本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 監控 Amazon Route 53
監控是維護 AWS 解決方案可靠性、可用性和效能的重要部分。您應該從 AWS 解決方案的所有部分收集監控資料,以便在發生多點失敗時更輕鬆地偵錯。不過,在開始監控之前,您應該建立監控計劃,在其中回答下列問題:
+ 監控目標是什麼?
+ 要監控哪些資源?
+ 監控這些資源的頻率為何?
+ 要使用哪些監控工具?
+ 誰將執行監控任務?
+ 發生問題時應該通知誰?
**Topics**
+ [公有 DNS 查詢日誌記錄](query-logs.md)
+ [解析程式查詢日誌記錄](resolver-query-logs.md)
+ [監控網域註冊](monitoring-domain-registrations.md)
+ [使用 Amazon Route 53 運作狀態檢查和 Amazon CloudWatch 來監控您的資源](monitoring-cloudwatch.md)
+ [使用 Amazon CloudWatch 監控託管區域](monitoring-hosted-zones-with-cloudwatch.md)
+ [使用 Amazon CloudWatch 監控 Route 53 VPC Resolver 端點 Amazon CloudWatch](monitoring-resolver-with-cloudwatch.md)
+ [使用 Amazon CloudWatch 監控解析程式 DNS 防火牆規則群組](monitoring-resolver-dns-firewall-with-cloudwatch.md)
+ [使用 管理解析程式 DNS 防火牆事件 Amazon EventBridge](dns-firewall-eventbridge-integration.md)
+ [使用 記錄 Amazon Route 53 API 呼叫 AWS CloudTrail](logging-using-cloudtrail.md)
# 公有 DNS 查詢日誌記錄
您可以將 Amazon Route 53 設定為記錄 Route 53 接收到的公有 DNS 查詢相關資訊,例如:
+ 請求的網域或子網域
+ 請求的日期和時間
+ DNS 記錄類型 (例如 A 或 AAAA)
+ 回應 DNS 查詢的 Route 53 節點
+ DNS 回答代碼,例如 `NoError` 或 `ServFail`
設定查詢日誌記錄之後,Route 53 便會開始傳送日誌到 CloudWatch Logs。您使用 CloudWatch Logs 工具存取查詢日誌。
查詢日誌僅包含 DNS 解析程式傳送至 Route 53 的查詢。如果 DNS 解析程式已快取對查詢的回應 (例如 example.com 負載平衡器的 IP 地址),解析程式將繼續傳回快取的回應,而不會將查詢傳送至 Route 53,直到對應記錄的 TTL 過期為止。
根據為網域名稱 (example.com) 或子網域名稱 (www.example.com) 提交的 DNS 查詢數量、使用者正在使用的解析程式,以及記錄的 TTL,查詢日誌可能只包含提交到 DNS 解析程式的數千個查詢中的一個查詢的資訊。如需 DNS 運作方式的詳細資訊,請參閱 [如何將網際網路流量路由到您的網站或 Web 應用程式](welcome-dns-service.md)。
如果您不需要詳細記錄資訊,您可以使用 Amazon CloudWatch 指標來查看 Route 53 回應託管區域的 DNS 查詢總數。如需詳細資訊,請參閱[檢視公有託管區域的 DNS 查詢指標](hosted-zone-public-viewing-query-metrics.md)。
**Topics**
+ [為 DNS 查詢設定日誌記錄](#query-logs-configuring)
+ [使用 Amazon CloudWatch 存取 DNS 查詢日誌](#query-logs-viewing)
+ [變更日誌的保留期間並將日誌匯出到 Amazon S3](#query-logs-changing-retention-period)
+ [停止查詢日誌記錄](#query-logs-deleting-configuration)
+ [出現在 DNS 查詢日誌中的值](#query-logs-format)
+ [查詢日誌範例](#query-logs-example)
## 為 DNS 查詢設定日誌記錄
若要開始記錄指定託管區域的 DNS 查詢,您需要在 Amazon Route 53 主控台執行下列任務:
+ 選擇您希望 Route 53 將日誌發佈到的 CloudWatch Logs 日誌群組,或建立新的日誌群組。
**注意**
日誌群組必須位於美國東部 (維吉尼亞北部)區域。
+ 選擇 **Create ** (建立政策) 以完成操作。
**注意**
如果使用者正在提交對您網域的 DNS 查詢,您應該會在建立查詢日誌記錄組態後數分鐘內開始看到日誌中的查詢。
**若要為 DNS 查詢設定日誌記錄**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在導覽窗格中,選擇 **Hosted zones (託管區域)**。
1. 選擇您要為其設定查詢日誌記錄的託管區域。
1. 在 **Hosted zone details (託管區域詳細資訊)** 窗格中,選擇 **Configure query logging (設定查詢記錄)**。
1. 選擇現有的日誌群組,或建立新的日誌群組。
1. 如果您收到有關許可的提醒 (如果您之前尚未使用新主控台設定查詢日誌記錄,就會發生這種情況),請執行下列其中一項動作:
+ 如果您已經有 10 個資源政策,則無法再建立任何資源政策。選取任何資源政策,然後選取 **Edit (編輯)**。編輯會授予 Route 53 許可,將日誌寫入日誌群組。選擇**儲存**。提醒會消失,您可以繼續下一個步驟。
+ 如果您之前從未設定查詢日誌記錄 (或者您尚未建立 10 個資源政策),則需要授予 Route 53 許可,才能將日誌記錄寫入 CloudWatch Logs 群組。選擇 **授予許可**。提醒會消失,您可以繼續下一個步驟。
1. 選擇 **Permissions - optional (許可-選用)** 以檢視表格,其中顯示資源政策是否符合 CloudWatch Log 群組,以及 Route 53 是否具有將日誌發佈至 CloudWatch 的許可。
1. 選擇**建立**。
## 使用 Amazon CloudWatch 存取 DNS 查詢日誌
Amazon Route 53 會直接將查詢日誌傳送至 CloudWatch Logs;日誌絕不可透過 Route 53 存取。相反,使用 CloudWatch Logs 以近乎即時的方式檢視日誌、搜尋和篩選資料,以及將日誌匯出至 Amazon S3。
Route 53 會為每個對指定託管區域的 DNS 查詢做出回應的 Route 53 節點建立一個 CloudWatch Logs 日誌串流,並將查詢日誌傳送至適用的日誌串流。每個日誌串流的格式是 *hosted-zone-id*/*edge-location-ID*,例如 `Z1D633PJN98FT9/DFW3`。
一個三字母代碼和任意指派的數字辨識每一節點,例如 DFW3。三字母代碼通常對應於節點附近機場的國際航空運輸協會機場代碼。(未來這些縮寫可能會改變。) 如需節點清單,請參閱 [Route 53 產品詳細資訊](https://aws.amazon.com/route53/details/)上的「Route 53 全球網路」。
**注意**
您可能會看到一些字首或尾碼不符合上述慣例。這些編碼屬性僅供內部使用。
如需詳細資訊,請參閱適用的文件:
+ [Amazon CloudWatch Logs 使用者指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)
+ [Amazon CloudWatch Logs API 參考](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/)
+ [AWS CLI 命令參考的 CloudWatch Logs 區段](https://docs.aws.amazon.com/cli/latest/reference/logs/index.html)
+ [出現在 DNS 查詢日誌中的值](#query-logs-format)
## 變更日誌的保留期間並將日誌匯出到 Amazon S3
在預設情況下,CloudWatch Logs 會無限期存放查詢日誌。您可以選擇指定保留期間,以便 CloudWatch Logs 刪除超過保留期間的日誌。如需詳細資訊,請參閱 *Amazon CloudWatch 使用者指南*中的[變更 CloudWatch Logs 中的日誌資料保留期間](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SettingLogRetention.html)。
如果您想要保留日誌資料,但不需要 CloudWatch Logs 工具來檢視和分析資料,您可以將日誌匯出到 Amazon S3,這可以降低儲存成本。如需詳細資訊,請參閱[將日誌資料匯出到 Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html)。
如需有關定價的詳細資訊,請參閱適用的定價頁面:
+ [CloudWatch 定價](https://aws.amazon.com/cloudwatch/pricing)頁面上的「Amazon CloudWatch Logs」
+ [Amazon S3 定價](https://aws.amazon.com/s3/pricing)
**注意**
當您設定 Route 53 記錄 DNS 查詢時,不會產生任何 Route 53 費用。
## 停止查詢日誌記錄
如果您希望 Amazon Route 53 停止傳送查詢日誌至 CloudWatch Logs,,請執行以下程序,刪除查詢記錄組態。
**若要刪除查詢日誌記錄組態**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在導覽窗格中,選擇 **Hosted zones (託管區域)**。
1. 為您要為其刪除查詢日誌記錄組態的託管區域選擇名稱。
1. 在 **Hosted zone details (託管區域詳細資訊)** 窗格中,選擇 **Delete query logging (刪除查詢日誌記錄)**。
1. 選擇**刪除**以確認刪除。
## 出現在 DNS 查詢日誌中的值
針對 Amazon Route 53 從對應節點中的 DNS 解析程式收到的每個 DNS 查詢,每個日誌檔案都會包含一個日誌項目。每個日誌項目包含以下值:
**日誌格式版本**
此查詢日誌的版本編號。如果我們新增欄位至日誌或變更現有欄位的格式,我們會遞增這個值。
**查詢時間戳記**
Route 53 回應請求的日期和時間,採用 ISO 8601 格式和國際標準時間 (UTC),例如 `2017-03-16T19:20:25.177Z`。
如需有關 ISO 8601 格式的資訊,請參閱 Wikipedia 文章 [ISO 8601](https://en.wikipedia.org/wiki/ISO_8601)。如需有關 UTC 的資訊,請參閱 Wikipedia 文章[國際標準時間](https://en.wikipedia.org/wiki/Coordinated_Universal_Time)。
**託管區域 ID**
與此日誌中的所有 DNS 查詢關聯的託管區域的 ID。
**查詢名稱**
請求中指定的網域或子網域
**查詢類型**
請求中指定的 DNS 記錄類型,或 `ANY`。如需有關 Route 53 支援的類型的資訊,請參閱 [支援的 DNS 記錄類型](ResourceRecordTypes.md)。
**回應代碼**
Route 53 在對 DNS 查詢做出的回答中傳回的 DNS 回答代碼。
**第 4 層通訊協定**
用來提交查詢的通訊協定 (`TCP` 或 `UDP`)。
**Route 53 節點**
回應查詢的 Route 53 節點。每個節點是以三字母代碼和任意數字識別,例如 DFW3。三字母代碼通常對應於節點附近機場的國際航空運輸協會機場代碼。(未來這些縮寫可能會改變。)
如需節點清單,請參閱 [Route 53 產品詳細資訊](https://aws.amazon.com/route53/details/)頁面上的「Route 53 全球網路」。
**解析程式 IP 地址**
向 Route 53 提交請求的 DNS 解析程式的 IP 地址。
**EDNS 用戶端子網路**
發起請求的用戶端的部分 IP 地址 (如果可從 DNS 解析程式取得)。
如需詳細資訊,請參閱 IETF 草稿 [DNS 請求中的用戶端子網路](https://tools.ietf.org/html/draft-ietf-dnsop-edns-client-subnet-08)。
## 查詢日誌範例
以下是查詢日誌示例 (區域是預留位置):
```
1.0 2017-12-13T08:16:02.130Z Z123412341234 example.com A NOERROR UDP Region 192.168.1.1 -
1.0 2017-12-13T08:15:50.235Z Z123412341234 example.com AAAA NOERROR TCP Region 192.168.3.1 192.168.222.0/24
1.0 2017-12-13T08:16:03.983Z Z123412341234 example.com ANY NOERROR UDP Region 2001:db8::1234 2001:db8:abcd::/48
1.0 2017-12-13T08:15:50.342Z Z123412341234 bad.example.com A NXDOMAIN UDP Region 192.168.3.1 192.168.111.0/24
1.0 2017-12-13T08:16:05.744Z Z123412341234 txt.example.com TXT NOERROR UDP Region 192.168.1.2 -
```
# 解析程式查詢日誌記錄
您可以記錄下列 DNS 查詢:
+ 源於您指定的 Amazon Virtual Private Cloud VPC 的查詢,以及對這些 DNS 查詢的回應。
+ 來自使用傳入 Resolver 端點的內部部署資源的查詢。
+ 使用傳出 Resolver 端點進行遞迴 DNS 解析的查詢。
+ 使用解析程式 DNS 防火牆規則來封鎖、允許或監控網域清單的查詢。
VPC Resolver 查詢日誌包含的值如下:
+ 建立 VPC AWS 的區域
+ 查詢源自其中的 VPC 的 ID
+ 查詢源自其中的執行個體的 IP 地址
+ 查詢源自其中的資源的執行個體 ID
+ 第一次進行查詢的日期和時間
+ 要求的 DNS 名稱 (例如 prod.example.com)
+ DNS 記錄類型 (例如 A 或 AAAA)
+ DNS 回答代碼,例如 `NoError` 或 `ServFail`
+ DNS 回答資料,例如,在對 DNS 查詢做出的回答中傳回的 IP 地址
+ 對 DNS 防火牆規則動作的回應
如需所有記錄值的詳細清單和範例,請參閱 [VPC Resolver 查詢日誌中出現的值](resolver-query-logs-format.md)。
**注意**
按照 DNS 解析程式的標準,解析程式快取 DNS 查詢的時間長度由解析程式的存留時間 (TTL) 決定。Route 53 VPC Resolver 會快取源自 VPCs查詢,並盡可能從快取回應以加速回應。VPC Resolver 查詢日誌記錄僅記錄唯一查詢,而不是 VPC Resolver 能夠從快取回應的查詢。
例如,假設其中一個 VPC 中的 EC2 執行個體正在記錄查詢的查詢,則會提交 account.example.com 的要求。VPC Resolver 會快取該查詢的回應,並記錄查詢。如果相同執行個體的彈性網路介面在 VPC Resolver 快取的 TTL 內對 accounting.example.com 進行查詢,VPC Resolver 會從快取回應查詢。未記錄第二個查詢。
您可以將日誌傳送至下列其中一個 AWS 資源:
+ Amazon CloudWatch Logs (CloudWatch Logs) 日誌群組
+ Amazon S3 (S3) 儲存貯體
+ Firehose 交付串流
如需詳細資訊,請參閱[AWS 您可以將 VPC Resolver 查詢日誌傳送至 的 資源](resolver-query-logs-choosing-target-resource.md)。
**Topics**
+ [AWS 您可以將 VPC Resolver 查詢日誌傳送至 的 資源](resolver-query-logs-choosing-target-resource.md)
+ [管理 Resolver 查詢日誌記錄組態](resolver-query-logging-configurations-managing.md)
# AWS 您可以將 VPC Resolver 查詢日誌傳送至 的 資源
**注意**
如果您希望為每秒高查詢 (QPS) 的工作負載記錄查詢,則應使用 Amazon S3 來確保查詢日誌在寫入目的地時不會受節制。如果您使用 Amazon CloudWatch,則可以為 `PutLogEvents` 操作增加每秒請求數限制。若想進一步了解如何增加 CloudWatch 限制,請參閱 *Amazon CloudWatch 使用者指南*中的 [CloudWatch Logs 配額](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html)。
您可以將 VPC Resolver 查詢日誌傳送至下列 AWS 資源:
**Amazon CloudWatch Logs (Amazon CloudWatch Logs) 日誌群組**
您可以使用 Logs Insights 來分析日誌,並建立指標和警示。
如需詳細資訊,請參閱 [Amazon CloudWatch Logs 使用者指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)。
**Amazon S3 (S3) 儲存貯體**
S3 儲存貯體是經濟實惠的長期日誌存檔方式。延遲通常較高。
支援所有 S3 伺服器端加密選項。如需詳細資訊,請參閱《Amazon S3 使用者指南》**中的[使用伺服器端加密保護資料](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html)。
如果您選擇使用 AWS KMS 金鑰的伺服器端加密 (SSE-KMS),您必須更新客戶受管金鑰的金鑰政策,以便日誌交付帳戶可以寫入您的 Amazon S3 儲存貯體。如需與 SSE-KMS 搭配使用之必要金鑰政策的詳細資訊,請參閱[《Amazon CloudWatch 使用者指南》中的 Amazon S3 儲存貯體伺服器端加密](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-infrastructure-V2-S3.html#AWS-logs-SSE-KMS-S3-V2)。 *Amazon CloudWatch *
如果 S3 儲存貯體位於您擁有的帳戶中,所需的許可會自動新增至儲存貯體政策。如果您想將日誌發送到您未擁有的帳戶中的 S3 儲存貯體,則 S3 儲存貯體的擁有者必須在其儲存貯體政策中為您的帳戶新增許可。例如:
****
```
{
"Version":"2012-10-17",
"Id": "CrossAccountAccess",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::your_bucket_name/AWSLogs/your_caller_account/*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::your_bucket_name"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "iam_user_arn_or_account_number_for_root"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::your_bucket_name"
}
]
}
```
如果您想要將記錄儲存在組織的中央 S3 儲存貯體中,建議您從集中式帳戶設定查詢日誌記錄組態 (具有寫入中央儲存貯體的必要許可),然後使用 [RAM](query-logging-configurations-managing-sharing.md) 以跨帳戶共用組態。
如需詳細資訊,請參閱 [Amazon Simple Storage Service 使用者指南](https://docs.aws.amazon.com/AmazonS3/latest/userguide/)。
**Firehose 交付串流**
您可以即時串流日誌至 Amazon OpenSearch Service、Amazon Redshift 或其他應用程式。
如需詳細資訊,請參閱 [Amazon Data Firehose 開發人員指南](https://docs.aws.amazon.com/firehose/latest/dev/)。
如需 Resolver 查詢日誌記錄定價的資訊,請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com/cloudwatch/pricing/)。
使用 VPC Resolver 日誌時,即使日誌直接發佈至 Amazon S3,CloudWatch 已終止日誌也會產生費用。如需詳細資訊,請參閱[以 Amazon CloudWatch *定價記錄*定價](https://aws.amazon.com//cloudwatch/pricing/#Vended_Logs)。
# 管理 Resolver 查詢日誌記錄組態
## 設定 (VPC Resolver 查詢記錄)
您可以透過兩種方式設定 VPC Resolver 查詢記錄:
+ **直接 VPC 關聯** - 將 VPCs直接關聯至查詢記錄組態。
+ **設定檔關聯** - 將查詢記錄組態關聯至 Route 53 設定檔,這會將記錄套用至與該設定檔相關聯的所有 VPCs。如需詳細資訊,請參閱[將 VPC Resolver 查詢記錄組態與 Route 53 設定檔建立關聯](profile-associate-query-logging.md)。
若要開始記錄源自 VPC 的 DNS 查詢,您需要在 Amazon Route 53 主控台執行下列任務:
**若要設定 Resolver 查詢日誌記錄**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 展開 Route 53 主控台選單。在主控台的左上角,選擇三個水平橫條 (![\[Menu icon\]](http://docs.aws.amazon.com/zh_tw/Route53/latest/DeveloperGuide/images/menu-icon.png)) 圖示。
1. 在 Resolver 選單中,選擇 **Query logging (查詢日誌記錄)**。
1. 在區域選取器中,選擇您要建立查詢記錄組態 AWS 的區域。這必須是與您建立要為其記錄 DNS 查詢的 VPC 的相同區域。如果您在多個區域擁有 VPC,務必為每個區域至少建立一項查詢日誌記錄組態。
1. 選擇 **Configure query logging (設定查詢日誌記錄)**。
1. 指定下列值:
**查詢日誌記錄組態**
輸入查詢日誌記錄組態的名稱。名稱會顯示在主控台中的查詢日誌記錄組態清單。輸入稍後可以協助您尋找此組態的名稱。
**查詢日誌目的地**
選擇您希望 VPC Resolver 傳送查詢日誌 AWS 的資源類型。如需如何選擇選項 (CloudWatch Logs 日誌群組、S3 儲存貯體和 Firehose 交付串流) 的詳細資訊,請參閱 [AWS 您可以將 VPC Resolver 查詢日誌傳送至 的 資源](resolver-query-logs-choosing-target-resource.md)。
選擇資源類型後,您可以建立該類型的另一個資源,或選擇目前 AWS 帳戶建立的現有資源。
您只能選擇在步驟 4 中選取的 AWS 區域中建立的資源,即您要建立查詢日誌記錄組態的區域。如果您選擇建立新資源,則會在相同的區域中建立該資源。
**要記錄查詢的 VPC**
此查詢日誌記錄組態會記錄源自所選擇之 VPC 的 DNS 查詢。勾選目前區域中每個 VPC 的核取方塊,讓 VPC Resolver 記錄查詢,然後選擇**選擇**。
**替代方法**:您可以將此查詢記錄組態與 Route 53 設定檔建立關聯,而不是直接關聯 VPCs,這會套用記錄到與該設定檔關聯的所有 VPCs。如需詳細資訊,請參閱[將 VPC Resolver 查詢記錄組態與 Route 53 設定檔建立關聯](profile-associate-query-logging.md)。
針對特定目的地類型,只能啟用一次 VPC 日誌交付。日誌無法交付到相同類型的多個目的地,例如,VPC 日誌無法交付至 2 個 Amazon S3 目的地。
1. 選擇 **Configure query logging (設定查詢日誌記錄)**。
**注意**
您應該會在成功建立查詢日誌記錄組態後幾分鐘內開始看到由 VPC 資源進行的 DNS 查詢。
# VPC Resolver 查詢日誌中出現的值
針對 Amazon Route 53 從對應節點中的 DNS 解析程式收到的每個 DNS 查詢,每個日誌檔案都會包含一個日誌項目。每個日誌項目包含以下值:
**version**
此查詢日誌格式的版本編號。目前版本是 `1.1`。
版本值是以 **major\$1version.minor\$1version** 形式的主要和次要版本。例如,您可以有一個值為 `version` 的 `1.7`,其中 `1 ` 是主要版本,而 `7` 是次要版本。
如果對不向下相容的日誌結構進行變更,Route 53 就會增加主要版本。這包括已經存在的 JSON 欄位,或變更欄位內容的呈現方式 (例如,日期格式)。
如果變更將新欄位新增至日誌檔案,Route 53 會增加次要版本。如果 VPC 內的部分或所有現有 DNS 查詢都有新資訊,就會發生這種情況。
**account\$1id**
建立 VPC AWS 的帳戶 ID。
**region**
您在其中建立 VPC AWS 的區域。
**vpc\$1id**
查詢源自其中的 VPC 的 ID。
**query\$1timestamp**
提交查詢的日期和時間,採用 ISO 8601 格式和國際標準時間 (UTC),例如 `2017-03-16T19:20:177Z`。
如需有關 ISO 8601 格式的資訊,請參閱 Wikipedia 文章 [ISO 8601](https://en.wikipedia.org/wiki/ISO_8601)。如需有關 UTC 的資訊,請參閱 Wikipedia 文章[國際標準時間](https://en.wikipedia.org/wiki/Coordinated_Universal_Time)。
**query\$1name**
查詢中指定的網域名稱 (example.com) 或子網域名稱 (www.example.com)。
**query\$1type**
請求中指定的 DNS 記錄類型,或 `ANY`。如需有關 Route 53 支援的類型的資訊,請參閱 [支援的 DNS 記錄類型](ResourceRecordTypes.md)。
**query\$1class**
查詢的類別。
**rcode**
VPC Resolver 在回應 DNS 查詢時傳回的 DNS 回應碼。此回應代碼指出查詢是否有效。最常見的回應代碼是 `NOERROR`,表示查詢有效。如果回應無效,Resolver 會傳回說明無效原因的回應代碼。如需可能的回應代碼清單,請參閱 IANA 網站上的 [DNS RCODES](https://www.iana.org/assignments/dns-parameters/dns-parameters.xhtml#dns-parameters-6)。
**answer\$1type**
VPC Resolver 回應查詢時傳回之值的 DNS 記錄類型 (例如 A、MX 或 CNAME)。如需有關 Route 53 支援的類型的資訊,請參閱 [支援的 DNS 記錄類型](ResourceRecordTypes.md)。
**rdata**
VPC Resolver 回應查詢時傳回的值。例如,對於 A 記錄,這是 IPv4 格式的 IP 地址。對於 CNAME 記錄,這是 CNAME 記錄中的網域名稱。
**answer\$1class**
查詢的 VPC Resolver 回應類別。
**srcaddr**
產生查詢之主機的 IP 地址。
**srcport**
查詢源自其中的執行個體上的連接埠。
**transport**
用來提交 DNS 查詢的通訊協定。
**scids**
DNS 查詢來源其中或通過其中的 `instance`、`resolver_endpoint` 和 `resolver_network_interface` 的 ID。
**instance**
查詢來源其中的執行個體的 ID。
如果您在 Route 53 VPC Resolver 查詢日誌中看到不可見的執行個體 ID,這可能是因為 DNS 查詢來自您所使用的 AWS CloudShell AWS Lambda Amazon EKS 或 Fargate 主控台。
**resolver\$1endpoint**
將 DNS 查詢傳遞至內部部署 DNS 伺服器的解析程式端點的 ID。
如果您有使用不同解析程式端點跨不同轉送規則鏈結的 CNAME 記錄,查詢日誌只會顯示鏈結中最後一個解析程式端點的 ID。若要透過多個端點追蹤完整的解析路徑,您可以關聯不同查詢記錄組態的日誌。
**firewall\$1rule\$1group\$1id**
符合查詢中網域名稱的 DNS 防火墻規則群組的 ID。只有當 DNS 防火牆找到符合動作設定為警示或封鎖的規則時,才會填入此選項。
如需防火墻規則群組的詳細資訊,請參閱 [DNS 防火墻規則群組與規則](resolver-dns-firewall-rule-groups.md)。
**firewall\$1rule\$1action**
由符合查詢中網域名稱的規則指定的動作。只有當 DNS 防火牆找到符合動作設定為警示或封鎖的規則時,才會填入此選項。
**firewall\$1domain\$1list\$1id**
由符合查詢中網域名稱的規則使用的網域清單。只有當 DNS 防火牆找到符合動作設定為警示或封鎖的規則時,才會填入此選項。
**additional\$1properties**
日誌交付事件的其他資訊。**is\$1delayed**:如果交付日誌時發生延遲。
# Route 53 VPC Resolver 查詢日誌範例
以下是解析程式查詢日誌範例:
```
{
"srcaddr": "4.5.64.102",
"vpc_id": "vpc-7example",
"answers": [
{
"Rdata": "203.0.113.9",
"Type": "PTR",
"Class": "IN"
}
],
"firewall_rule_group_id": "rslvr-frg-01234567890abcdef",
"firewall_rule_action": "BLOCK",
"query_name": "15.3.4.32.in-addr.arpa.",
"firewall_domain_list_id": "rslvr-fdl-01234567890abcdef",
"query_class": "IN",
"srcids": {
"instance": "i-0d15cd0d3example"
},
"rcode": "NOERROR",
"query_type": "PTR",
"transport": "UDP",
"version": "1.100000",
"account_id": "111122223333",
"srcport": "56067",
"query_timestamp": "2021-02-04T17:51:55Z",
"region": "us-east-1"
}
```
# 與其他 AWS 帳戶共用解析程式查詢記錄組態
您可以與其他帳戶共用使用一個 AWS 帳戶建立的查詢記錄組態 AWS 。若要共用組態,Route 53 VPC Resolver 主控台會與 AWS Resource Access Manager 整合。如需 Resource Access Manager 的詳細資訊,請參閱 [Resource Access Manager 使用者指南](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)。
注意下列事項:
**將 VPC 與共用查詢日誌記錄組態建立關聯**
如果另一個 AWS 帳戶已與您的帳戶共用一或多個組態,您可以將 VPCs與組態建立關聯,方法與您建立VPCs組態建立關聯。
**刪除或解除共用組態**
如果您與其他帳戶共用組態,然後刪除組態或停止共用,而且如果一或多個 VPCs與組態相關聯,Route 53 VPC Resolver 會停止記錄源自這些 VPCs的 DNS 查詢。
**查詢日誌記錄組態以及可以這些組態建立關聯的 VPC 數量上限**
當某個帳戶建立了組態並與一或多個其他帳戶共用此組態時,可與該組態建立關聯的 VPC 數量上限會套用至相關帳戶。例如,如果您的組織中有 10,000 個帳戶,您可以在中央帳戶中建立查詢記錄組態,並透過 共用 AWS RAM ,以將其分享給組織帳戶。然後,組織帳戶會建立組態與其 VPC 之間的關聯,根據其帳戶的查詢日誌組態來計算所建立的 VPC 關聯數量,每個 AWS 區域 建立的 VPC 關聯數量最多不能超過 100。但是,如果所有 VPC 都在單一帳戶中,則可能需要提高帳戶的服務上限。
如需目前的 VPC Resolver 配額,請參閱 [Route 53 VPC 解析程式的配額](DNSLimitations.md#limits-api-entities-resolver)。
**許可**
若要與其他 AWS 帳戶共用規則,您必須具有使用 [PutResolverQueryLogConfigPolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutResolverQueryLogConfigPolicy.html) 動作的許可。
**共用規則 AWS 的帳戶限制**
共用規則的帳戶無法變更或刪除規則。
**標記**
只有建立規則的帳戶可以新增、刪除或檢視規則的標籤。
若要檢視規則目前的共用狀態 (包括共用規則的帳戶或與之共用規則的帳戶),以及與其他帳戶共用規則,請執行以下程序。
**檢視共用狀態並與另一個 AWS 帳戶共用查詢記錄組態**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) 開啟 Route 53 主控台。
1. 在導覽窗格中,選擇 **Query Logging (查詢日誌記錄)**。
1. 在導覽列上,選擇您建立規則的區域。
**Sharing status (共用狀態)** 欄顯示規則目前的共享狀態,它們是目前帳戶建立的規則或與目前帳戶共用的規則:
+ **未共用**:目前 AWS 帳戶已建立規則,且規則不會與任何其他帳戶共用。
+ **Shared by me (由我共用)**:目前的帳戶建立了規則,且與一或多個帳戶共用。
+ **Shared with me (與我共用)**:另一個帳戶建立了規則,且與目前的帳戶共用。
1. 選擇您想要顯示共用資訊的規則名稱,或您想要與其他帳戶共用的規則名稱。
在 **Rule: *rule name* (規則:規則名稱)** 頁面中,**Owner (擁有者)** 下的值會顯示建立規則的帳戶 ID。除非 **Sharing status (共用狀態)** 的值為 **Shared with me (與我共用)**,否則即為目前的帳戶。若是如此,**Owner (擁有者)** 即為建立了規則,且與目前帳戶共用規則的帳戶。
也會顯示共用狀態。
1. 選擇**共用組態**以開啟 AWS RAM 主控台
1. 若要建立資源共享,請遵循 *AWS RAM 使用者指南*中在 [中建立資源共享 AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)中的步驟。
**注意**
您無法更新共用設定。如果您想要變更以下任一設定,您必須重新共用使用新設定的規則,然後移除舊的共用設定。
# 監控網域註冊
Amazon Route 53 儀表板提供網域註冊狀態的詳細資訊,包括下列項目:
+ 新網域註冊的狀態
+ 網域轉移至 Route 53 的狀態
+ 過期日期在即的網域清單
我們建議您定期檢查 Route 53 主控台的儀表板,尤其是在註冊新網域或將網域轉移至 Route 53 之後,以確認沒有需要處理的問題。
我們也建議您確認網域的聯絡資訊是最新的。當網域過期日期在即,我們會向網域的註冊聯絡人傳送電子郵件,其中包含網域過期時間和續約方法的相關資訊。
# 使用 Amazon Route 53 運作狀態檢查和 Amazon CloudWatch 來監控您的資源
您可以透過建立 Amazon Route 53 運作狀態檢查來監控資源,這些運作狀態檢查使用 CloudWatch 收集原始資料並將其處理成為可讀取、近乎即時的指標。這些統計資料會保存兩週的期間,以便您存取歷史資訊,並更清楚資源的執行方式。根據預設,Route 53 運作狀態檢查的指標資料會以一分鐘的間隔自動傳送到 CloudWatch。
如需 Route 53 運作狀態檢查的詳細資訊,請參閱 [使用 CloudWatch 監控運作狀態檢查](monitoring-health-checks.md)。如需 CloudWatch 的詳細資訊,請參閱 *Amazon CloudWatch 使用者指南*中的[什麼是 Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html)。
## Route 53 運作狀態檢查指標與維度
當您建立運作狀態檢查時,Amazon Route 53 會開始以一分鐘一次的頻率向 CloudWatch 傳送指定之資源的相關指標和維度。Route 53 主控台可讓您檢視運作狀態檢查的狀態。您也可以使用下列程序,在 CloudWatch 主控台中檢視指標,或使用 AWS Command Line Interface () 檢視指標AWS CLI。
**使用 CloudWatch 主控台檢視指標**
1. 在 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在導覽窗格中,選擇 **Metrics** (指標)。
1. 在 **All Metrics (所有指標)** 標籤上,選擇 **Route 53**。
1. 選擇 **Health Check Metrics** (運作狀態檢查指標)。
**使用 檢視指標 AWS CLI**
+ 在命令提示中,使用下列命令:
```
1. aws cloudwatch list-metrics --namespace "AWS/Route53"
```
**Topics**
+ [Route 53 運作狀態檢查的 CloudWatch 指標](#cloudwatch-metrics)
+ [Route 53 運作狀態檢查指標的維度](#cloudwatch-dimensions-route-53-metrics)
### Route 53 運作狀態檢查的 CloudWatch 指標
`AWS/Route53` 命名空間包含 Route 53 運作狀態檢查的下列指標。
**ChildHealthCheckHealthyCount**
適用於計算的運作狀態檢查, 運作狀態檢查中,運作狀態為正常的數量。
有效統計:平均 (建議)、最小值、最大值
單位:Count
**ConnectionTime**
Route 53 運作狀態檢查程式與端點建立 TCP 連線所花的平均時間 (毫秒)。您可以檢視 `ConnectionTime` 以查看所有區域或選取的地理區域的運作狀態檢查。
有效統計:平均 (建議)、最小值、最大值
單位:毫秒
**HealthCheckPercentageHealthy**
認定選取端點是正常的 Route 53 運作狀態檢查程式的百分比。
有效統計:平均、最小值、最大值
單位:百分比
**HealthCheckStatus**
CloudWatch 正在檢查的運作狀態檢查端點的狀態。**1** 表示狀況良好,而 **0** 表示狀態不佳。
有效的統計資訊:下限、平均和上限
單位:無
**SSLHandshakeTime**
Route 53 運作狀態檢查程式完成 SSL 交握所花的平均時間 (毫秒)。您可以檢視 `SSLHandshakeTime` 以查看所有區域或選取的地理區域的運作狀態檢查。
有效統計:平均 (建議)、最小值、最大值
單位:毫秒
**TimeToFirstByte**
Route 53 運作狀態檢查程式接收回應 HTTP 或 HTTPS 請求的第一個位元組所花的平均時間 (毫秒)。您可以檢視 `TimeToFirstByte` 以查看所有區域或選取的地理區域的運作狀態檢查。
有效統計:平均 (建議)、最小值、最大值
單位:毫秒
### Route 53 運作狀態檢查指標的維度
運作狀態檢查的 Route 53 指標使用 `AWS/Route53` 命名空間,並提供 `HealthCheckId` 的指標。擷取指標時,您必須提供 `HealthCheckId` 維度。
此外,針對 `ConnectionTime`、`SSLHandshakeTime` 及 `TimeToFirstByte`,您可以選擇性指定 `Region`。如果您省略 `Region`,CloudWatch 將傳回所有區域的指標。如果您包含 `Region`,CloudWatch 將僅傳回所指定區域的指標。
如需詳細資訊,請參閱[使用 CloudWatch 監控運作狀態檢查](monitoring-health-checks.md)。
# 使用 Amazon CloudWatch 監控託管區域
您可以使用 Amazon CloudWatch 監控公有託管區域、收集原始資料並將其處理為可讀且近乎即時的指標。Route 53 收到指標所依據的 DNS 查詢之後,即可立即使用指標。Route 53 託管區域的 CloudWatch 指標資料具有一分鐘的精細度。
如需詳細資訊,請參閱下列文件
+ 如需如何在 Amazon CloudWatch 主控台中檢視指標以及如何使用 AWS Command Line Interface (AWS CLI) 擷取指標的概觀和資訊,請參閱 [檢視公有託管區域的 DNS 查詢指標](hosted-zone-public-viewing-query-metrics.md)。
+ 如需指標保留期間的相關資訊,請參閱 *Amazon CloudWatch API 參考*中的 [GetMetricStatistics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html)。
+ 如需 CloudWatch 的詳細資訊,請參閱 *Amazon CloudWatch 使用者指南*中的[什麼是 Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html)。
+ 如需 CloudWatch 指標和警示的詳細資訊,請參閱 *Amazon CloudWatch 使用者指南*中的 [Amazon CloudWatch 指標](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)。
**Topics**
+ [Route 53 公有託管區域的 CloudWatch 指標](#cloudwatch-metrics-route-53-hosted-zones)
+ [Route 53 公有託管區域指標的 CloudWatch 維度](#cloudwatch-dimensions-route-53-hosted-zones)
## Route 53 公有託管區域的 CloudWatch 指標
`AWS/Route53` 命名空間包含下列 Route 53 託管區域的指標:
**DNSQueries**
針對託管區域,在指定期間內 Route 53 回應的 DNS 查詢數量。
有效的統計資訊:總和、樣本計數
單位:Count
區域:Route 53 是全球服務。若要取得託管區域指標,您必須為該區域指定 US East (N. Virginia) (美國東部 (維吉尼亞北部))。
**DNSSECInternalFailure**
如果託管區域中的任何物件為 INTERNAL\$1FAILURE 狀態,則值為 1。否則,值為 0。
有效的統計資訊:總和
單位:Count
容量:每 4 個小時每個託管區域 1 個
區域:Route 53 是全球服務。若要取得託管區域指標,您必須為該區域指定 US East (N. Virginia) (美國東部 (維吉尼亞北部))。
**DNSSECKeySigningKeysNeedingAction**
具有 ACTION\$1NEEDED 狀態 (因為 KMS 失敗) 的金鑰簽署金鑰 (KSK) 數目。
有效的統計資訊:總和、樣本計數
單位:Count
容量:每 4 個小時每個託管區域 1 個
區域:Route 53 是全球服務。若要取得託管區域指標,您必須為該區域指定 US East (N. Virginia) (美國東部 (維吉尼亞北部))。
**DNSSECKeySigningKeyMaxNeedingActionAge**
自金鑰簽署金鑰 (KSK) 設定為 ACTION\$1NEEDED 狀態以來經過的時間。
有效的統計資訊:上限
單位:秒
容量:每 4 個小時每個託管區域 1 個
區域:Route 53 是全球服務。若要取得託管區域指標,您必須為該區域指定 US East (N. Virginia) (美國東部 (維吉尼亞北部))。
**DNSSECKeySigningKeyAge**
建立金鑰簽署金鑰 (KSK) 後經過的時間 (並非自其啟動以來的時間)。
有效的統計資訊:上限
單位:秒
容量:每 4 個小時每個託管區域 1 個
區域:Route 53 是全球服務。若要取得託管區域指標,您必須為該區域指定 US East (N. Virginia) (美國東部 (維吉尼亞北部))。
## Route 53 公有託管區域指標的 CloudWatch 維度
託管區域的 Route 53 指標使用 `AWS/Route53` 命名空間,並提供 `HostedZoneId` 的指標。若要取得 DNS 查詢的數量,您必須在 `HostedZoneId` 維度中指定託管區域的 ID。
# 使用 Amazon CloudWatch 監控 Route 53 VPC Resolver 端點 Amazon CloudWatch
您可以使用 Amazon CloudWatch 來監控 Route 53 VPC Resolver 端點轉送的 DNS 查詢數量。Amazon CloudWatch 可收集並處理的原始資料,進而將這些資料轉換為便於讀取且幾近即時的指標。這些統計資料會保存兩週的期間,以便您存取歷史資訊,並更清楚資源的執行方式。根據預設,會以五分鐘的間隔將 Resolver 端點的指標資料自動傳送到 CloudWatch。五分鐘的間隔也是可以傳送度量資料的最小間隔。
如需 VPC Resolver 的詳細資訊,請參閱 [什麼是 Route 53 VPC Resolver?](resolver.md)。如需 CloudWatch 的詳細資訊,請參閱 *Amazon CloudWatch 使用者指南*中的[什麼是 Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html)。
## Route 53 VPC 解析程式的指標和維度
當您設定 VPC Resolver 將 DNS 查詢轉送到您的網路,反之亦然,VPC Resolver 會開始每五分鐘將[指標](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-resolver-with-cloudwatch.html#cloudwatch-metrics-resolver)和[維度](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-resolver-with-cloudwatch.html#cloudwatch-dimensions-resolver)一次傳送至 CloudWatch,以說明轉送的查詢數量。您可以使用下列程序在 CloudWatch 主控台中檢視指標,或使用 AWS Command Line Interface () 檢視指標AWS CLI。
**使用 CloudWatch 主控台檢視 VPC Resolver 指標**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在導覽列上,選擇您建立端點的區域。
1. 在導覽窗格中,選擇 **指標**。
1. 在 **All metrics (所有指標)** 標籤中,選擇 **Route 53 Resolver (Route 53 解析程式)**。
1. 選擇 **By Endpoint (依端點)**,以檢視指定端點的查詢計數。然後選擇要查看查詢數量的端點。
選擇**跨所有端點**以檢視所有傳入端點或目前 AWS 帳戶所建立之所有傳出端點的查詢計數。然後選擇 **InboundQueryVolume** 或 **OutboundQueryVolume** 以檢視所需的計數。
**使用 檢視指標 AWS CLI**
+ 在命令提示中,使用下列命令:
```
1. aws cloudwatch list-metrics --namespace "AWS/Route53Resolver"
```
**Topics**
+ [Route 53 VPC Resolver 的 CloudWatch 基本指標](#cloudwatch-metrics-resolver)
+ [Route 53 VPC Resolver 的 CloudWatch 詳細指標](#cloudwatch-detailed-metrics-resolver)
+ [Route 53 VPC Resolver 指標的維度](#cloudwatch-dimensions-resolver)
### Route 53 VPC Resolver 的 CloudWatch 基本指標
`AWS/Route53Resolver` 命名空間包含 Route 53 VPC Resolver 端點的基本指標,以及免費 IP 地址的基本指標。
**Topics**
+ [Route 53 VPC Resolver 端點的指標](#cloudwatch-metrics-resolver-endpoint)
+ [Route 53 VPC Resolver IP 地址的指標](#cloudwatch-metrics-resolver-ip-address)
#### Route 53 VPC Resolver 端點的指標
`AWS/Route53Resolver` 命名空間包含 Route 53 VPC Resolver 端點的下列指標。
**EndpointHealthyENICount**
處於 `OPERATIONAL` 狀態的彈性網路介面數量。這意味著端點 (由 `EndpointId` 指定) 的 Amazon VPC 網路介面已正確設定,而且能夠在您的網路和 Resolver 之間傳送傳入或傳出 DNS 查詢。
有效統計資料:最小值、最大值、平均值
單位:Count
**EndpointUnhealthyENICount**
處於 `AUTO_RECOVERING` 狀態的彈性網路介面數量。
這表示解析程式正在嘗試復原與端點相關聯的一或多個 Amazon VPC 網路介面 (由 `EndpointId` 指定)。在復原過程中,端點會以有限容量運作,而且無法處理 DNS 查詢,直到完全復原。
有效統計資料:最小值、最大值、平均值
單位:Count
**InboundQueryVolume**
對於傳入端點,DNS 查詢數量會透過 `EndpointId` 指定的端點,從您的網路轉送到 VPC。
有效的統計資訊:總和
單位:Count
**OutboundQueryVolume**
對於傳出端點,DNS 查詢數量會透過 `EndpointId` 指定的端點,從您的 VPC 轉送到網路。
有效的統計資訊:總和
單位:Count
**OutboundQueryAggregateVolume**
對於傳出端點,從 Amazon VPC 轉送到您網路的 DNS 查詢總數包括下列項目:
+ DNS 查詢數量會透過 `EndpointId` 指定的端點,從您的 VPC 轉送到網路。
+ 當目前帳戶與其他帳戶共用 Resolver 規則時,由其他帳戶建立的 VPC 查詢將透過 `EndpointId` 指定的端點轉送到您的網路。
有效的統計資訊:總和
單位:Count
**ResolverEndpointCapacityStatus**
Resolver 端點的容量狀態。指標指出目前的容量使用率狀態,其中:0 = OK (正常操作容量)、1 = Warning (至少一個彈性網路界面超過 50% 容量使用率),以及 2 = Critical (至少一個彈性網路界面超過 75% 容量使用率)。
容量狀態由多個因素決定,包括查詢磁碟區、查詢延遲、DNS 通訊協定、DNS 封包大小和連線追蹤狀態。
有效的統計資訊:上限
單位:無
**VPC 解析程式端點容量管理的最佳實務**
為了解決容量問題,我們通常建議增加 Resolver 端點的彈性網路介面數量。不過,特定端點類型有重要的考量:
對於**傳入端點**,流量負載平衡取決於客戶。因此,容量警告或重大警示可能表示「熱點」,其中彈性網路介面子集不成比例使用。
+ 若要識別潛在的負載平衡問題,請個別檢查每個彈性網路界面的 [InboundQueryVolume](#cloudwatch-metrics-resolver-ip-address) 指標。
對於**傳出端點**,流量會在彈性網路介面之間自動平衡。容量問題可能是因為目標名稱伺服器發生問題,或是因為逾時的高延遲查詢造成 Resolver 網路介面負擔過重。
+ 在這些情況下,只要增加彈性網路介面可能無效,我們建議修正目標名稱伺服器。
#### Route 53 VPC Resolver IP 地址的指標
`AWS/Route53Resolver` 命名空間包含與 Resolver 傳入或傳出端點相關聯之每個 IP 地址的以下指標。(當您指定端點時,VPC Resolver 會建立 Amazon VPC [彈性網路介面](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)。)
**InboundQueryVolume**
對於傳入端點的每個 IP 地址,從網路轉送到指定 IP 地址的 DNS 查詢數目。每個 IP 地址由 IP 地址 ID 識別。您可以使用 Route 53 主控台獲取此值。在適用端點之頁面的 IP 地址區段中,查看 **IP address ID (IP 地址 ID)** 欄。您也可以使用 [ListResolverEndpointIpAddresses](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_ListResolverEndpointIpAddresses.html),以程式設計的方式獲取值。
有效的統計資訊:總和
單位:Count
**OutboundQueryAggregateVolume**
對於傳出端點的每個 IP 地址,從 Amazon VPC 轉送至您網路的 DNS 查詢總數包括下列項目:
+ 使用指定的 IP 地址從 VPC 轉送到網路的 DNS 查詢數目。
+ 當目前帳戶與其他帳戶共用 Resolver 規則時,由其他帳戶建立的 VPC 查詢會透過使用指定的 IP 地址轉送到您的網路。
每個 IP 地址由 IP 地址 ID 識別。您可以使用 Route 53 主控台獲取此值。在適用端點之頁面的 IP 地址區段中,查看 **IP address ID (IP 地址 ID)** 欄。您也可以使用 [ListResolverEndpointIpAddresses](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_ListResolverEndpointIpAddresses.html),以程式設計的方式獲取值。
有效的統計資訊:總和
單位:Count
### Route 53 VPC Resolver 的 CloudWatch 詳細指標
Route 53 VPC Resolver 提供 RNI 增強型和目標名稱伺服器指標,作為端點的選擇加入功能。這些指標每隔 1 分鐘會傳送至 CloudWatch。
**注意**
預設不會啟用詳細指標,但可以在端點層級啟用。您可以在使用 RniEnhancedMetricsEnabled 和 TargetNameServerMetricsEnabled 旗標建立或更新端點時,以程式設計方式啟用這些指標。如需詳細資訊,請參閱 [CreateResolverEndpoint](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_CreateResolverEndpoint.html) 和 [UpdateResolverEndpoint](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_UpdateResolverEndpoint.html)。
使用 Route 53 Resolver 端點詳細指標套用標準 CloudWatch 定價和費用。如需詳細資訊,請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com/cloudwatch/pricing/)。
**Topics**
+ [RNI 增強型指標](#cloudwatch-detailed-metrics-resolver-endpoints-ip-addresses)
+ [目標名稱伺服器指標](#cloudwatch-detailed-metrics-resolver-endpoints-target-nameservers)
#### RNI 增強型指標
Route 53 Resolver 會將 RNI 增強型指標發佈至 Amazon CloudWatch,以監控 Resolver 端點和 Resolver IP 地址的效能和運作狀態。`AWS/Route53Resolver` 命名空間包含下列 RNI 增強指標,用於 `EndpointId`、`RniId`維度的 Route 53 Resolver 傳入和傳出端點:
**P90ResponseTime**
解析程式 IP (`RniId`) 與解析程式端點 (`EndpointId`) 相關聯的 DNS 查詢的第 90 個百分位數回應延遲
有效的統計資訊:上限
單位:微秒
**ServFailQueries**
傳送至與解析程式端點 (`RniId`) 相關聯的解析程式 IP () 之 DNS 查詢的 SERVFAIL 回應數量`EndpointId`
有效的統計資訊:總和
單位:Count
**NxDomainQueries**
傳送至與解析程式端點 (`RniId`) 相關聯的解析程式 IP () 之 DNS 查詢的 NXDOMAIN 回應數目`EndpointId`
有效的統計資訊:總和
單位:Count
**RefusedQueries**
傳送至與解析程式端點 (`RniId`) 相關聯的解析程式 IP () 之 DNS 查詢的拒絕回應數量`EndpointId`
有效的統計資訊:總和
單位:Count
**FormErrorQueries**
傳送至與解析程式端點 (`RniId`) 相關聯的解析程式 IP () 之 DNS 查詢的 FORMERR 回應數量`EndpointId`
有效的統計資訊:總和
單位:Count
**TimeoutQueries**
傳送至與解析程式端點 (`RniId`) 相關聯的解析程式 IP (`EndpointId`) 的 DNS 查詢逾時數
有效的統計資訊:總和
單位:Count
#### 目標名稱伺服器指標
Route 53 Resolver 會將目標名稱伺服器指標發佈至 Amazon CloudWatch,以監控與 Resolver 端點相關聯的目標名稱伺服器的效能和可用性。`AWS/Route53Resolver` 命名空間包含下列 `EndpointID`維`TargetNameServerIP`度中 Route 53 Resolver 傳出端點的詳細指標:
**P90ResponseTime**
透過解析程式端點 (`TargetNameServerIP`) 傳送的 DNS 查詢之目標名稱伺服器 IP (`EndpointID`) 的第 90 個百分位數回應延遲
有效的統計資訊:上限
單位:微秒
**RequestQueries**
透過解析程式端點 (`TargetNameServerIP`) 傳送至目標名稱伺服器 IP () 的 DNS 查詢數量`EndpointID`。
有效的統計資訊:總和
單位:Count
**TimeoutQueries**
透過解析程式端點 (`EndpointID`) 傳送且目標名稱伺服器 IP () 逾時的 DNS 查詢數量`TargetNameServerIP`。
有效的統計資訊:總和
單位:Count
**注意**
在某些情況下,可能會在 VPC Resolver 指標 (ResolverEndpointCapacityStatus) 和 RNI 增強指標中觀察到差距。當您的網路介面進行連續排定的維護或更新時,可能會發生這些差距。將網路界面傳回服務後,我們的服務至少需要 1 分鐘才能收集操作資料並發佈這些指標。這些差距不表示您的 VPC Resolver 端點正在發生中斷。如果您要為這些指標設定 CloudWatch 警示,建議您執行下列動作:
將警示設定為「將遺失資料視為忽略」,或
為警示閾值設定超過五分鐘的評估期間。
這些設定有助於在正常維護活動期間減少錯誤警示。
### Route 53 VPC Resolver 指標的維度
傳入和傳出端點的 Route 53 VPC Resolver 指標使用 `AWS/Route53Resolver` 命名空間,並提供下列維度的指標:
+ `EndpointId`:如果您指定維`EndpointId`度的值,CloudWatch 會傳回指定端點的 DNS 查詢數目。如果您未指定 `EndpointId`,CloudWatch 會傳回目前 AWS 帳戶所建立之所有端點的 DNS 查詢數目。
+ `RniId` `OutboundQueryAggregateVolume`和 `InboundQueryVolume`指標支援 維度。
+ `EndpointId`、`P90ResponseTime`、、`ServFailQueries`、`FormErrorQueries`、 `RefusedQueries`和 支援維`RniId`度`TimeoutQueries`,適用於與解析程式端點相關聯的解析程式 IP `NxDomainQueries`地址。
+ `EndpointID`,與解析程式端點相關聯的`TimeoutQueries`目標名稱伺服器支援 `P90ResponseTime`、 `RequestQueries`和 維`TargetNameServerIP`度。
# 使用 Amazon CloudWatch 監控解析程式 DNS 防火牆規則群組
您可以使用 Amazon CloudWatch 來監控依解析程式 DNS 防火牆規則群組篩選的 DNS 查詢數量。Amazon CloudWatch 可收集並處理的原始資料,進而將這些資料轉換為便於讀取且幾近即時的指標。這些統計資料會保存兩週的期間,以便您存取歷史資訊,並更清楚資源的執行方式。根據預設,會以五分鐘的間隔將 DNS Firewall 規則群組的指標資料自動傳送到 CloudWatch 。
如需 DNS 防火牆的詳細資訊,請參閱 [使用 DNS 防火牆篩選傳出 DNS 流量](resolver-dns-firewall.md)。如需 CloudWatch 的詳細資訊,請參閱 *Amazon CloudWatch 使用者指南*中的[什麼是 Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html)。
## Resolver DNS 防火牆的指標和維度
當您將解析程式 DNS 防火墻規則群組與 VPC 建立關聯以篩選 DNS 查詢時,DNS 防火墻會開始每 5 分鐘向 CloudWatch 傳送一次其篩選的查詢的指標和維度。如需 DNS 防火墻的指標和維度的詳細資訊,請參閱 [Resolver DNS 防火牆的 CloudWatch 指標](#cloudwatch-metrics-resolver-dns-firewall)。
您可以使用下列程序在 CloudWatch 主控台中檢視指標,或使用 AWS Command Line Interface () 檢視指標AWS CLI。
**使用 CloudWatch 主控台檢視 DNS 防火墻指標**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在導覽列上,選擇您要檢視的區域。
1. 在導覽窗格中,選擇 **指標**。
1. **在所有指標**索引標籤上,選擇 **Route 53 VPC Resolver**。
1. 選擇您感興趣的指標。
**使用 檢視指標 AWS CLI**
+ 在命令提示中,使用下列命令:
```
1. aws cloudwatch list-metrics --namespace "AWS/Route53Resolver"
```
**Topics**
+ [Resolver DNS 防火牆的 CloudWatch 指標](#cloudwatch-metrics-resolver-dns-firewall)
### Resolver DNS 防火牆的 CloudWatch 指標
`AWS/Route53Resolver` 命名空間包含解析程式 DNS 防火牆規則群組的指標。
**Topics**
+ [Resolver DNS 防火牆規則群組的指標](#cloudwatch-metrics-resolver-dns-firewall-rule-group)
+ [VPC 的指標](#cloudwatch-metrics-resolver-vpc)
+ [防火牆規則群組和 VPC 關聯的指標](#cloudwatch-metrics-resolver-firewall-vpc)
+ [防火牆規則群組中網域清單的指標](#cloudwatch-metrics-domain-list-firewall)
#### Resolver DNS 防火牆規則群組的指標
**FirewallRuleGroupQueryVolume**
符合防火牆規則群組的 DNS 防火牆查詢數目 (由 `FirewallRuleGroupId` 指定)。
維度:`FirewallRuleGroupId`
有效的統計資訊:總和
單位:Count
#### VPC 的指標
**VpcFirewallQueryVolume**
來自 VPC 的 DNS 防火牆查詢數目 (由 `VpcId` 指定)。
維度:`VpcId`
有效的統計資訊:總和
單位:Count
#### 防火牆規則群組和 VPC 關聯的指標
**FirewallRuleGroupVpcQueryVolume**
VPC 中符合防火牆規則群組 (由 `FirewallRuleGroupId` 指定) 的 DNS 防火牆查詢數目 (由 `VpcId` 指定)。
維度:`FirewallRuleGroupId, VpcId`
有效的統計資訊:總和
單位:Count
#### 防火牆規則群組中網域清單的指標
**FirewallRuleQueryVolume**
符合防火牆規則群組中防火牆網域清單 (由 `FirewallDomainListId` 指定) 的 DNS 防火牆查詢數目 (由 `FirewallRuleGroupId` 指定)。
維度:`FirewallRuleGroupId, FirewallDomainListId`
有效的統計資訊:總和
單位:Count
# 使用 管理解析程式 DNS 防火牆事件 Amazon EventBridge
Amazon EventBridge 是一種無伺服器服務,使用事件將應用程式元件連接在一起,讓您更輕鬆地建置可擴展的事件驅動型應用程式。事件驅動架構是一種建置鬆耦合軟體系統的方式,透過發出和回應事件來協作。事件代表資源或環境中的變更。
如同許多 AWS 服務,DNS 防火牆會產生事件 EventBridge 並將其傳送至預設事件匯流排。(預設事件匯流排會自動在每個 AWS 帳戶中佈建。) 事件匯流排是接收事件,並將事件傳遞至零個或多個目的地或*目標*的路由器。為事件匯流排指定的規則會在事件到達時評估事件。每項規則都會檢查事件是否與規則的*事件模式*相符。如果事件不相符,事件匯流排會將事件傳送至指定的目標。
![\[AWS 服務會將事件傳送至 EventBridge 預設事件匯流排。如果事件符合規則的事件模式, 會將事件 EventBridge 傳送至為該規則指定的目標。\]](http://docs.aws.amazon.com/zh_tw/Route53/latest/DeveloperGuide/images/eventbridge-integration-how-it-works.png)
**Topics**
+ [解析程式 DNS 防火牆事件](#supported-events)
+ [使用 EventBridge 規則傳送解析程式 DNS 防火牆事件](#eventbridge-using-events-rules)
+ [Amazon EventBridge 許可](#eventbridge-permissions)
+ [其他 EventBridge 資源](#eventbridge-additonal-resources)
+ [解析程式 DNS 防火牆事件詳細資訊參考](events-detail-reference.md)
## 解析程式 DNS 防火牆事件
VPC Resolver 會自動將 DNS 防火牆事件傳送至預設 EventBridge 事件匯流排。您可以在事件匯流排上建立規則;每個規則都包含事件模式和一或多個目標。符合規則事件模式的事件會[盡力](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-service-event.html#eb-service-event-delivery-level)交付至指定的目標。事件可能無法按順序交付。
下列事件是由 DNS 防火牆產生。如需詳細資訊,請參閱《 使用者指南[EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html)》中的 。 *Amazon EventBridge *
| 事件詳細資訊類型 | Description |
| --- | --- |
| [DNS 防火牆區塊](events-detail-reference.md#dns-firewall-alert) | 在網域上執行的任何區塊動作。 |
| [DNS 防火牆提醒](events-detail-reference.md#dns-firewall-block) | 在網域上執行的任何提醒動作。 |
## 使用 EventBridge 規則傳送解析程式 DNS 防火牆事件
若要讓 EventBridge 預設事件匯流排將 DNS 防火牆事件傳送至目標,您必須建立規則,其中包含符合所需 DNS 防火牆事件中資料的事件模式。
建立規則包含下列一般步驟:
1. 為規則建立事件模式,指定:
+ VPC Resolver 是規則正在評估的事件來源。
+ (選用):要比對的任何其他事件資料。
如需詳細資訊,請參閱[建立解析程式 DNS 防火牆事件的事件模式](#eventbridge-using-events-rules-patterns)
1. (選用):建立*輸入轉換器*,先自訂事件中的資料,再將資訊 EventBridge 傳遞至規則的目標。
如需詳細資訊,請參閱*EventBridge 《 使用者指南*》中的[輸入轉換](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-transform-target-input.html)。
1. 指定您要 EventBridge 交付符合事件模式之事件的目標 (多個)。
目標可以是其他服務 AWS 、software-as-a-service(SaaS) 應用程式、API 目的地或其他自訂端點。如需詳細資訊,請參閱《EventBridge 使用者指南》中的[目標](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html)。
如需建立事件匯流排規則的完整說明,請參閱*EventBridge 《 使用者指南*》中的[建立對事件做出反應的規則](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html)。
### 建立解析程式 DNS 防火牆事件的事件模式
當 DNS 防火牆將事件交付至預設事件匯流排時, EventBridge 會使用為每個規則定義的事件模式來判斷事件是否應交付至規則的目標 (s)。事件模式符合所需 DNS 防火牆事件中的資料。每個事件模式都是 JSON 物件,它包含:
+ 識別傳送事件之服務的 `source` 屬性。對於 DNS 防火牆事件,來源為 `aws.route53resolver`。
+ (選擇性):包含要比對之事件類型陣列的 `detail-type` 屬性。
+ (選擇性):包含要比對的任何其他事件資料的 `detail` 屬性。
例如,下列事件模式與來自 DNS 防火牆的警示和封鎖事件相符:
```
{
"source": ["aws.route53resolver"],
"detail-type": ["DNS Firewall Block", "DNS Firewall Alert"]
}
```
雖然下列事件模式與 BLOCK 動作相符:
```
{
"source": ["aws.route53resolver"],
"detail-type": ["DNS Firewall Block"]
}
```
DNS 防火牆只會在 6 小時的時段內傳送相同網域的相同事件一次。例如:
1. 執行個體 i-123 在 T1 時傳送 DNS 查詢 exampledomain.com。DNS 防火牆會傳送提醒或封鎖事件,因為這是第一次發生。
1. 執行個體 i-123 在 T1\$130 分鐘時傳送 DNSquery exampledomain.com。DNS 防火牆不會傳送提醒或封鎖事件,因為這是在 6 小時內重複發生的事件。
1. 執行個體 i-123 在 T1\$17 小時傳送 DNS 查詢 exampledomain.com。DNS 防火牆會傳送提醒或封鎖事件,因為這發生在 6 小時時段之外。
如需撰寫事件模式的詳細資訊,請參閱*EventBridge 《 使用者指南*》中的[事件模式](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html)。
### 在 中測試 DNS 防火牆事件的事件模式 EventBridge
您可以使用 EventBridge 沙盒快速定義和測試事件模式,而無需完成建立或編輯規則的較大程序。使用沙盒,您可以定義事件模式,並使用範例事件來確認模式符合所需的事件。 EventBridge 可讓您直接從沙盒選擇使用該事件模式建立新規則。
如需詳細資訊,請參閱*EventBridge 《 使用者指南*》中的[使用 EventBridge 沙盒測試事件模式](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-pattern-sandbox.html)。
### 建立 DNS 防火牆的 EventBridge 規則和目標
下列程序說明如何建立規則,讓 EventBridge 為所有 DNS 防火牆警示和封鎖動作傳送事件,並將 AWS Lambda 函數新增為規則的目標。
1. 使用 AWS CLI 建立 EventBridge 規則:
```
aws events put-rule \
--event-pattern "{\"source\":
[\"aws.route53resolver\"],\"detail-type\":
[\"DNS Firewall Block\", \"DNS Firewall Alert\"]}" \
--name dns-firewall-rule
```
1. 連接 Lambda 函數做為規則的目標:
`AWS events put-targets --rule dns-firewall-rule --targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:`
1. 若要新增叫用目標所需的許可,請執行下列 Lambda AWS CLI 命令:
`AWS lambda add-permission --function-name --statement-id 1 --action 'lambda:InvokeFunction' --principal events.amazonaws.com`
## Amazon EventBridge 許可
DNS 防火牆不需要任何額外的許可即可交付事件 Amazon EventBridge。
您指定的目標可能需要特定的許可或組態。如需針對目標使用特定服務的詳細資訊,請參閱*Amazon EventBridge 《 使用者指南*》中的[Amazon EventBridge 目標](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html)。
## 其他 EventBridge 資源
如需如何使用 EventBridge 處理和管理事件的詳細資訊,請參閱[https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)》中的下列主題。
+ 如需事件匯流排如何運作的詳細資訊,請參閱[Amazon EventBridge 事件匯流排](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html)。
+ 如需事件結構的資訊,請參閱[事件](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html)。
+ 如需建構事件模式 EventBridge 以讓 在比對事件與規則時使用的資訊,請參閱[事件模式](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html)。
+ 如需建立規則以指定哪些事件 EventBridge 程序的詳細資訊,請參閱[規則](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html)。
+ 如需指定哪些服務或其他目的地 EventBridge 傳送相符事件的資訊,請參閱[目標](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html)。
# 解析程式 DNS 防火牆事件詳細資訊參考
AWS 服務中的所有事件都有一組通用的欄位,其中包含事件的中繼資料,例如事件來源 AWS 的服務、事件產生的時間、事件發生的帳戶和區域,以及其他。如需這些一般欄位的定義,請參閱*Amazon EventBridge 《 使用者指南*》中的[事件結構參考](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events-structure.html)。
此外,每個事件都有一個 `detail` 欄位,其中包含該特定事件的特定資料。以下參考定義了各種 DNS 防火牆事件的詳細資訊欄位。
使用 EventBridge 來選取和管理 DNS 防火牆事件時,請謹記下列事項:
+ DNS 防火牆的所有事件的 `source` 欄位都設定為 `aws.route53resolver`。
+ `detail-type` 欄位指定事件類型。
例如 `DNS Firewall Block` 或 `DNS Firewall Alert`。
+ `detail` 欄位包含該特定事件的特定資料。
如需有關建構事件模式以讓規則符合 DNS 防火牆事件的資訊,請參閱*Amazon EventBridge 《 使用者指南*》中的[事件模式](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html)。
如需事件及其 EventBridge 處理方式的詳細資訊,請參閱*Amazon EventBridge 《 使用者指南*》中的[Amazon EventBridge 事件](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html)。
**Topics**
+ [DNS 防火牆警示事件詳細資訊](#dns-firewall-alert)
+ [DNS 防火牆區塊事件詳細資訊](#dns-firewall-block)
## DNS 防火牆警示事件詳細資訊
以下是提醒狀態事件詳細資訊 的詳細資訊欄位。
包含 `source`和 `detail-type` 欄位,因為其中包含 Route 53 事件的特定值。
```
{...,
"detail-type": "DNS Firewall Alert",
"source": "aws.route53resolver",
...,
"detail": {
"account-id": "string",
"last-observed-at": "string",
"query-name": "string",
"query-type": "string",
"query-class": "string",
"transport": "string",
"firewall-rule-action": "string",
"firewall-rule-group-id": "string",
"firewall-domain-list-id": "string",
"firewall-protection": "string",
"resources": [{
"resource-type": "string",
"instance-details": {
"id": "string",
}
},
{
"resource-type": "string",
"resolver-endpoint-details": {
"id": "string"
}
}
]
```
`detail-type`
識別事件的類型。
對於此事件,此值為 `DNS Firewall Alert`。
`source`
識別產生事件的服務。對於 DNS 防火牆事件,此值為 `aws.route53resolver`。
`detail`
包含事件相關資訊的 JSON 物件。產生事件的服務會決定此欄位的內容。
對於此事件,此資料包含:
`account-id`
AWS 帳戶 建立 VPC 的 ID。
`last-observed-at`
在 VPC 中建立 Alert/Block 查詢的時間戳記。
`query-name`
查詢中指定的網域名稱 (example.com) 或子網域名稱 (www.example.com)。
`query-type`
請求中指定的 DNS 記錄類型,或 ANY。如需有關 Route 53 支援的類型的資訊,請參閱 [支援的 DNS 記錄類型](ResourceRecordTypes.md)。
`query-class`
查詢的類別。
`transport`
用來提交 DNS 查詢的通訊協定。
`firewall-rule-action`
由符合查詢中網域名稱的規則指定的動作。`ALERT` 或 `BLOCK`。
`firewall-rule-group-id`
符合查詢中網域名稱的 DNS 防火墻規則群組的 ID。如需防火牆規則群組的詳細資訊,請參閱 DNS 防火牆[DNS 防火墻規則群組與規則](resolver-dns-firewall-rule-groups.md)。
`firewall-domain-list-id`
由符合查詢中網域名稱的規則使用的網域清單。
`firewall-protection`
DNS 防火牆進階保護:DGA、DICTIONARY\$1DGA 或 DNS\$1TUNNELING。如需詳細資訊,請參閱 DNS 防火牆[解析程式 DNS 防火牆進階](firewall-advanced.md)。
`resourcese`
包含資源類型和其他相關詳細資訊。
`resource-type`
指定資源類型,例如解析程式端點或 VPC 執行個體。
`resource-type-detail`
資源的其他詳細資訊。
**Example DNS 防火牆警示事件**
以下是提醒事件範例。
```
{
"version": "1.0",
"id": "8e5622f9-d81c-4d81-612a-9319e7ee2506",
"detail-type": "DNS Firewall Alert",
"source": "aws.route53resolver",
"account": "123456789012",
"time": "2023-05-30T21:52:17Z",
"region": "us-west-2",
"resources": [],
"detail": {
"account-id": "123456789012",
"last-observed-at": "2023-05-30T20:15:15.900Z",
"query-name": "15.3.4.32.in-addr.arpa.",
"query-type": "A",
"query-class": "IN",
"transport": "UDP",
"firewall-rule-action": "ALERT",
"firewall-rule-group-id": "rslvr-frg-01234567890abcdef",
"firewall-domain-list-id": "rslvr-fdl-01234567890abcdef",
"firewall-protection": "DGA",
"resources": [{
"resource-type": "instance",
"instance-details": {
"id": "i-05746eb48123455e0",
}
},
{
"resource-type": "resolver-endpoint",
"resolver-endpoint-details": {
"id": "i-05746eb48123455e0"
}
}
],
"src-addr": "4.5.64.102",
"src-port": "56067",
"vpc-id": "vpc-7example"
}
}
```
## DNS 防火牆區塊事件詳細資訊
以下是*事件名稱*的詳細資訊欄位。
包含 `source`和 `detail-type` 欄位,因為其中包含 Route 53 事件的特定值。
```
{...,
"detail-type": "DNS Firewall Block",
"source": "aws.route53resolver",
...,
"detail": {
"account-id": "string",
"last-observed-at": "string",
"query-name": "string",
"query-type": "string",
"query-class": "string",
"transport": "string",
"firewall-rule-action": "string",
"firewall-rule-group-id": "string",
"firewall-domain-list-id": "string",
"firewall-protection": "string",
"resources": [{
"resource-type": "string",
"instance-details": {
"id": "string",
}
},
{
"resource-type": "string",
"resolver-endpoint-details": {
"id": "string"
}
}
]
```
`detail-type`
識別事件的類型。
對於此事件,此值為 `DNS Firewall Alert`。
`source`
識別產生事件的服務。對於 DNS 防火牆事件,此值為 `aws.route53resolver`。
`detail`
包含事件相關資訊的 JSON 物件。產生事件的服務會決定此欄位的內容。
對於此事件,此資料包含:
`account-id`
AWS 帳戶 建立 VPC 的 ID。
`last-observed-at`
在 VPC 中建立 Alert/Block 查詢的時間戳記。
`query-name`
查詢中指定的網域名稱 (example.com) 或子網域名稱 (www.example.com)。
`query-type`
請求中指定的 DNS 記錄類型,或 ANY。如需有關 Route 53 支援的類型的資訊,請參閱 [支援的 DNS 記錄類型](ResourceRecordTypes.md)。
`query-class`
查詢的類別。
`transport`
用來提交 DNS 查詢的通訊協定。
`firewall-rule-action`
由符合查詢中網域名稱的規則指定的動作。`ALERT` 或 `BLOCK`。
`firewall-rule-group-id`
符合查詢中網域名稱的 DNS 防火墻規則群組的 ID。如需防火牆規則群組的詳細資訊,請參閱 DNS 防火牆[DNS 防火墻規則群組與規則](resolver-dns-firewall-rule-groups.md)。
`firewall-domain-list-id`
由符合查詢中網域名稱的規則使用的網域清單。
`firewall-protection`
DNS 防火牆進階保護:DGA、DICTIONARY\$1DGA 或 DNS\$1TUNNELING。如需詳細資訊,請參閱 DNS 防火牆[解析程式 DNS 防火牆進階](firewall-advanced.md)。
`resourcese`
包含資源類型和其他相關詳細資訊。
`resource-type`
指定資源類型,例如解析程式端點或 VPC 執行個體。
`resource-type-detail`
資源的其他詳細資訊。
**Example 範例事件**
以下是範例區塊事件。
```
{
"version": "1.0",
"id": "8e5622f9-d81c-4d81-612a-9319e7ee2506",
"detail-type": "DNS Firewall Block",
"source": "aws.route53resolver",
"account": "123456789012",
"time": "2023-05-30T21:52:17Z",
"region": "us-west-2",
"resources": [],
"detail": {
"account-id": "123456789012",
"last-observed-at": "2023-05-30T20:15:15.900Z",
"query-name": "15.3.4.32.in-addr.arpa.",
"query-type": "A",
"query-class": "IN",
"transport": "UDP",
"firewall-rule-action": "BLOCK",
"firewall-rule-group-id": "rslvr-frg-01234567890abcdef",
"firewall-domain-list-id": "rslvr-fdl-01234567890abcdef",
"firewall-protection": "DNS_TUNNELING",
"resources": [{
"resource-type": "instance",
"instance-details": {
"id": "i-05746eb48123455e0"
}
},
{
"resource-type": "resolver-endpoint",
"resolver-endpoint-details": {
"id": "i-05746eb48123455e0",
}
}
],
"src-addr": "4.5.64.102",
"src-port": "56067",
"vpc-id": "vpc-7example"
}
}
```
# 使用 記錄 Amazon Route 53 API 呼叫 AWS CloudTrail
Route 53 已與 服務整合 AWS CloudTrail,此服務提供使用者、角色或 Route 53 中 AWS 服務所採取之動作的記錄。CloudTrail 將 Route 53 的所有 API 呼叫擷取為事件,包括來自 Route 53 主控台以及來自對 Route 53 API 發出的程式碼呼叫。若您建立追蹤,便可將 CloudTrail 事件持續交付至 Amazon S3 儲存貯體,包括 Route 53 的事件。即使您未設定追蹤,依然可以透過 CloudTrail 主控台中的**事件歷史記錄**檢視最新事件。您可以利用 CloudTrail 所收集的資訊來判斷向 Route 53 發出的請求,以及發出請求的 IP 地址、人員、時間和其他詳細資訊。
**Topics**
+ [CloudTrail 中的 Route 53 資訊](#route-53-info-in-cloudtrail)
+ [檢視事件歷史記錄中的 Route 53 事件](#route-53-events-in-cloudtrail-event-history)
+ [了解 Route 53 日誌檔案項目](#understanding-route-53-entries-in-cloudtrail)
## CloudTrail 中的 Route 53 資訊
當您建立 AWS 帳戶時,會在您的帳戶上啟用 CloudTrail。當活動在 Route 53 中發生時,該活動會與**事件歷史記錄**中的其他服務 AWS 事件一起記錄在 CloudTrail 事件中。您可以在 AWS 帳戶中檢視、搜尋和下載最近的事件。如需詳細資訊,請參閱[使用 CloudTrail 事件歷史記錄檢視事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
若要持續記錄您 AWS 帳戶中的事件,包括 Route 53 的事件,請建立追蹤。線索能讓 CloudTrail 將日誌檔案交付至 Amazon S3 儲存貯體。根據預設,當您在主控台建立線索時,線索會套用到所有 區域。線索會記錄 AWS 分割區中所有區域的事件,並將日誌檔案傳送到您指定的 Amazon S3 儲存貯體。此外,您可以設定其他 AWS 服務,以進一步分析和處理 CloudTrail 日誌中所收集的事件資料。如需詳細資訊,請參閱:
+ [建立追蹤的概觀](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 支援的服務和整合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [設定 CloudTrail 的 Amazon SNS 通知](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [接收多個區域的 CloudTrail 日誌檔案](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)及[接收多個帳戶的 CloudTrail 日誌檔案](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
所有 Route 53 動作都是由 CloudTrail 記錄,並歸檔在 [Amazon Route 53 API 參考](https://docs.aws.amazon.com/Route53/latest/APIReference/)中。例如,對 `CreateHostedZone`、`CreateHealthCheck` 以及 `RegisterDomain` 動作發出的呼叫會在 CloudTrail 日誌檔案中產生項目。
每一筆事件或日誌專案都會包含產生請求者的資訊。身分資訊可協助您判斷下列事項:
+ 該請求是否使用根或 IAM 使用者憑證提出。
+ 提出該請求時,是否使用了特定角色或聯合身分使用者的暫時安全憑證。
+ 請求是否由其他 AWS 服務提出。
如需詳細資訊,請參閱 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
## 檢視事件歷史記錄中的 Route 53 事件
CloudTrail 可讓您使用 **Event history (事件歷史記錄)** 檢視最近的事件。若要檢視 Route 53 API 請求的事件,您必須在主控台上方的區域選擇器中選擇**美國東部 (維吉尼亞北部))**。如需詳細資訊,請參閱 *AWS CloudTrail 使用者指南*中的 [使用 CloudTrail 事件歷史記錄檢視事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
## 了解 Route 53 日誌檔案項目
追蹤是一種組態,能讓事件以日誌檔案的形式交付到您指定的 Amazon S3 儲存貯體。CloudTrail 日誌檔案包含一或多個日誌專案。一個事件為任何來源提出的單一請求,並包含請求動作、請求的日期和時間、請求參數等資訊。CloudTrail 日誌檔案並非依公有 API 呼叫追蹤記錄的堆疊排序,因此不會以任何特定順序出現。
`eventName` 元素會識別發生的動作。(在 CloudTrail 日誌中,第一個字母是小寫的網域註冊動作,即使在動作名稱中是大寫。例如,`UpdateDomainContact` 在日誌中顯示為 `updateDomainContact`)。CloudTrail 支援所有 Route 53 API 動作。以下範例顯示的是展示如下動作的 CloudTrail 日誌項目:
+ 列出與 AWS 帳戶相關聯的託管區域
+ 建立運作狀態檢查
+ 建立 2 筆記錄
+ 刪除託管區域
+ 更新已註冊網域的資訊
+ 建立 Route 53 VPC Resolver 傳出端點
```
{
"Records": [
{
"apiVersion": "2013-04-01",
"awsRegion": "us-east-1",
"eventID": "1cdbea14-e162-43bb-8853-f9f86d4739ca",
"eventName": "ListHostedZones",
"eventSource": "route53.amazonaws.com",
"eventTime": "2015-01-16T00:41:48Z",
"eventType": "AwsApiCall",
"eventVersion": "1.02",
"recipientAccountId": "444455556666",
"requestID": "741e0df7-9d18-11e4-b752-f9c6311f3510",
"requestParameters": null,
"responseElements": null,
"sourceIPAddress": "192.0.2.92",
"userAgent": "Apache-HttpClient/4.3 (java 1.5)",
"userIdentity": {
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"accountId": "111122223333",
"arn": "arn:aws:iam::111122223333:user/smithj",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"type": "IAMUser",
"userName": "smithj"
}
},
{
"apiVersion": "2013-04-01",
"awsRegion": "us-east-1",
"eventID": "45ec906a-1325-4f61-b133-3ef1012b0cbc",
"eventName": "CreateHealthCheck",
"eventSource": "route53.amazonaws.com",
"eventTime": "2018-01-16T00:41:57Z",
"eventType": "AwsApiCall",
"eventVersion": "1.02",
"recipientAccountId": "444455556666",
"requestID": "79915168-9d18-11e4-b752-f9c6311f3510",
"requestParameters": {
"callerReference": "2014-05-06 64832",
"healthCheckConfig": {
"iPAddress": "192.0.2.249",
"port": 80,
"type": "TCP"
}
},
"responseElements": {
"healthCheck": {
"callerReference": "2014-05-06 64847",
"healthCheckConfig": {
"failureThreshold": 3,
"iPAddress": "192.0.2.249",
"port": 80,
"requestInterval": 30,
"type": "TCP"
},
"healthCheckVersion": 1,
"id": "b3c9cbc6-cd18-43bc-93f8-9e557example"
},
"location": "https://route53.amazonaws.com/2013-04-01/healthcheck/b3c9cbc6-cd18-43bc-93f8-9e557example"
},
"sourceIPAddress": "192.0.2.92",
"userAgent": "Apache-HttpClient/4.3 (java 1.5)",
"userIdentity": {
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"accountId": "111122223333",
"arn": "arn:aws:iam::111122223333:user/smithj",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"type": "IAMUser",
"userName": "smithj"
}
},
{
"additionalEventData": {
"Note": "Do not use to reconstruct hosted zone"
},
"apiVersion": "2013-04-01",
"awsRegion": "us-east-1",
"eventID": "883b14d9-2f84-4005-8bc5-c7bf0cebc116",
"eventName": "ChangeResourceRecordSets",
"eventSource": "route53.amazonaws.com",
"eventTime": "2018-01-16T00:41:43Z",
"eventType": "AwsApiCall",
"eventVersion": "1.02",
"recipientAccountId": "444455556666",
"requestID": "7081d4c6-9d18-11e4-b752-f9c6311f3510",
"requestParameters": {
"changeBatch": {
"changes": [
{
"action": "CREATE",
"resourceRecordSet": {
"name": "prod.example.com.",
"resourceRecords": [
{
"value": "192.0.1.1"
},
{
"value": "192.0.1.2"
},
{
"value": "192.0.1.3"
},
{
"value": "192.0.1.4"
}
],
"tTL": 300,
"type": "A"
}
},
{
"action": "CREATE",
"resourceRecordSet": {
"name": "test.example.com.",
"resourceRecords": [
{
"value": "192.0.1.1"
},
{
"value": "192.0.1.2"
},
{
"value": "192.0.1.3"
},
{
"value": "192.0.1.4"
}
],
"tTL": 300,
"type": "A"
}
}
],
"comment": "Adding subdomains"
},
"hostedZoneId": "Z1PA6795UKMFR9"
},
"responseElements": {
"changeInfo": {
"comment": "Adding subdomains",
"id": "/change/C156SRE0X2ZB10",
"status": "PENDING",
"submittedAt": "Jan 16, 2018 12:41:43 AM"
}
},
"sourceIPAddress": "192.0.2.92",
"userAgent": "Apache-HttpClient/4.3 (java 1.5)",
"userIdentity": {
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"accountId": "111122223333",
"arn": "arn:aws:iam::111122223333:user/smithj",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"type": "IAMUser",
"userName": "smithj"
}
},
{
"apiVersion": "2013-04-01",
"awsRegion": "us-east-1",
"eventID": "0cb87544-ebee-40a9-9812-e9dda1962cb2",
"eventName": "DeleteHostedZone",
"eventSource": "route53.amazonaws.com",
"eventTime": "2018-01-16T00:41:37Z",
"eventType": "AwsApiCall",
"eventVersion": "1.02",
"recipientAccountId": "444455556666",
"requestID": "6d5d149f-9d18-11e4-b752-f9c6311f3510",
"requestParameters": {
"id": "Z1PA6795UKMFR9"
},
"responseElements": {
"changeInfo": {
"id": "/change/C1SIJYUYIKVJWP",
"status": "PENDING",
"submittedAt": "Jan 16, 2018 12:41:36 AM"
}
},
"sourceIPAddress": "192.0.2.92",
"userAgent": "Apache-HttpClient/4.3 (java 1.5)",
"userIdentity": {
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"accountId": "111122223333",
"arn": "arn:aws:iam::111122223333:user/smithj",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"type": "IAMUser",
"userName": "smithj"
}
},
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/smithj",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "smithj",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2018-11-01T19:43:59Z"
}
},
"invokedBy": "test"
},
"eventTime": "2018-11-01T19:49:36Z",
"eventSource": "route53domains.amazonaws.com",
"eventName": "updateDomainContact",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.92",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:52.0) Gecko/20100101 Firefox/52.0",
"requestParameters": {
"domainName": {
"name": "example.com"
}
},
"responseElements": {
"requestId": "034e222b-a3d5-4bec-8ff9-35877ff02187"
},
"additionalEventData": "Personally-identifying contact information is not logged in the request",
"requestID": "015b7313-bf3d-11e7-af12-cf75409087f6",
"eventID": "f34f3338-aaf4-446f-bf0e-f72323bac94d",
"eventType": "AwsApiCall",
"recipientAccountId": "444455556666"
},
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/smithj",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2018-11-01T14:33:09Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIUZEZLWWZOEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/Admin",
"accountId": "123456789012",
"userName": "Admin"
}
}
},
"eventTime": "2018-11-01T14:37:19Z",
"eventSource": "route53resolver.amazonaws.com",
"eventName": "CreateResolverEndpoint",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.176",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:52.0) Gecko/20100101 Firefox/52.0",
"requestParameters": {
"creatorRequestId": "123456789012",
"name": "OutboundEndpointDemo",
"securityGroupIds": [
"sg-05618b249example"
],
"direction": "OUTBOUND",
"ipAddresses": [
{
"subnetId": "subnet-01cb0c4676example"
},
{
"subnetId": "subnet-0534819b32example"
}
],
"tags": []
},
"responseElements": {
"resolverEndpoint": {
"id": "rslvr-out-1f4031f1f5example",
"creatorRequestId": "123456789012",
"arn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-endpoint/rslvr-out-1f4031f1f5example",
"name": "OutboundEndpointDemo",
"securityGroupIds": [
"sg-05618b249example"
],
"direction": "OUTBOUND",
"ipAddressCount": 2,
"hostVPCId": "vpc-0de29124example",
"status": "CREATING",
"statusMessage": "[Trace id: 1-5bd1d51e-f2f3032eb75649f71example] Creating the Resolver Endpoint",
"creationTime": "2018-11-01T14:37:19.045Z",
"modificationTime": "2018-11-01T14:37:19.045Z"
}
},
"requestID": "3f066d98-773f-4628-9cba-4ba6eexample",
"eventID": "cb05b4f9-9411-4507-813b-33cb0example",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
]
}
```