本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS 您可以將 VPC Resolver 查詢日誌傳送至 的資源
<a name="resolver-query-logs-choosing-target-resource"></a>

**注意**  
如果您希望為每秒高查詢 (QPS) 的工作負載記錄查詢，則應使用 Amazon S3 來確保查詢日誌在寫入目的地時不會受節制。如果您使用 Amazon CloudWatch，則可以為 `PutLogEvents` 操作增加每秒請求數限制。若想進一步了解如何增加 CloudWatch 限制，請參閱 *Amazon CloudWatch 使用者指南*中的 [CloudWatch Logs 配額](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html)。

您可以將 VPC Resolver 查詢日誌傳送至下列 AWS 資源：

**Amazon CloudWatch Logs (Amazon CloudWatch Logs) 日誌群組**  
您可以使用 Logs Insights 來分析日誌，並建立指標和警示。  
如需詳細資訊，請參閱 [Amazon CloudWatch Logs 使用者指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)。

**Amazon S3 (S3) 儲存貯體**  
S3 儲存貯體是經濟實惠的長期日誌存檔方式。延遲通常較高。  
支援所有 S3 伺服器端加密選項。如需詳細資訊，請參閱《Amazon S3 使用者指南》**中的[使用伺服器端加密保護資料](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html)。  
如果您選擇使用 AWS KMS 金鑰的伺服器端加密 (SSE-KMS)，您必須更新客戶受管金鑰的金鑰政策，以便日誌交付帳戶可以寫入您的 Amazon S3 儲存貯體。如需與 SSE-KMS 搭配使用之必要金鑰政策的詳細資訊，請參閱[《Amazon CloudWatch 使用者指南》中的 Amazon S3 儲存貯體伺服器端加密](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-infrastructure-V2-S3.html#AWS-logs-SSE-KMS-S3-V2)。 *Amazon CloudWatch *  
如果 S3 儲存貯體位於您擁有的帳戶中，所需的許可會自動新增至儲存貯體政策。如果您想將日誌發送到您未擁有的帳戶中的 S3 儲存貯體，則 S3 儲存貯體的擁有者必須在其儲存貯體政策中為您的帳戶新增許可。例如：    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "CrossAccountAccess",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::your_bucket_name/AWSLogs/your_caller_account/*"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::your_bucket_name"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "iam_user_arn_or_account_number_for_root"
            },
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::your_bucket_name"
        }
    ]
}
```
 如果您想要將記錄儲存在組織的中央 S3 儲存貯體中，建議您從集中式帳戶設定查詢日誌記錄組態 (具有寫入中央儲存貯體的必要許可)，然後使用 [RAM](query-logging-configurations-managing-sharing.md) 以跨帳戶共用組態。
如需詳細資訊，請參閱 [Amazon Simple Storage Service 使用者指南](https://docs.aws.amazon.com/AmazonS3/latest/userguide/)。

**Firehose 交付串流**  
您可以即時串流日誌至 Amazon OpenSearch Service、Amazon Redshift 或其他應用程式。  
如需詳細資訊，請參閱 [Amazon Data Firehose 開發人員指南](https://docs.aws.amazon.com/firehose/latest/dev/)。

如需 Resolver 查詢日誌記錄定價的資訊，請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com/cloudwatch/pricing/)。

使用 VPC Resolver 日誌時，即使日誌直接發佈至 Amazon S3，CloudWatch 已終止日誌也會產生費用。如需詳細資訊，請參閱[以 Amazon CloudWatch *定價記錄*定價](https://aws.amazon.com//cloudwatch/pricing/#Vended_Logs)。