Log de consultas de DNS pública - Amazon Route 53
Configurar o registro em log para consultas DNSUso do Amazon CloudWatch para acessar logs de consultas de DNSAlterar o período de retenção para logs e exportar logs para o Amazon S3Interromper o registro de consultas em logValores que aparecem em logs de consultas de DNSExemplo de log de consulta

Log de consultas de DNS pública

É possível configurar o Amazon Route 53 para registrar informações sobre as consultas públicas de DNS recebidas pelo Route 53, como as seguintes:

  • O domínio ou o subdomínio que foi solicitado

  • Data e hora da solicitação

  • Tipo de registro DNS (como A ou AAAA)

  • O ponto de presença do Route 53 que respondeu à consulta DNS

  • O código de resposta DNS, como NoError ou ServFail

Quando você configura o log de consultas, o Route 53 começa a enviar logs ao CloudWatch Logs. Use ferramentas do CloudWatch Logs para acessar os logs de consulta.

Os logs de consulta contêm apenas as consultas que os resolvedores DNS encaminham para o Route 53. Se o resolvedor de DNS já tiver armazenado em cache a resposta a uma consulta (como o endereço IP de um balanceador de carga para example.com), o resolvedor continuará a retornar a resposta armazenada em cache sem encaminhar a consulta para o Route 53 até que o TTL do registro correspondente expire.

Dependendo da quantidade de consultas DNS enviadas a um nome de domínio (example.com) ou nome de subdomínio (www.example.com), de quais resolvedores seus usuários estão usando e do TTL do registro, os logs de consulta poderão conter informações apenas sobre uma das milhares de consultas que são enviadas aos resolvedores de DNS. Para mais informações sobre como o DNS funciona, consulte Como o tráfego da Internet é roteado para seu site ou o aplicativo web.

Se não precisar de informações detalhadas de registro, você poderá usar métricas do Amazon CloudWatch para ver o número total de consultas de DNS respondidas pelo Route 53 para uma zona hospedada. Para ter mais informações, consulte Visualizar métricas de consulta de DNS para uma zona hospedada pública.

Configurar o registro em log para consultas DNS

Para iniciar o registro em log de consultas de DNS para uma zona hospedada especificada, você executa as seguintes tarefas no console do Amazon Route 53:

  • Escolha o grupo de logs do CloudWatch Logs nos quais você quer que o Route 53 publique logs ou crie um novo grupo de logs.

    nota

    O grupo de logs deve estar na região Leste dos EUA (Norte da Virgínia).

  • Selecione Create (Criar) para terminar.

nota

Se os usuários estiverem enviando consultas de DNS para seu domínio, você deverá começar a ver consultas nos logs vários minutos após criar a configuração de registro de consultas.

Para configurar o registro em log para consultas DNS

  1. Faça login no AWS Management Console e abra o console do Route 53 em https://console.aws.amazon.com/route53/.

  2. No painel de navegação, escolha Zonas hospedadas.

  3. Escolha a zona hospedada para a qual você quer configurar o log de consultas.

  4. No painel Hosted zone details, escolha Configure query logging.

  5. Escolha um grupo de logs existente ou crie um novo grupo de logs.

  6. Se você receber um alerta sobre permissões (isso acontece se você não tiver configurado o log de consultas com o novo console antes), siga um destes procedimentos:

    • Se já tiver dez políticas de recursos, você não poderá criar mais. Selecione qualquer uma das políticas de recursos e selecione Edit (Editar). A edição dará ao Route 53 permissões para gravar logs em seus grupos de logs. Escolha Salvar. O alerta desaparece e você pode continuar na próxima etapa.

    • Se você nunca tiver configurado o log de consultas antes (ou se ainda não tiver criado dez políticas de recursos), será necessário conceder permissões ao Route 53 para gravar logs em seus grupos do CloudWatch Logs. Escolha Grant permissions (Conceder permissões). O alerta desaparece e você pode continuar na próxima etapa.

  7. Escolha Permissions - opcional (Permissões - opcional) para ver uma tabela que mostra se a política de recursos corresponde ao grupo de logs do CloudWatch e se o Route 53 tem permissão para publicar logs no CloudWatch.

  8. Escolha Criar.

Uso do Amazon CloudWatch para acessar logs de consultas de DNS

O Amazon Route 53 envia logs de consultas diretamente ao CloudWatch Logs. Os logs nunca estão acessíveis para o Route 53. Em vez disso, você usa o CloudWatch Logs para visualizar logs quase em tempo real, para pesquisar e filtrar dados e para exportar logs para o Amazon S3.

O Route 53 cria um fluxo de logs do CloudWatch Logs para cada local da borda do Route 53 que responde às consultas de DNS da zona hospedada especificada e envia os logs de consultas ao fluxo de logs aplicável. O formato do nome de cada fluxo de log é hosted-zone-id/edge-location-ID, por exemplo, Z1D633PJN98FT9/DFW3.

Cada ponto de presença é identificado por um código de três letras e um número atribuído arbitrariamente, por exemplo, DFW3. O código de três letras normalmente corresponde ao código da Associação Internacional de Transportes Aéreos de um aeroporto perto do ponto de presença. (Essas abreviações podem mudar no futuro.) Para obter uma lista dos pontos de presença, consulte "A rede global do Route 53" na página Detalhes do produto Route 53.

nota

Pode ser que você veja alguns prefixos ou sufixos que não sigam a convenção acima. Esses atributos de codificação que são somente para uso interno.

Para obter mais informações, consulte a documentação aplicável:

Alterar o período de retenção para logs e exportar logs para o Amazon S3

Por padrão, o CloudWatch Logs armazena os logs de consulta indefinidamente. Como opção, você pode especificar um período de retenção para que o CloudWatch Logs exclua logs mais antigos que o período de retenção. Para obter mais informações, consulte Alterar retenção de dados de log no CloudWatch Logs no Manual do usuário do Amazon CloudWatch.

Se quiser reter os dados de log, mas não precisar das ferramentas do CloudWatch Logs para visualizar e analisar os dados, você poderá exportar os logs para o Amazon S3, o que pode reduzir seus custos de armazenamento. Para obter mais informações, consulte Como exportar dados de log para o Amazon S3.

Para obter informações sobre definição de preço, consulte a página de definição de preço aplicável:

nota

Quando você configura o Route 53 para registrar consultas de DNS, você não recebe cobranças do Route 53.

Interromper o registro de consultas em log

Se quiser que o Amazon Route 53 interrompa o envio de logs de consultas para o CloudWatch Logs, execute o procedimento a seguir para excluir a configuração do log de consultas.

Para excluir a configuração do registro em log de consultas

  1. Faça login no AWS Management Console e abra o console do Route 53 em https://console.aws.amazon.com/route53/.

  2. No painel de navegação, escolha Zonas hospedadas.

  3. Escolha o nome da zona hospedada da qual você quer excluir a configuração de log de consultas.

  4. No painel Hosted zone details (Detalhes da zona hospedada), escolha Configure query logging (Configurar log de consultas).

  5. Escolha Delete para confirmar.

Valores que aparecem em logs de consultas de DNS

Cada arquivo de log contém uma entrada de log para cada consulta de DNS recebida pelo Amazon Route 53 de resolvedores de DNS no local da borda correspondente. Cada entrada do log inclui os seguintes valores:

Versão do formato do log

O número da versão deste log de consulta. Se você adicionar campos ao log ou alterar o formato dos campos existentes, incrementaremos esse valor.

Timestamp da consulta

A data e a hora na qual o Route 53 respondeu à solicitação, no formato ISO 8601 e no Tempo Universal Coordenado (UTC), por exemplo, 2017-03-16T19:20:25.177Z.

Para obter informações sobre o formato ISO 8601, consulte o artigo ISO 8601 na Wikipédia. Para obter informações sobre UTC, consulte o artigo Tempo Universal Coordenado na Wikipédia.

ID da hosted zone

O ID da zona hospedada associada a todas as consultas DNS neste log.

Nome da consulta

O domínio ou o subdomínio que foi especificado na solicitação.

Tipo da consulta

O tipo de registro DNS que foi especificado na solicitação ou ANY. Para obter informações sobre os tipos com suporte do Route 53, consulte Tipos de registro de DNS com suporte.

Código de resposta

O código de resposta do DNS que o Route 53 retornou em resposta à consulta de DNS.

Protocolo da camada 4

O protocolo que foi usado para enviar a consulta, TCP ou UDP.

Local do borda do Route 53

O local da borda do Route 53 que respondeu à consulta. Cada ponto de presença é identificado por um código de três letras e um número arbitrário, por exemplo, DFW3. O código de três letras normalmente corresponde ao código da Associação Internacional de Transportes Aéreos de um aeroporto perto do ponto de presença. (Essas abreviações podem mudar no futuro.)

Para obter uma lista dos locais da borda, consulte “A rede global do Route 53” na página Route 53 Product Detail (Detalhes do produto Route 53).

Endereço IP do resolvedor

O endereço IP do resolvedor de DNS que enviou a solicitação ao Route 53.

Sub-rede do cliente EDNS

Um endereço IP parcial do cliente do qual a solicitação se originou, se disponível no resolvedor de DNS.

Para obter mais informações, consulte o rascunho do IETF Sub-rede de cliente em solicitações DNS.

Exemplo de log de consulta

Aqui está um exemplo de log de consulta (A região é um espaço reservado):

1.0 2017-12-13T08:16:02.130Z Z123412341234 example.com A NOERROR UDP Region 192.168.1.1 -
1.0 2017-12-13T08:15:50.235Z Z123412341234 example.com AAAA NOERROR TCP Region 192.168.3.1 192.168.222.0/24
1.0 2017-12-13T08:16:03.983Z Z123412341234 example.com ANY NOERROR UDP Region 2001:db8::1234 2001:db8:abcd::/48
1.0 2017-12-13T08:15:50.342Z Z123412341234 bad.example.com A NXDOMAIN UDP Region 192.168.3.1 192.168.111.0/24
1.0 2017-12-13T08:16:05.744Z Z123412341234 txt.example.com TXT NOERROR UDP Region 192.168.1.2 -