本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 解析器 DNS 防火墙事件详细信息参考
来自 AWS 服务的所有事件都有一组公共字段,其中包含有关事件的元数据,例如作为事件来源的 AWS 服务、事件的生成时间、事件发生的账户和区域等。有关这些常规字段的定义,请参阅《Amazon EventBridge 用户指南》**中的[事件结构参考](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events-structure.html)。
此外,每个事件都有一个 `detail` 字段,其中包该特定事件专有的数据。下面的参考定义了各种 DNS Firewall 事件的详细信息字段。
使用 EventBridge 选择和管理 DNS 防火墙事件时,请记住以下几点:
+ 来自 DNS Firewall 的所有事件的 `source` 字段都设置为 `aws.route53resolver`。
+ `detail-type` 字段指定事件类型。
例如,`DNS Firewall Block` 或 `DNS Firewall Alert`。
+ `detail` 字段包含该特定事件专有的数据。
有关如何构造使规则能够匹配 DNS Firewall 事件的事件模式的信息,请参阅*《Amazon EventBridge 用户指南》*中的[事件模式](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html)。
有关事件及其 EventBridge 处理方式的更多信息,请参阅《*Amazon EventBridge 用户指南*》中的[Amazon EventBridge 事件](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html)。
**Topics**
+ [DNS Firewall 警报事件详细信息](#dns-firewall-alert)
+ [DNS Firewall 阻止事件详细信息](#dns-firewall-block)
## DNS Firewall 警报事件详细信息
以下是警报状态事件的详细信息字段。
之所以包含 `source` 和 `detail-type` 字段,是因为其包含 Route 53 事件的特定值。
```
{...,
"detail-type": "DNS Firewall Alert",
"source": "aws.route53resolver",
...,
"detail": {
"account-id": "string",
"last-observed-at": "string",
"query-name": "string",
"query-type": "string",
"query-class": "string",
"transport": "string",
"firewall-rule-action": "string",
"firewall-rule-group-id": "string",
"firewall-domain-list-id": "string",
"firewall-protection": "string",
"resources": [{
"resource-type": "string",
"instance-details": {
"id": "string",
}
},
{
"resource-type": "string",
"resolver-endpoint-details": {
"id": "string"
}
}
]
```
`detail-type`
标识事件的类型。
对于这一事件,此值为 `DNS Firewall Alert`。
`source`
标识生成事件的服务。对于 DNS Firewall 事件,此值为 `aws.route53resolver`。
`detail`
包含关于事件信息的 JSON 对象。生成事件的服务决定该字段的内容。
对于此事件,此数据包括:
`account-id`
创建 VPC 的 ID。 AWS 账户
`last-observed-at`
在 VPC 中进行 Alert/Block 查询的时间戳。
`query-name`
查询中指定的域名 (example.com) 或子域名 (www.example.com)。
`query-type`
在请求中指定的 DNS 记录类型,或 ANY。有关 Route 53 支持的类型的信息,请参阅 [支持的 DNS 记录类型](ResourceRecordTypes.md)。
`query-class`
查询的类。
`transport`
用于提交 DNS 查询的协议。
`firewall-rule-action`
查询中与域名匹配的规则指定的操作。`ALERT` 或 `BLOCK`。
`firewall-rule-group-id`
查询中与域名匹配的 DNS Firewall 规则组 ID。有关防火墙规则组更多信息,请参阅 DNS Firewall [DNS Firewall 规则组和规则](resolver-dns-firewall-rule-groups.md)。
`firewall-domain-list-id`
查询中与域名匹配的规则使用的域列表。
`firewall-protection`
DNS 防火墙高级保护:DGA、DICTIONARY\$1DGA 或 DNS\$1TUNNELING。有关更多信息,请参阅 DNS Firewall [解析器 DNS 防火墙高级](firewall-advanced.md)。
`resourcese`
包含资源类型以及与其有关的其他详细信息。
`resource-type`
指定资源类型,例如解析程序端点或 VPC 实例。
`resource-type-detail`
有关该资源的其他详细信息。
**Example DNS Firewall 警报事件**
以下是示例警报事件。
```
{
"version": "1.0",
"id": "8e5622f9-d81c-4d81-612a-9319e7ee2506",
"detail-type": "DNS Firewall Alert",
"source": "aws.route53resolver",
"account": "123456789012",
"time": "2023-05-30T21:52:17Z",
"region": "us-west-2",
"resources": [],
"detail": {
"account-id": "123456789012",
"last-observed-at": "2023-05-30T20:15:15.900Z",
"query-name": "15.3.4.32.in-addr.arpa.",
"query-type": "A",
"query-class": "IN",
"transport": "UDP",
"firewall-rule-action": "ALERT",
"firewall-rule-group-id": "rslvr-frg-01234567890abcdef",
"firewall-domain-list-id": "rslvr-fdl-01234567890abcdef",
"firewall-protection": "DGA",
"resources": [{
"resource-type": "instance",
"instance-details": {
"id": "i-05746eb48123455e0",
}
},
{
"resource-type": "resolver-endpoint",
"resolver-endpoint-details": {
"id": "i-05746eb48123455e0"
}
}
],
"src-addr": "4.5.64.102",
"src-port": "56067",
"vpc-id": "vpc-7example"
}
}
```
## DNS Firewall 阻止事件详细信息
以下是的详细信息字段*event name*。
之所以包含 `source` 和 `detail-type` 字段,是因为其包含 Route 53 事件的特定值。
```
{...,
"detail-type": "DNS Firewall Block",
"source": "aws.route53resolver",
...,
"detail": {
"account-id": "string",
"last-observed-at": "string",
"query-name": "string",
"query-type": "string",
"query-class": "string",
"transport": "string",
"firewall-rule-action": "string",
"firewall-rule-group-id": "string",
"firewall-domain-list-id": "string",
"firewall-protection": "string",
"resources": [{
"resource-type": "string",
"instance-details": {
"id": "string",
}
},
{
"resource-type": "string",
"resolver-endpoint-details": {
"id": "string"
}
}
]
```
`detail-type`
标识事件的类型。
对于这一事件,此值为 `DNS Firewall Alert`。
`source`
标识生成事件的服务。对于 DNS Firewall 事件,此值为 `aws.route53resolver`。
`detail`
包含关于事件信息的 JSON 对象。生成事件的服务决定该字段的内容。
对于此事件,此数据包括:
`account-id`
创建 VPC 的 ID。 AWS 账户
`last-observed-at`
在 VPC 中进行 Alert/Block 查询的时间戳。
`query-name`
查询中指定的域名 (example.com) 或子域名 (www.example.com)。
`query-type`
在请求中指定的 DNS 记录类型,或 ANY。有关 Route 53 支持的类型的信息,请参阅 [支持的 DNS 记录类型](ResourceRecordTypes.md)。
`query-class`
查询的类。
`transport`
用于提交 DNS 查询的协议。
`firewall-rule-action`
查询中与域名匹配的规则指定的操作。`ALERT` 或 `BLOCK`。
`firewall-rule-group-id`
查询中与域名匹配的 DNS Firewall 规则组 ID。有关防火墙规则组更多信息,请参阅 DNS Firewall [DNS Firewall 规则组和规则](resolver-dns-firewall-rule-groups.md)。
`firewall-domain-list-id`
查询中与域名匹配的规则使用的域列表。
`firewall-protection`
DNS 防火墙高级保护:DGA、DICTIONARY\$1DGA 或 DNS\$1TUNNELING。有关更多信息,请参阅 DNS Firewall [解析器 DNS 防火墙高级](firewall-advanced.md)。
`resourcese`
包含资源类型以及与其有关的其他详细信息。
`resource-type`
指定资源类型,例如解析程序端点或 VPC 实例。
`resource-type-detail`
有关该资源的其他详细信息。
**Example 事件示例**
以下是示例阻止事件。
```
{
"version": "1.0",
"id": "8e5622f9-d81c-4d81-612a-9319e7ee2506",
"detail-type": "DNS Firewall Block",
"source": "aws.route53resolver",
"account": "123456789012",
"time": "2023-05-30T21:52:17Z",
"region": "us-west-2",
"resources": [],
"detail": {
"account-id": "123456789012",
"last-observed-at": "2023-05-30T20:15:15.900Z",
"query-name": "15.3.4.32.in-addr.arpa.",
"query-type": "A",
"query-class": "IN",
"transport": "UDP",
"firewall-rule-action": "BLOCK",
"firewall-rule-group-id": "rslvr-frg-01234567890abcdef",
"firewall-domain-list-id": "rslvr-fdl-01234567890abcdef",
"firewall-protection": "DNS_TUNNELING",
"resources": [{
"resource-type": "instance",
"instance-details": {
"id": "i-05746eb48123455e0"
}
},
{
"resource-type": "resolver-endpoint",
"resolver-endpoint-details": {
"id": "i-05746eb48123455e0",
}
}
],
"src-addr": "4.5.64.102",
"src-port": "56067",
"vpc-id": "vpc-7example"
}
}
```