本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
解析程式查詢日誌記錄
您可以記錄下列 DNS 查詢:
源於您指定的 Amazon Virtual Private Cloud VPC 的查詢,以及對這些 DNS 查詢的回應。
來自使用傳入 Resolver 端點的內部部署資源的查詢。
使用傳出 Resolver 端點進行遞迴 DNS 解析的查詢。
使用 Route 53 Resolver DNS 防火牆規則來封鎖、允許或監控網域清單的查詢。
Resolver 查詢日誌包含下列值:
-
建立 VPC AWS 的區域
-
查詢源自其中的 VPC 的 ID
-
查詢源自其中的執行個體的 IP 地址
-
查詢源自其中的資源的執行個體 ID
-
第一次進行查詢的日期和時間
-
要求的 DNS 名稱 (例如 prod.example.com)
-
DNS 記錄類型 (例如 A 或 AAAA)
-
DNS 回答代碼,例如
NoError或ServFail -
DNS 回答資料,例如,在對 DNS 查詢做出的回答中傳回的 IP 地址
-
對 DNS 防火牆規則動作的回應
如需所有記錄值的詳細清單和範例,請參閱 出現在 Resolver 查詢日誌中的值。
注意
按照 DNS 解析程式的標準,解析程式快取 DNS 查詢的時間長度由解析程式的存留時間 (TTL) 決定。Route 53 Resolver 會快取源自 VPC 的查詢,並儘可能從快取回應以加速回應。解析程式查詢日誌記錄只會記錄唯一的查詢,而不會記錄解析程式能夠從快取回應的查詢。
例如,假設其中一個 VPC 中的 EC2 執行個體正在記錄查詢的查詢,則會提交 account.example.com 的要求。解析程式會快取該查詢的回應,並記錄查詢。如果相同執行個體的彈性網路介面在 Resolver 快取的 TTL 內對 account.example.com 進行查詢,解析程式會回應來自快取的查詢。未記錄第二個查詢。
您可以將日誌傳送至下列其中一個 AWS 資源:
-
Amazon CloudWatch Logs (CloudWatch Logs) 日誌群組
-
Amazon S3 (S3) 儲存貯體
-
Firehose 交付串流
如需詳細資訊,請參閱AWS 您可以將 Resolver 查詢日誌傳送至 的資源。
