本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为DNS防火墙配置日志
您可以使用 Amazon CloudWatch 指标和解析器查询日志来评估您的DNS防火墙规则。日志为所有提示和阻止操作提供域列表名称。有关 Amazon 的更多信息 CloudWatch,请参阅使用 Amazon 监控 Route 53 解析器DNS防火墙规则组 CloudWatch。
启用DNS防火墙后,将其关联到VPC,并且您启用了日志记录、firewall_rule_group_id、firewall_rule_action、和firewall_domain_list_id是日志中提供的DNS防火墙特定字段。
注意
查询日志将仅显示DNS防火墙规则阻止的查询的其他DNS防火墙字段。
要开始记录由您的DNSVPCs防火墙规则筛选的DNS查询,请在 Amazon Route 53 控制台中执行以下任务:
为防火墙配置解析器查询DNS日志
登录 AWS Management Console 并打开 Route 53 控制台,网址为https://console.aws.amazon.com/route53/
。 -
展开 Route 53 控制台菜单。在控制台的左上角,选择三个水平条 (
) 图标。 -
在 Resolver 菜单中,选择 Query logging(查询日志记录)。
-
在区域选择器中,选择要在其中创建查询日志配置的 AWS 区域。
该区域必须与您创建VPCs的与DNS防火墙关联且要记录查询的区域相同。如果您有VPCs多个区域,则必须为每个区域创建至少一个查询日志配置。
-
选择 Configure query logging(配置查询日志记录)。
-
指定以下值:
- 查询日志记录配置名称
-
为查询日志记录配置输入名称。名称会显示在控制台的查询日志配置列表中。输入名称将有助于以后查找此配置。
- 查询日志的目标保存位置
-
选择您希望 Resolver 向其发送查询日志的 AWS 资源类型。有关如何在选项(CloudWatch 日志组、S3 存储桶和 Firehose 传输流)中进行选择的信息,请参阅。AWS 可以向其发送解析器查询日志的资源
选择资源类型后,您可以创建该类型的另一个资源,也可以选择由当前 AWS 账户创建的现有资源。
注意
您只能选择在步骤 4 选择的 AWS 区域中创建的资源,也即您创建查询日志记录配置的区域。如果您选择创建新资源,则该资源将在同一区域创建。
- VPCs记录对的查询
-
此查询日志配置将记录源自您选择的VPCs的DNS查询。选中您希望 Resolver 记录查询的当前区域VPC中每个区域的复选框,然后选择 Choose。
注意
VPC只能为特定目标类型启用一次日志传输。日志无法传输到同一类型的多个目标。例如,无法将VPC日志传送到两个 Amazon S3 目的地。
-
选择 Configure query logging(配置查询日志记录)。
注意
在成功创建DNS查询日志配置后的几分钟内,您应该开始VPC在日志中看到您的资源所做的查询。
