本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
您可以使用 Amazon CloudWatch 指標和 Resolver 查詢日誌來評估 DNS 防火牆規則。日誌會提供所有警示和封鎖動作的網域清單名稱。如需有關 Amazon CloudWatch 的詳細資訊,請參閱 使用 Amazon CloudWatch 監控 Route 53 Resolver DNS 防火墻規則群組。
當您啟用 DNS 防火牆,將其與 VPC 建立關聯,並且已啟用記錄功能時,firewall_rule_group_id、firewall_rule_action 和 firewall_domain_list_id 是就是日誌中提供的 DNS 防火牆特定欄位。
注意
只有遭到 DNS 防火牆規則封鎖的查詢,查詢日誌才會顯示額外的 DNS 防火牆欄位。
若要開始記錄源自 VPC 的 DNS 防火牆規則篩選的 DNS 查詢,請在 Amazon Route 53 主控台中執行下列任務:
設定 DNS 防火牆的 Resolver 查詢日誌記錄
登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/route53/
開啟 Route 53 主控台。 -
展開 Route 53 主控台選單。在主控台的左上角,選擇三個水平橫條 (
) 圖示。 -
在 Resolver 選單中,選擇 Query logging (查詢日誌記錄)。
-
在區域選擇器中,選擇 AWS 您要建立查詢記錄組態的區域。
此區域必須等同於您在其中建立與 DNS 防火牆相關聯且想要記錄查詢的 VPC 的區域。如果您在多個區域擁有 VPC,務必為每個區域至少建立一項查詢日誌記錄組態。
-
選擇 Configure query logging (設定查詢日誌記錄)。
-
指定下列值:
- 查詢日誌記錄組態
-
輸入查詢日誌記錄組態的名稱。名稱會顯示在主控台中的查詢日誌記錄組態清單。輸入稍後可以協助您尋找此組態的名稱。
- 查詢日誌目的地
-
選擇您希望 Resolver 傳送查詢日誌 AWS 的資源類型。如需如何在選項之間選擇 (CloudWatch Logs 日誌群組、S3 儲存貯體和 Firehose 交付串流) 的詳細資訊,請參閱 AWS 您可以將 Resolver 查詢日誌傳送至 的 資源。
選擇資源類型後,您可以建立該類型的另一個資源,或選擇目前 AWS 帳戶建立的現有資源。
注意
您只能選擇在步驟 4 中選取的 AWS 區域中建立的資源,即您要建立查詢日誌記錄組態的區域。如果您選擇建立新資源,則會在相同的區域中建立該資源。
- 要記錄查詢的 VPC
-
此查詢日誌記錄組態會記錄源自所選擇之 VPC 的 DNS 查詢。核取您要 Resolver 記錄查詢的目前區域中每個 VPC 的核取方塊,然後選擇 選擇。
注意
針對特定目的地類型,只能啟用一次 VPC 日誌交付。日誌無法交付至相同類型的多個目的地。例如,VPC 日誌無法交付至兩個 Amazon S3 目的地。
-
選擇 Configure query logging (設定查詢日誌記錄)。
注意
您應該會在成功建立查詢日誌記錄組態後幾分鐘內開始看到由 VPC 資源進行的 DNS 查詢。
