本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 DNS Firewall 的記錄
您可以使用 Amazon CloudWatch 指標和 Resolver 查詢日誌來評估 DNS 防火牆規則。日誌會提供所有警示和封鎖動作的網域清單名稱。如需 Amazon CloudWatch 的詳細資訊,請參閱 使用 Amazon CloudWatch 監控 Route 53 Resolver DNS 防火牆規則群組。
當您啟用 DNS Firewall 時,請將其與 VPC 建立關聯,而且您已啟用日誌中提供的 firewall_domain_list_id DNS Firewall 特定欄位、firewall_rule_action、 firewall_rule_group_id和 記錄。
注意
查詢日誌只會顯示 DNS 防火牆規則所封鎖查詢的其他 DNS 防火牆欄位。
若要開始記錄 DNS DNS防火牆規則篩選的 VPCs 查詢,請在 Amazon Route 53 主控台中執行下列任務:
設定 DNS Firewall 的 Resolver 查詢記錄
登入 AWS Management Console 並在 https://console.aws.amazon.com/route53/ 開啟 Route 53
主控台。 -
展開 Route 53 主控台選單。在主控台的左上角,選擇三個水平橫條 (
) 圖示。 -
在 Resolver 選單中,選擇 Query logging (查詢日誌記錄)。
-
在區域選取器中,選擇要 AWS 建立查詢記錄組態的區域。
這必須與您要記錄查詢的 VPCs 防火牆相關聯的 DNS 建立區域相同。如果您在多個區域中有 VPCs,您必須為每個區域建立至少一個查詢記錄組態。
-
選擇 Configure query logging (設定查詢日誌記錄)。
-
指定下列值:
- 查詢日誌記錄組態
-
輸入查詢日誌記錄組態的名稱。名稱會顯示在主控台中的查詢日誌記錄組態清單。輸入稍後可以協助您尋找此組態的名稱。
- 查詢日誌目的地
-
選擇您希望 Resolver 傳送查詢日誌 AWS 的資源類型。如需有關如何在選項 (CloudWatch Logs 日誌群組、S3 儲存貯體和 Firehose 交付串流) 之間選擇的資訊,請參閱 AWS 您可以將 Resolver 查詢日誌傳送至 的資源。
選擇資源類型後,您可以建立該類型的另一個資源,或選擇目前 AWS 帳戶建立的現有資源。
注意
您只能選擇在步驟 4 中選取的 AWS 區域中建立的資源,即您要建立查詢日誌記錄組態的區域。如果您選擇建立新資源,則會在相同的區域中建立該資源。
- 用來記錄 查詢的 VPCs
-
此查詢記錄組態將記錄源自您選擇的 DNS 的 VPCs 查詢。勾選您希望 Resolver 記錄查詢的目前區域中每個 VPC 的核取方塊,然後選擇選擇。
注意
針對特定目的地類型,只能啟用一次 VPC 日誌交付。日誌無法交付至相同類型的多個目的地。例如,VPC 日誌無法交付至兩個 Amazon S3 目的地。
-
選擇 Configure query logging (設定查詢日誌記錄)。
注意
您應該會在成功建立DNS查詢記錄組態的幾分鐘內,開始在日誌中查看 VPC 資源提出的 Word 查詢。
