As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Log de consultas do Resolver
Você pode registrar as seguintes consultas ao DNS em log:
+ Consultas que se originam na Amazon Virtual Private Cloud VPCs que você especifica, bem como as respostas a essas consultas de DNS.
+ Consultas de recursos on-premises que usam um endpoint do Resolver de entrada.
+ Consultas que usam um endpoint do Resolver de saída para resolução de DNS recursiva.
+ Consultas que usam as regras do Resolver DNS Firewall para bloquear, permitir ou monitorar listas de domínios.
Os registros de consulta do VPC Resolver incluem valores como os seguintes:
+ A AWS região em que o VPC foi criado
+ O ID da VPC da qual a consulta se originou
+ O endereço IP da instância da qual a consulta se originou
+ O ID da instância do recurso do qual a consulta se originou
+ Data e hora em que a consulta foi feita pela primeira vez
+ O nome DNS solicitado (como, prod.example.com)
+ O tipo de registro DNS (como A ou AAAA)
+ O código de resposta DNS, como, por exemplo, `NoError` ou `ServFail`
+ Os dados de resposta do DNS, como o endereço IP que é retornado em resposta à consulta de DNS
+ Uma resposta a uma ação de regra do Firewall DNS
Para obter uma lista detalhada de todos os valores registrados e um exemplo, consulte [Valores que aparecem nos registros de consulta do VPC Resolver](resolver-query-logs-format.md).
**nota**
Como é padrão para resolvedores de DNS, os resolvedores armazenam em cache as consultas de DNS por um período determinado pelo time-to-live (TTL) do resolvedor. O Resolvedor de VPC do Route 53 armazena em cache as consultas que se originam em você VPCs e responde do cache sempre que possível para acelerar as respostas. O registro de consultas do VPC Resolver registra somente consultas exclusivas, não consultas às quais o VPC Resolver é capaz de responder a partir do cache.
Por exemplo, suponha que uma instância do EC2 em uma das VPCs configurações de registro de consultas esteja registrando consultas envie uma solicitação para accounting.example.com. O VPC Resolver armazena em cache a resposta a essa consulta e registra a consulta. Se a interface de rede elástica da mesma instância fizer uma consulta para accounting.example.com dentro do TTL do cache do VPC Resolver, o VPC Resolver responderá à consulta do cache. A segunda consulta não é registrada.
Você pode enviar os registros para um dos seguintes AWS recursos:
+ Grupo de CloudWatch registros Amazon CloudWatch Logs (Logs)
+ Bucket do Amazon S3 (S3)
+ Fluxo de entrega do Firehose
Para obter mais informações, consulte [AWS recursos para os quais você pode enviar registros de consulta do VPC Resolver](resolver-query-logs-choosing-target-resource.md).
**Topics**
+ [AWS recursos para os quais você pode enviar registros de consulta do VPC Resolver](resolver-query-logs-choosing-target-resource.md)
+ [Como gerenciar configurações de log de consultas do Resolver](resolver-query-logging-configurations-managing.md)
# AWS recursos para os quais você pode enviar registros de consulta do VPC Resolver
**nota**
Se você pretende registrar consultas para workloads com altas consultas por segundo (QPS), use o Amazon S3 para garantir que seus logs de consultas não sejam limitados quando gravados em seu destino. Se você usa a Amazon CloudWatch, pode aumentar o limite de solicitações por segundo para a `PutLogEvents` operação. Para saber mais sobre como aumentar seus CloudWatch limites, consulte [CloudWatch Registrar cotas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html) no *Guia do CloudWatch usuário da Amazon*.
Você pode enviar registros de consulta do VPC Resolver para os seguintes recursos: AWS
**Grupo de CloudWatch registros Amazon CloudWatch Logs (Amazon Logs)**
Você pode analisar logs com o Logs Insights e criar métricas e alarmes.
Para obter mais informações, consulte o [Guia do usuário do Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).
**Bucket do Amazon S3 (S3)**
Um bucket do S3 é econômico para arquivamento de logs em longo prazo. A latência geralmente é maior.
Todas as opções de criptografia do lado do servidor do S3 são compatíveis. Para obter mais informações, consulte [Proteger os dados usando criptografia do lado do servidor](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) no *Guia do usuário do Amazon S3*.
Se você escolher a criptografia do lado do servidor com AWS KMS chaves (SSE-KMS), deverá atualizar a política de chaves da sua chave gerenciada pelo cliente para que a conta de entrega de logs possa gravar no seu bucket do Amazon S3. *Para obter mais informações sobre a política de chaves necessária para uso com o SSE-KMS, consulte Criptografia do [lado do servidor do bucket Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-infrastructure-V2-S3.html#AWS-logs-SSE-KMS-S3-V2) no Guia do usuário da Amazon. CloudWatch *
Se o bucket do S3 estiver em uma conta que você possui, as permissões necessárias serão adicionadas automaticamente à sua política de bucket. Se você quiser enviar logs para um bucket do S3 em uma conta que você não possui, o proprietário do bucket do S3 deverá adicionar permissões para sua conta em sua política de bucket. Por exemplo:
****
```
{
"Version":"2012-10-17",
"Id": "CrossAccountAccess",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::your_bucket_name/AWSLogs/your_caller_account/*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::your_bucket_name"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "iam_user_arn_or_account_number_for_root"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::your_bucket_name"
}
]
}
```
Se você quiser armazenar logs em um bucket do S3 central para sua organização, recomendamos que você configure sua configuração de log de consultas a partir de uma conta centralizada (com as permissões necessárias para gravar em um bucket central) e use a [RAM](query-logging-configurations-managing-sharing.md) para compartilhar a configuração entre contas.
Para obter mais detalhes, consulte o [Manual do usuário do Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/).
**Fluxo de entrega do Firehose**
Você pode transmitir logs em tempo real para o Amazon OpenSearch Service, o Amazon Redshift ou outros aplicativos.
Para obter mais informações, consulte o [Guia do desenvolvedor do Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/).
Para obter informações sobre os preços do registro de consultas do Resolver, consulte os [ CloudWatch preços da Amazon](https://aws.amazon.com/cloudwatch/pricing/).
CloudWatch As cobranças do Vended Logs se aplicam ao usar os registros do VPC Resolver, mesmo quando os registros são publicados diretamente no Amazon S3. Para obter mais informações, consulte [*Preços de registros* nos CloudWatch preços da Amazon](https://aws.amazon.com//cloudwatch/pricing/#Vended_Logs).
# Como gerenciar configurações de log de consultas do Resolver
## Configuração (registro de consultas do VPC Resolver)
Você pode configurar o registro de consultas do VPC Resolver de duas maneiras:
+ **Associação direta de VPC** — associe-se VPCs diretamente a uma configuração de registro de consultas.
+ **Associação de perfil** - Associe uma configuração de registro de consultas a um perfil do Route 53, que aplica o registro a todos os VPCs associados a esse perfil. Para obter mais informações, consulte [Associe as configurações de registro de consultas do VPC Resolver a um perfil do Route 53](profile-associate-query-logging.md).
Para começar a registrar consultas de DNS que se originam em você VPCs, você executa as seguintes tarefas no console do Amazon Route 53:
**Para configurar o log de consultas do Resolver**
1. Faça login no Console de gerenciamento da AWS e abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Expanda o menu do console do Route 53. No canto superior esquerdo do console, escolha o ícone de três barras horizontais (![\[Menu icon\]](http://docs.aws.amazon.com/pt_br/Route53/latest/DeveloperGuide/images/menu-icon.png)).
1. No menu Resolver, escolha **Query logging** (Log de consultas).
1. No seletor de região, escolha a AWS região em que você deseja criar a configuração de registro de consultas. Essa deve ser a mesma região em VPCs que você criou as consultas de DNS para as quais deseja registrar. Se você tiver VPCs em várias regiões, deverá criar pelo menos uma configuração de registro de consultas para cada região.
1. Escolha **Configure query logging** (Configurar log de consultas).
1. Especifique os seguintes valores:
**Nome da configuração do log de consultas**
Insira um nome para sua configuração do log de consultas. O nome é exibido no console na lista de configurações do log de consultas. Insira um nome que o ajudará a encontrar essa configuração posteriormente.
**Destino dos logs de consulta**
Escolha o tipo de AWS recurso para o qual você deseja que o VPC Resolver envie registros de consulta. Para obter informações sobre como escolher entre as opções (grupo de CloudWatch registros de registros, bucket do S3 e stream de entrega do Firehose), consulte. [AWS recursos para os quais você pode enviar registros de consulta do VPC Resolver](resolver-query-logs-choosing-target-resource.md)
Depois de escolher o tipo de recurso, você pode criar outro recurso desse tipo ou escolher um recurso existente criado pela AWS conta atual.
Você pode escolher somente recursos criados na caixa de diálogo região da AWS escolhida na etapa 4, a região onde você está criando a configuração de log de consultas. Se você optar por criar um novo recurso, esse recurso será criado na mesma região.
**VPCs para registrar consultas para**
Essa configuração de registro de consultas registrará as consultas DNS originadas no VPCs que você escolher. **Marque a caixa de seleção de cada VPC na região atual para a qual você deseja que o VPC Resolver registre consultas e escolha Escolher.**
**Alternativa**: em vez de associar VPCs diretamente, você pode associar essa configuração de registro de consultas a um perfil do Route 53, que aplicará o registro a todos os VPCs associados a esse perfil. Para obter mais informações, consulte [Associe as configurações de registro de consultas do VPC Resolver a um perfil do Route 53](profile-associate-query-logging.md).
A entrega de log da VPC pode ser habilitada apenas uma vez para um tipo de destino específico. Os logs não podem ser entregues a vários destinos do mesmo tipo, por exemplo, os logs da VPC não podem ser entregues a dois destinos do Amazon S3.
1. Escolha **Configure query logging** (Configurar log de consultas).
**nota**
Você deve começar a ver consultas de DNS feitas por recursos em sua VPC nos logs em alguns minutos após a criação bem-sucedida da configuração do log de consultas.
# Valores que aparecem nos registros de consulta do VPC Resolver
Cada arquivo de log contém uma entrada de log para cada consulta de DNS recebida pelo Amazon Route 53 de resolvedores de DNS no local da borda correspondente. Cada entrada do log inclui os seguintes valores:
**version**
O número da versão do formato do log de consulta. A versão atual é `1.1`.
O valor da chave é uma versão principal e secundária no formulário **major\$1version.minor\$1version**. Por exemplo, você pode ter um valor de `version` de `1.7`, onde `1 ` é a versão principal, e `7` é a versão secundária.
O Route 53 incrementa a versão principal, se uma alteração for feita para a estrutura do log que não é compatível com as versões anteriores. Isso inclui a remoção de um campo JSON que já está presente ou a alteração de como os conteúdos de um campo são representados (por exemplo, um formato de data).
O Route 53 incrementa a versão secundária se uma alteração adicionar novos campos ao arquivo de log. Isso pode ocorrer se novas informações estiverem disponíveis para algumas ou todas as consultas DNS existentes em uma VPC.
**account\$1id**
O ID da AWS conta que criou a VPC.
**region**
A AWS região na qual você criou a VPC.
**vpc\$1id**
O ID da VPC na qual a consulta se originou.
**query\$1timestamp**
A data e a hora em que a consulta foi submetida, no formato ISO 8601 e no Tempo Universal Coordenado (UTC), por exemplo, `2017-03-16T19:20:177Z`.
Para obter informações sobre o formato ISO 8601, consulte o artigo [ISO 8601](https://en.wikipedia.org/wiki/ISO_8601) na Wikipédia. Para obter informações sobre UTC, consulte o artigo [Tempo Universal Coordenado](https://en.wikipedia.org/wiki/Coordinated_Universal_Time) na Wikipédia.
**query\$1name**
O nome de domínio (example.com) ou de subdomínio (www.example.com) especificado na consulta.
**query\$1type**
O tipo de registro DNS que foi especificado na solicitação ou `ANY`. Para obter informações sobre os tipos com suporte do Route 53, consulte [Tipos de registro de DNS com suporte](ResourceRecordTypes.md).
**query\$1class**
A classe da consulta.
**rcode**
O código de resposta DNS que o VPC Resolver retornou em resposta à consulta de DNS. Um código de resposta que indica se a consulta foi válida ou não. O código de resposta mais comum é `NOERROR` e indica que a consulta foi válida. Se a resposta não for válida, o Resolver retornará um código de resposta que explica o motivo. Para obter uma lista de possíveis códigos de resposta, consulte [DNS RCODEs](https://www.iana.org/assignments/dns-parameters/dns-parameters.xhtml#dns-parameters-6) no site da IANA.
**responder\$1type**
O tipo de registro DNS (como A, MX ou CNAME) do valor que o VPC Resolver está retornando em resposta à consulta. Para obter informações sobre os tipos com suporte do Route 53, consulte [Tipos de registro de DNS com suporte](ResourceRecordTypes.md).
**rdata**
O valor que o VPC Resolver retornou em resposta à consulta. Por exemplo, para um registro A, esse é um endereço IP em IPv4 formato. Para um registro CNAME, este é o nome de domínio no registro CNAME.
**answer\$1class**
A classe da resposta do VPC Resolver à consulta.
**srcaddr**
Endereço IP do host que originou a consulta.
**srcport**
A porta na instância na qual a consulta se originou.
**transport**
O protocolo usado para enviar a consulta de DNS.
**srcids**
IDs do`instance`,`resolver_endpoint`, e do `resolver_network_interface` qual a consulta DNS se originou ou foi transmitida.
**instância**
O ID da instância da qual a consulta se originou.
Se você ver uma ID de instância nos registros de consulta do Route 53 VPC Resolver que não está visível em sua conta, talvez seja porque a consulta de DNS foi originada do AWS Lambda Amazon EKS AWS CloudShell ou do console Fargate, que foi usado por você.
**resolver\$1endpoint**
O ID do endpoint do resolvedor que passa a consulta de DNS para servidores DNS on-premises.
Se você tiver registros CNAME que se encadeiam em diferentes regras de encaminhamento usando diferentes endpoints do resolvedor, os logs de consulta mostrarão somente o ID do último endpoint do resolvedor usado na cadeia. Para rastrear o caminho completo da resolução por meio de vários endpoints, você pode correlacionar logs em diferentes configurações de registro em log de consultas.
**firewall\$1rule\$1group\$1id**
O ID do grupo de regras do Firewall DNS que correspondeu ao nome de domínio na consulta. Esta opção é preenchida somente se o Firewall DNS encontrar uma correspondência para uma regra com a ação definida como alerta ou bloqueio.
Para obter mais informações sobre grupos de regras de firewall, consulte [Regras e grupos de regras do Firewall DNS](resolver-dns-firewall-rule-groups.md).
**firewall\$1rule\$1action**
A ação especificada pela regra que correspondeu ao nome de domínio na consulta. Esta opção é preenchida somente se o Firewall DNS encontrar uma correspondência para uma regra com a ação definida como alerta ou bloqueio.
**firewall\$1domain\$1list\$1id**
A lista de domínios usada pela regra que correspondeu ao nome de domínio na consulta. Esta opção é preenchida somente se o Firewall DNS encontrar uma correspondência para uma regra com a ação definida como alerta ou bloqueio.
**propriedades\$1adicionais**
Informações adicionais sobre os eventos de entrega de log. **is\$1delayed**: se houver um atraso na entrega dos logs.
# Exemplo de registro de consultas do Route 53 VPC Resolver
Aqui está um exemplo de log de consultas do Resolver:
```
{
"srcaddr": "4.5.64.102",
"vpc_id": "vpc-7example",
"answers": [
{
"Rdata": "203.0.113.9",
"Type": "PTR",
"Class": "IN"
}
],
"firewall_rule_group_id": "rslvr-frg-01234567890abcdef",
"firewall_rule_action": "BLOCK",
"query_name": "15.3.4.32.in-addr.arpa.",
"firewall_domain_list_id": "rslvr-fdl-01234567890abcdef",
"query_class": "IN",
"srcids": {
"instance": "i-0d15cd0d3example"
},
"rcode": "NOERROR",
"query_type": "PTR",
"transport": "UDP",
"version": "1.100000",
"account_id": "111122223333",
"srcport": "56067",
"query_timestamp": "2021-02-04T17:51:55Z",
"region": "us-east-1"
}
```
# Compartilhando configurações de registro de consultas do Resolver com outras contas AWS
Você pode compartilhar as configurações de registro de consultas que você criou usando uma AWS conta com outras AWS contas. Para compartilhar configurações, o console do Route 53 VPC Resolver se integra ao Resource Access AWS Manager. Para obter mais informações sobre o Resource Access Manager, consulte o [Guia do usuário do Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).
Observe o seguinte:
**Associando-se a configurações VPCs de registro de consultas compartilhadas**
Se outra AWS conta tiver compartilhado uma ou mais configurações com sua conta, você poderá VPCs associar à configuração da mesma forma que VPCs associa às configurações que criou.
**Como excluir ou cancelar o compartilhamento de uma configuração**
Se você compartilhar uma configuração com outras contas e, em seguida, excluir a configuração ou parar de compartilhá-la, e se uma ou mais VPCs estiverem associadas à configuração, o Route 53 VPC Resolver interromperá o registro de consultas DNS originadas nessas contas. VPCs
**Número máximo de configurações de registro de consultas e VPCs que podem ser associadas a uma configuração**
Quando uma conta cria uma configuração e a compartilha com uma ou mais outras contas, o número máximo VPCs que pode ser associado à configuração é aplicado por conta. Por exemplo, se você tiver 10.000 contas em sua organização, poderá criar a configuração de registro de consultas na conta central e compartilhá-la via AWS RAM para compartilhá-la com as contas da organização. As contas da organização então associarão a configuração à VPCs contagem delas em relação às associações VPC da configuração do log de consulta da conta (VPC) por Região da AWS limite de 100. No entanto, se todos VPCs estiverem em uma única conta, talvez seja necessário aumentar os limites de serviço da conta.
Para as cotas atuais do VPC Resolver, consulte. [Cotas no Route 53 VPC Resolver](DNSLimitations.md#limits-api-entities-resolver)
**Permissões**
Para compartilhar uma regra com outra AWS conta, você precisa ter permissão para usar a [PutResolverQueryLogConfigPolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutResolverQueryLogConfigPolicy.html)ação.
**Restrições na AWS conta com a qual uma regra é compartilhada**
A conta com a qual uma regra é compartilhada não pode alterar ou excluir a regra.
**Tags**
Somente a conta que criou uma regra pode adicionar, excluir ou consultar tags na regra.
Para visualizar o status de compartilhamento atual de uma regra (incluindo a conta que compartilhou a regra ou a conta com a qual uma regra é compartilhada) e para compartilhar regras com outra conta, realize o procedimento a seguir.
**Para ver o status de compartilhamento e compartilhar configurações de registro de consultas com outra AWS conta**
1. Faça login no Console de gerenciamento da AWS e abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. No painel de navegação, escolha **Query Logging** (Log de consultas).
1. Na barra de navegação, escolha a Região onde a regra foi criada.
A coluna **Sharing status (Status de compartilhamento)** mostra o status de compartilhamento atual das regras criadas pela conta atual ou que foram compartilhadas com a conta atual:
+ **Não compartilhada**: a AWS conta atual criou a regra e a regra não é compartilhada com nenhuma outra conta.
+ **Shared by me (Compartilhada por mim)**: a conta atual criou a regra e compartilhou com uma ou mais contas.
+ **Shared with me (Compartilhada comigo)**: outra conta criou a regra e compartilhou com a conta atual.
1. Escolha o nome da regra para a qual deseja exibir informações de compartilhamento ou que deseja compartilhar com outra conta.
Na *rule name* página **Regra:**, o valor em **Proprietário** exibe a ID da conta que criou a regra. Essa é a conta atual, a menos que o valor do **Sharing status (Status de compartilhamento)** seja **Shared with me (Compartilhada comigo)**. Neste caso, **Owner (Proprietário)** é a conta que criou a regra e compartilhou com a conta atual.
O status de compartilhamento também é exibido.
1. Escolha **Compartilhar configuração** para abrir o AWS RAM console
1. Para criar um compartilhamento de recursos, siga as etapas em [Creating a resource share in AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) no *AWS RAM User Guide*.
**nota**
Não é possível atualizar as configurações de compartilhamento. Se quiser alterar qualquer uma das configurações a seguir, é necessário compartilhar a regra novamente com as novas configurações e, em seguida, remover as configurações de compartilhamento antigas.