AWS 您可以将 Resolver 查询日志发送到的资源 - Amazon Route 53

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 您可以将 Resolver 查询日志发送到的资源

注意

如果您希望记录每秒查询次数较高的工作负载的查询 (QPS),则应使用 Amazon S3 来确保您的查询日志在写入目标时不会受到限制。如果您使用 Amazon CloudWatch,则可以提高该PutLogEvents操作的每秒请求次数上限。要了解有关提高 CloudWatch 限制的更多信息,请参阅 Amazon CloudWatch 用户指南中的CloudWatch 日志配额

您可以将 Resolver 查询日志发送到以下 AWS 资源:

亚马逊 CloudWatch 日志(亚马逊 CloudWatch 日志)日志组

您可以使用 Logs Insights 来分析日志并创建指标与告警。

有关更多信息,请参阅 Amazon CloudWatch 日志用户指南

Amazon S3 (S3) 存储桶

S3 存储桶对于长期日志归档来说非常经济。延迟通常较高。

支持所有 S3 服务器端加密选项。有关更多信息,请参阅《Amazon S3 用户指南》中的使用服务器端加密保护数据

如果 S3 存储桶位于您拥有的账户中,则所需的权限会自动添加到您的存储桶策略中。如果要将日志发送到不属于您的账户中的 S3 存储桶,则 S3 存储桶的拥有者必须在其存储桶策略中为您的账户添加权限。例如:

{
    "Version": "2012-10-17",
    "Id": "CrossAccountAccess",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::your_bucket_name/AWSLogs/your_caller_account/*"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::your_bucket_name"
        },
         {
            "Effect": "Allow",
            "Principal": {
                "AWS": "iam_user_arn_or_account_number_for_root"
            },
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::your_bucket_name"
        }
    ]
}
注意

如果您想将日志存储在组织的中央 S3 存储桶中,我们建议您使用集中式账户(具有写入中央存储桶的必要权限)设置查询日志配置,并使用RAM该配置在账户之间共享配置。

有关更多信息,请参阅 Amazon Simple Storage Service 用户指南

Firehose 传输流

您可以将日志实时流式传输到亚马逊 OpenSearch 服务、Amazon Redshift 或其他应用程序。

有关更多信息,请参阅 Amazon Data Firehose 开发人员指南

有关 Resolver 查询日志的定价信息,请参阅 Amazon CloudWatch 定价

CloudWatch 使用解析器日志时,即使日志直接发布到 Amazon S3,也会收取销售日志费用。有关更多信息,请参阅按照 Amazon 定价的日志 CloudWatch 定价