detail-type": ["DNS Firewall Block"]
}
```
O DNS Firewall envia o mesmo evento para o mesmo domínio apenas uma vez em uma janela de 6 horas. Por exemplo:
1. A instância i-123 enviou uma consulta ao DNS exampledomain.com no horário momento T1. O DNS Firewall envia um evento de alerta ou de bloqueio, pois se trata da primeira ocorrência.
1. A instância i-123 enviou um DNSquery exampledomain.com no tempo T1\$130 minutos. O DNS Firewall não envia um evento de alerta nem de bloqueio, pois essa é uma ocorrência repetida dentro da janela de 6 horas.
1. A instância i-123 enviou uma consulta ao DNS exampledomain.com no horário T1\$17 horas. O DNS Firewall envia um evento de alerta ou de bloqueio, pois essa é uma ocorrência repetida fora da janela de 6 horas.
Para obter mais informações sobre como escrever padrões de eventos, consulte [Padrões de eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) no *Guia do usuário do EventBridge *.
### Testando padrões de eventos para eventos do DNS Firewall em EventBridge
Você pode usar o EventBridge Sandbox para definir e testar rapidamente um padrão de evento, sem precisar concluir o processo maior de criação ou edição de uma regra. Usando o Sandbox, você pode definir um padrão de evento e usar um evento de amostra para confirmar se o padrão corresponde aos eventos desejados. EventBridge oferecem a opção de criar uma nova regra usando esse padrão de evento, diretamente da sandbox.
Para obter mais informações, consulte [Testando um padrão de evento usando o EventBridge Sandbox](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-pattern-sandbox.html) no *Guia do EventBridge usuário*.
### Criando uma EventBridge regra e um destino para o Firewall DNS
O procedimento a seguir mostra como criar uma regra que permite EventBridge enviar eventos para todas as ações de alerta e bloqueio do Firewall DNS e adicionar uma AWS Lambda função como destino para a regra.
1. Use AWS CLI para criar uma EventBridge regra:
```
aws events put-rule \
--event-pattern "{\"source\":
[\"aws.route53resolver\"],\"detail-type\":
[\"DNS Firewall Block\", \"DNS Firewall Alert\"]}" \
--name dns-firewall-rule
```
1. Anexe uma função do Lambda como destino para a regra:
`AWS events put-targets --rule dns-firewall-rule --targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:`
1. Para adicionar as permissões necessárias para invocar o destino, execute o seguinte comando AWS CLI Lambda:
`AWS lambda add-permission --function-name --statement-id 1 --action 'lambda:InvokeFunction' --principal events.amazonaws.com`
## Amazon EventBridge permissões
O DNS Firewall não precisa de outras permissões para entregar eventos ao Amazon EventBridge.
Talvez os destinos que você especificar precisem de determinadas permissões ou configurações. Para obter mais detalhes sobre o uso de serviços específicos para destinos, consulte [Destinos do Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) no *Guia do usuário do Amazon EventBridge *.
## EventBridge Recursos adicionais
Consulte os tópicos a seguir no [https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) para obter mais informações sobre como usar EventBridge para processar e gerenciar eventos.
+ Para obter informações detalhadas sobre como os barramentos de eventos funcionam, consulte [Barramento de eventos do Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html).
+ Para obter informações sobre a estrutura de eventos, consulte [Eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html)
+ Para obter informações sobre a construção de padrões de eventos EventBridge para uso ao comparar eventos com regras, consulte [Padrões de eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html).
+ Para obter informações sobre a criação de regras para especificar quais eventos são processados pelo EventBridge , consulte [Regras](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html).
+ Para obter informações sobre como especificar para quais serviços ou outros destinos EventBridge enviam eventos correspondentes, consulte [Targets](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html).
# Referência detalhada de eventos do Resolver DNS Firewall
Todos os eventos dos AWS serviços têm um conjunto comum de campos contendo metadados sobre o evento, como o AWS serviço que é a origem do evento, a hora em que o evento foi gerado, a conta e a região em que o evento ocorreu e outros. Para obter as definições desses campos gerais, consulte [Referência da estrutura de eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events-structure.html) no *Guia do usuário do Amazon EventBridge *.
Além disso, cada evento tem um campo de `detail` que contém dados específicos desse determinado evento. A referência abaixo define os campos de detalhe dos vários eventos do DNS Firewall.
Ao usar EventBridge para selecionar e gerenciar eventos do DNS Firewall, é útil ter em mente o seguinte:
+ O campo de `source` para todos os eventos do DNS Firewall é definido como `aws.route53resolver`.
+ O campo do `detail-type` especifica o tipo de evento.
Por exemplo, `DNS Firewall Block` ou `DNS Firewall Alert`.
+ O campo de `detail` contém os dados específicos desse determinado evento.
Para obter mais informações sobre a criação de padrões de eventos que permitam fazer a correspondência das regras com os eventos do DNS Firewall, consulte [Event patterns](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) no *Amazon EventBridge User Guide*.
Para obter mais informações sobre eventos e como EventBridge os processa, consulte [Amazon EventBridge eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) no *Guia Amazon EventBridge do usuário*.
**Topics**
+ [Detalhes de evento de alerta do DNS Firewall](#dns-firewall-alert)
+ [Detalhe de evento de bloqueio do DNS Firewall](#dns-firewall-block)
## Detalhes de evento de alerta do DNS Firewall
Abaixo estão os campos de detalhe para eventos com status Alerta.
Os campos `source` e `detail-type` são incluídos porque contêm valores específicos para os eventos do Route 53.
```
{...,
"detail-type": "DNS Firewall Alert",
"source": "aws.route53resolver",
...,
"detail": {
"account-id": "string",
"last-observed-at": "string",
"query-name": "string",
"query-type": "string",
"query-class": "string",
"transport": "string",
"firewall-rule-action": "string",
"firewall-rule-group-id": "string",
"firewall-domain-list-id": "string",
"firewall-protection": "string",
"resources": [{
"resource-type": "string",
"instance-details": {
"id": "string",
}
},
{
"resource-type": "string",
"resolver-endpoint-details": {
"id": "string"
}
}
]
```
`detail-type`
Identifica o tipo de evento.
Para esse evento, esse valor é `DNS Firewall Alert`.
`source`
Identifica o serviço que gerou o evento. Para eventos do DNS Firewall, esse valor é `aws.route53resolver`.
`detail`
Um objeto JSON contém informações sobre o evento. O serviço que gera o evento determina o conteúdo desse campo.
Para esse evento, esses dados incluem:
`account-id`
O ID do Conta da AWS que criou a VPC.
`last-observed-at`
O timestamp de quando a Alert/Block consulta foi feita na VPC.
`query-name`
O nome de domínio (example.com) ou de subdomínio (www.example.com) especificado na consulta.
`query-type`
O tipo de registro DNS que foi especificado na solicitação ou ANY. Para obter informações sobre os tipos com suporte do Route 53, consulte [Tipos de registro de DNS com suporte](ResourceRecordTypes.md).
`query-class`
A classe da consulta.
`transport`
O protocolo usado para enviar a consulta de DNS.
`firewall-rule-action`
A ação especificada pela regra que correspondeu ao nome de domínio na consulta. `ALERT` ou `BLOCK`.
`firewall-rule-group-id`
O ID do grupo de regras do Firewall DNS que correspondeu ao nome de domínio na consulta. Para obter mais informações sobre grupos de regras de firewall, consulte [Regras e grupos de regras do Firewall DNS](resolver-dns-firewall-rule-groups.md) do DNS Firewall.
`firewall-domain-list-id`
A lista de domínios usada pela regra que correspondeu ao nome de domínio na consulta.
`firewall-protection`
A proteção avançada do firewall DNS: DGA, DICTIONARY\$1DGA ou DNS\$1TUNNELING. Para obter mais informações, consulte Firewall de DNS [Resolver DNS Firewall Avançado](firewall-advanced.md).
`resourcese`
Contém os tipos de recursos e detalhes adicionais sobre eles.
`resource-type`
Especifica o tipo de recurso, como endpoint do resolvedor ou uma instância da VPC.
`resource-type-detail`
Detalhes adicionais sobre a solicitação.
**Example Evento de alerta do DNS Firewall**
O exemplo a seguir é um evento de alerta.
```
{
"version": "1.0",
"id": "8e5622f9-d81c-4d81-612a-9319e7ee2506",
"detail-type": "DNS Firewall Alert",
"source": "aws.route53resolver",
"account": "123456789012",
"time": "2023-05-30T21:52:17Z",
"region": "us-west-2",
"resources": [],
"detail": {
"account-id": "123456789012",
"last-observed-at": "2023-05-30T20:15:15.900Z",
"query-name": "15.3.4.32.in-addr.arpa.",
"query-type": "A",
"query-class": "IN",
"transport": "UDP",
"firewall-rule-action": "ALERT",
"firewall-rule-group-id": "rslvr-frg-01234567890abcdef",
"firewall-domain-list-id": "rslvr-fdl-01234567890abcdef",
"firewall-protection": "DGA",
"resources": [{
"resource-type": "instance",
"instance-details": {
"id": "i-05746eb48123455e0",
}
},
{
"resource-type": "resolver-endpoint",
"resolver-endpoint-details": {
"id": "i-05746eb48123455e0"
}
}
],
"src-addr": "4.5.64.102",
"src-port": "56067",
"vpc-id": "vpc-7example"
}
}
```
## Detalhe de evento de bloqueio do DNS Firewall
Abaixo estão os campos de detalhes de*event name*.
Os campos `source` e `detail-type` são incluídos porque contêm valores específicos para os eventos do Route 53.
```
{...,
"detail-type": "DNS Firewall Block",
"source": "aws.route53resolver",
...,
"detail": {
"account-id": "string",
"last-observed-at": "string",
"query-name": "string",
"query-type": "string",
"query-class": "string",
"transport": "string",
"firewall-rule-action": "string",
"firewall-rule-group-id": "string",
"firewall-domain-list-id": "string",
"firewall-protection": "string",
"resources": [{
"resource-type": "string",
"instance-details": {
"id": "string",
}
},
{
"resource-type": "string",
"resolver-endpoint-details": {
"id": "string"
}
}
]
```
`detail-type`
Identifica o tipo de evento.
Para esse evento, esse valor é `DNS Firewall Alert`.
`source`
Identifica o serviço que gerou o evento. Para eventos do DNS Firewall, esse valor é `aws.route53resolver`.
`detail`
Um objeto JSON contém informações sobre o evento. O serviço que gera o evento determina o conteúdo desse campo.
Para esse evento, esses dados incluem:
`account-id`
O ID do Conta da AWS que criou a VPC.
`last-observed-at`
O timestamp de quando a Alert/Block consulta foi feita na VPC.
`query-name`
O nome de domínio (example.com) ou de subdomínio (www.example.com) especificado na consulta.
`query-type`
O tipo de registro DNS que foi especificado na solicitação ou ANY. Para obter informações sobre os tipos com suporte do Route 53, consulte [Tipos de registro de DNS com suporte](ResourceRecordTypes.md).
`query-class`
A classe da consulta.
`transport`
O protocolo usado para enviar a consulta de DNS.
`firewall-rule-action`
A ação especificada pela regra que correspondeu ao nome de domínio na consulta. `ALERT` ou `BLOCK`.
`firewall-rule-group-id`
O ID do grupo de regras do Firewall DNS que correspondeu ao nome de domínio na consulta. Para obter mais informações sobre grupos de regras de firewall, consulte [Regras e grupos de regras do Firewall DNS](resolver-dns-firewall-rule-groups.md) do DNS Firewall.
`firewall-domain-list-id`
A lista de domínios usada pela regra que correspondeu ao nome de domínio na consulta.
`firewall-protection`
A proteção avançada do firewall DNS: DGA, DICTIONARY\$1DGA ou DNS\$1TUNNELING. Para obter mais informações, consulte Firewall de DNS [Resolver DNS Firewall Avançado](firewall-advanced.md).
`resourcese`
Contém os tipos de recursos e detalhes adicionais sobre eles.
`resource-type`
Especifica o tipo de recurso, como endpoint do resolvedor ou uma instância da VPC.
`resource-type-detail`
Detalhes adicionais sobre a solicitação.
**Example Exemplo de evento do**
O exemplo a seguir é um evento de bloqueio.
```
{
"version": "1.0",
"id": "8e5622f9-d81c-4d81-612a-9319e7ee2506",
"detail-type": "DNS Firewall Block",
"source": "aws.route53resolver",
"account": "123456789012",
"time": "2023-05-30T21:52:17Z",
"region": "us-west-2",
"resources": [],
"detail": {
"account-id": "123456789012",
"last-observed-at": "2023-05-30T20:15:15.900Z",
"query-name": "15.3.4.32.in-addr.arpa.",
"query-type": "A",
"query-class": "IN",
"transport": "UDP",
"firewall-rule-action": "BLOCK",
"firewall-rule-group-id": "rslvr-frg-01234567890abcdef",
"firewall-domain-list-id": "rslvr-fdl-01234567890abcdef",
"firewall-protection": "DNS_TUNNELING",
"resources": [{
"resource-type": "instance",
"instance-details": {
"id": "i-05746eb48123455e0"
}
},
{
"resource-type": "resolver-endpoint",
"resolver-endpoint-details": {
"id": "i-05746eb48123455e0",
}
}
],
"src-addr": "4.5.64.102",
"src-port": "56067",
"vpc-id": "vpc-7example"
}
}
```
# Registro de chamadas de API do Amazon Route 53 com AWS CloudTrail
O Route 53 é integrado com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou AWS serviço no Route 53. CloudTrail captura todas as chamadas de API para o Route 53 como eventos, incluindo chamadas do console do Route 53 e de chamadas de código para o Route 53 APIs. Se você criar uma trilha, poderá habilitar a entrega contínua de CloudTrail eventos para um bucket do Amazon S3, incluindo eventos para o Route 53. Se você não configurar uma trilha, ainda poderá ver os eventos mais recentes no CloudTrail console no **Histórico de eventos**. Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita para o Route 53, o endereço IP do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais.
**Topics**
+ [Informações sobre o Route 53 em CloudTrail](#route-53-info-in-cloudtrail)
+ [Como visualizar eventos do Route 53 no histórico de eventos](#route-53-events-in-cloudtrail-event-history)
+ [Noções básicas sobre entradas de arquivos de log do Route 53](#understanding-route-53-entries-in-cloudtrail)
## Informações sobre o Route 53 em CloudTrail
CloudTrail é ativado em sua AWS conta quando você cria a conta. Quando a atividade ocorre no Route 53, essa atividade é registrada em um CloudTrail evento junto com outros eventos AWS de serviço no **histórico de eventos**. Você pode visualizar, pesquisar e baixar eventos recentes em sua AWS conta. Para obter mais informações, consulte [Visualização de eventos com histórico de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Para um registro contínuo dos eventos em sua AWS conta, incluindo eventos do Route 53, crie uma trilha. Uma trilha permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Por padrão, ao criar uma trilha no console, ela é aplicada a todas as regiões da . A trilha registra eventos de todas as regiões na AWS partição e entrega os arquivos de log ao bucket do Amazon S3 que você especificar. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros. Para obter mais informações, consulte:
+ [Visão geral da criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail serviços e integrações suportados](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurando notificações do Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Recebendo arquivos de CloudTrail log de várias regiões](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [Recebendo arquivos de CloudTrail log de várias contas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Todas as ações do Route 53 são registradas CloudTrail e documentadas na [Referência de API do Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/APIReference/). Por exemplo, chamadas para as `RegisterDomain` ações `CreateHostedZone``CreateHealthCheck`, e geram entradas nos arquivos de CloudTrail log.
Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar:
+ Se a solicitação foi feita com credenciais de usuário-raiz ou usuário do IAM.
+ Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado.
+ Se a solicitação foi feita por outro AWS serviço.
Para obter mais informações, consulte [Elemento userIdentity do CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Como visualizar eventos do Route 53 no histórico de eventos
CloudTrail permite que você visualize eventos recentes no **histórico de eventos**. Para visualizar os eventos de solicitações da API do Route 53, você deve escolher **US East (N. Virginia)** (Leste dos EUA [Norte da Virgínia]) no seletor de região na parte superior do console. Para obter mais informações, consulte [Visualização de CloudTrail eventos com histórico](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) de eventos no *Guia AWS CloudTrail do usuário*.
## Noções básicas sobre entradas de arquivos de log do Route 53
Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log para um bucket do Amazon S3 que você especificar. CloudTrail os arquivos de log contêm uma ou mais entradas de log. Um evento representa uma única solicitação de qualquer fonte e inclui informações sobre a ação solicitada, a data e a hora da ação, os parâmetros da solicitação e assim por diante. CloudTrail os arquivos de log não são um rastreamento de pilha ordenado das chamadas públicas de API, portanto, eles não aparecem em nenhuma ordem específica.
O elemento `eventName` identifica a ação que ocorreu. (Nos CloudTrail registros, a primeira letra é minúscula para ações de registro de domínio, embora esteja em maiúscula nos nomes das ações. Por exemplo, `UpdateDomainContact` aparece como `updateDomainContact` nos registros). CloudTrail suporta todas as ações da API do Route 53. O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra as seguintes ações:
+ Listar as zonas hospedadas que estão associadas a uma AWS conta
+ Criar uma verificação de integridade
+ Criar dois registros
+ Excluir uma zona hospedada
+ Atualizar informações de um domínio registrado
+ Crie um endpoint de saída do Route 53 VPC Resolver
```
{
"Records": [
{
"apiVersion": "2013-04-01",
"awsRegion": "us-east-1",
"eventID": "1cdbea14-e162-43bb-8853-f9f86d4739ca",
"eventName": "ListHostedZones",
"eventSource": "route53.amazonaws.com",
"eventTime": "2015-01-16T00:41:48Z",
"eventType": "AwsApiCall",
"eventVersion": "1.02",
"recipientAccountId": "444455556666",
"requestID": "741e0df7-9d18-11e4-b752-f9c6311f3510",
"requestParameters": null,
"responseElements": null,
"sourceIPAddress": "192.0.2.92",
"userAgent": "Apache-HttpClient/4.3 (java 1.5)",
"userIdentity": {
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"accountId": "111122223333",
"arn": "arn:aws:iam::111122223333:user/smithj",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"type": "IAMUser",
"userName": "smithj"
}
},
{
"apiVersion": "2013-04-01",
"awsRegion": "us-east-1",
"eventID": "45ec906a-1325-4f61-b133-3ef1012b0cbc",
"eventName": "CreateHealthCheck",
"eventSource": "route53.amazonaws.com",
"eventTime": "2018-01-16T00:41:57Z",
"eventType": "AwsApiCall",
"eventVersion": "1.02",
"recipientAccountId": "444455556666",
"requestID": "79915168-9d18-11e4-b752-f9c6311f3510",
"requestParameters": {
"callerReference": "2014-05-06 64832",
"healthCheckConfig": {
"iPAddress": "192.0.2.249",
"port": 80,
"type": "TCP"
}
},
"responseElements": {
"healthCheck": {
"callerReference": "2014-05-06 64847",
"healthCheckConfig": {
"failureThreshold": 3,
"iPAddress": "192.0.2.249",
"port": 80,
"requestInterval": 30,
"type": "TCP"
},
"healthCheckVersion": 1,
"id": "b3c9cbc6-cd18-43bc-93f8-9e557example"
},
"location": "https://route53.amazonaws.com/2013-04-01/healthcheck/b3c9cbc6-cd18-43bc-93f8-9e557example"
},
"sourceIPAddress": "192.0.2.92",
"userAgent": "Apache-HttpClient/4.3 (java 1.5)",
"userIdentity": {
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"accountId": "111122223333",
"arn": "arn:aws:iam::111122223333:user/smithj",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"type": "IAMUser",
"userName": "smithj"
}
},
{
"additionalEventData": {
"Note": "Do not use to reconstruct hosted zone"
},
"apiVersion": "2013-04-01",
"awsRegion": "us-east-1",
"eventID": "883b14d9-2f84-4005-8bc5-c7bf0cebc116",
"eventName": "ChangeResourceRecordSets",
"eventSource": "route53.amazonaws.com",
"eventTime": "2018-01-16T00:41:43Z",
"eventType": "AwsApiCall",
"eventVersion": "1.02",
"recipientAccountId": "444455556666",
"requestID": "7081d4c6-9d18-11e4-b752-f9c6311f3510",
"requestParameters": {
"changeBatch": {
"changes": [
{
"action": "CREATE",
"resourceRecordSet": {
"name": "prod.example.com.",
"resourceRecords": [
{
"value": "192.0.1.1"
},
{
"value": "192.0.1.2"
},
{
"value": "192.0.1.3"
},
{
"value": "192.0.1.4"
}
],
"tTL": 300,
"type": "A"
}
},
{
"action": "CREATE",
"resourceRecordSet": {
"name": "test.example.com.",
"resourceRecords": [
{
"value": "192.0.1.1"
},
{
"value": "192.0.1.2"
},
{
"value": "192.0.1.3"
},
{
"value": "192.0.1.4"
}
],
"tTL": 300,
"type": "A"
}
}
],
"comment": "Adding subdomains"
},
"hostedZoneId": "Z1PA6795UKMFR9"
},
"responseElements": {
"changeInfo": {
"comment": "Adding subdomains",
"id": "/change/C156SRE0X2ZB10",
"status": "PENDING",
"submittedAt": "Jan 16, 2018 12:41:43 AM"
}
},
"sourceIPAddress": "192.0.2.92",
"userAgent": "Apache-HttpClient/4.3 (java 1.5)",
"userIdentity": {
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"accountId": "111122223333",
"arn": "arn:aws:iam::111122223333:user/smithj",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"type": "IAMUser",
"userName": "smithj"
}
},
{
"apiVersion": "2013-04-01",
"awsRegion": "us-east-1",
"eventID": "0cb87544-ebee-40a9-9812-e9dda1962cb2",
"eventName": "DeleteHostedZone",
"eventSource": "route53.amazonaws.com",
"eventTime": "2018-01-16T00:41:37Z",
"eventType": "AwsApiCall",
"eventVersion": "1.02",
"recipientAccountId": "444455556666",
"requestID": "6d5d149f-9d18-11e4-b752-f9c6311f3510",
"requestParameters": {
"id": "Z1PA6795UKMFR9"
},
"responseElements": {
"changeInfo": {
"id": "/change/C1SIJYUYIKVJWP",
"status": "PENDING",
"submittedAt": "Jan 16, 2018 12:41:36 AM"
}
},
"sourceIPAddress": "192.0.2.92",
"userAgent": "Apache-HttpClient/4.3 (java 1.5)",
"userIdentity": {
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"accountId": "111122223333",
"arn": "arn:aws:iam::111122223333:user/smithj",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"type": "IAMUser",
"userName": "smithj"
}
},
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/smithj",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "smithj",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2018-11-01T19:43:59Z"
}
},
"invokedBy": "test"
},
"eventTime": "2018-11-01T19:49:36Z",
"eventSource": "route53domains.amazonaws.com",
"eventName": "updateDomainContact",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.92",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:52.0) Gecko/20100101 Firefox/52.0",
"requestParameters": {
"domainName": {
"name": "example.com"
}
},
"responseElements": {
"requestId": "034e222b-a3d5-4bec-8ff9-35877ff02187"
},
"additionalEventData": "Personally-identifying contact information is not logged in the request",
"requestID": "015b7313-bf3d-11e7-af12-cf75409087f6",
"eventID": "f34f3338-aaf4-446f-bf0e-f72323bac94d",
"eventType": "AwsApiCall",
"recipientAccountId": "444455556666"
},
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/smithj",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2018-11-01T14:33:09Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIUZEZLWWZOEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/Admin",
"accountId": "123456789012",
"userName": "Admin"
}
}
},
"eventTime": "2018-11-01T14:37:19Z",
"eventSource": "route53resolver.amazonaws.com",
"eventName": "CreateResolverEndpoint",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.176",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:52.0) Gecko/20100101 Firefox/52.0",
"requestParameters": {
"creatorRequestId": "123456789012",
"name": "OutboundEndpointDemo",
"securityGroupIds": [
"sg-05618b249example"
],
"direction": "OUTBOUND",
"ipAddresses": [
{
"subnetId": "subnet-01cb0c4676example"
},
{
"subnetId": "subnet-0534819b32example"
}
],
"tags": []
},
"responseElements": {
"resolverEndpoint": {
"id": "rslvr-out-1f4031f1f5example",
"creatorRequestId": "123456789012",
"arn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-endpoint/rslvr-out-1f4031f1f5example",
"name": "OutboundEndpointDemo",
"securityGroupIds": [
"sg-05618b249example"
],
"direction": "OUTBOUND",
"ipAddressCount": 2,
"hostVPCId": "vpc-0de29124example",
"status": "CREATING",
"statusMessage": "[Trace id: 1-5bd1d51e-f2f3032eb75649f71example] Creating the Resolver Endpoint",
"creationTime": "2018-11-01T14:37:19.045Z",
"modificationTime": "2018-11-01T14:37:19.045Z"
}
},
"requestID": "3f066d98-773f-4628-9cba-4ba6eexample",
"eventID": "cb05b4f9-9411-4507-813b-33cb0example",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
]
}
```