

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Konfigurationen für die Protokollierung von Resolver-Abfragen verwalten
<a name="resolver-query-logging-configurations-managing"></a>

## Konfiguration (VPC Resolver-Abfrageprotokollierung)
<a name="resolver-query-logs-configuring"></a>

Sie können die VPC Resolver-Abfrageprotokollierung auf zwei Arten konfigurieren:
+ **Direkte VPC-Zuordnung** — VPCs Direkter Zugriff auf eine Konfiguration zur Abfrageprotokollierung.
+ **Profilzuordnung** — Ordnen Sie eine Abfrageprotokollierungskonfiguration einem Route 53 53-Profil zu, wodurch die Protokollierung auf alle mit diesem Profil VPCs verknüpften Profile angewendet wird. Weitere Informationen finden Sie unter [Ordnen Sie die Konfigurationen der VPC Resolver-Abfrageprotokollierung einem Route 53 53-Profil zu](profile-associate-query-logging.md).

Um mit der Protokollierung von DNS-Abfragen zu beginnen, die von Ihrem stammen VPCs, führen Sie die folgenden Aufgaben in der Amazon Route 53-Konsole aus:<a name="resolver-query-logs-configuring-procedure"></a>

**So konfigurieren Sie die Protokollierung der Resolver-Abfrage**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Erweitern Sie das Route-53-Konsolenmenü. Wählen Sie oben links in der Konsole die drei horizontalen Balken (![\[Menu icon\]](http://docs.aws.amazon.com/de_de/Route53/latest/DeveloperGuide/images/menu-icon.png)) aus.

1. Wählen Sie im Resolver-Menü die Option **Abfrageprotokollierung**.

1. Wählen Sie in der Regionsauswahl die AWS Region aus, in der Sie die Konfiguration für die Abfrageprotokollierung erstellen möchten. Dies muss dieselbe Region sein, in der Sie die Region erstellt haben VPCs , für die Sie DNS-Abfragen protokollieren möchten. Wenn Sie VPCs in mehreren Regionen arbeiten, müssen Sie mindestens eine Konfiguration für die Abfrageprotokollierung für jede Region erstellen.

1. Wählen Sie **Konfigurieren der Abfrageprotokollierung**.

1. Geben Sie die folgenden Werte an:  
**Name der Abfrageprotokollierungskonfiguration**  
Geben Sie einen Namen für Ihre Abfrageprotokollierungskonfiguration ein. Der Name wird in der Konsole in der Liste der Konfigurationen für die Abfrageprotokollierung angezeigt. Geben Sie einen Namen ein, den Sie später bei der Suche nach dieser Konfiguration unterstützen.  
**Ziel der Abfrageprotokolle**  
Wählen Sie den AWS Ressourcentyp aus, an den VPC Resolver Abfrageprotokolle senden soll. Informationen zur Auswahl zwischen den Optionen (CloudWatch Logs-Protokollgruppe, S3-Bucket und Firehose-Lieferstream) finden Sie unter[AWS Ressourcen, an die Sie VPC Resolver-Abfrageprotokolle senden können](resolver-query-logs-choosing-target-resource.md).  
Nachdem Sie den Ressourcentyp ausgewählt haben, können Sie entweder eine weitere Ressource dieses Typs erstellen oder eine vorhandene Ressource auswählen, die mit dem aktuellen AWS Konto erstellt wurde.  
Sie können nur Ressourcen auswählen, die in der AWS -Region erstellt wurden, die Sie in Schritt 4 ausgewählt haben, der Region, in der Sie die Abfrageprotokollierungskonfiguration erstellen. Wenn Sie eine neue Ressource erstellen, wird diese Ressource in derselben Region erstellt.  
**VPCs um Abfragen zu protokollieren für**  
Bei dieser Konfiguration für die Abfrageprotokollierung werden DNS-Abfragen protokolliert, die ihren Ursprung in der VPCs von Ihnen ausgewählten Datei haben. **Aktivieren Sie das Kontrollkästchen für jede VPC in der aktuellen Region, für die VPC Resolver Abfragen protokollieren soll, und wählen Sie dann Wählen aus.**  
**Alternative**: Anstatt eine VPCs direkte Zuordnung vorzunehmen, können Sie diese Abfrageprotokollierungskonfiguration einem Route 53 53-Profil zuordnen, wodurch die Protokollierung auf alle mit diesem Profil VPCs verknüpften Daten angewendet wird. Weitere Informationen finden Sie unter [Ordnen Sie die Konfigurationen der VPC Resolver-Abfrageprotokollierung einem Route 53 53-Profil zu](profile-associate-query-logging.md).  
Die VPC Protokollzustellung kann für einen bestimmten Zieltyp nur einmal aktiviert werden. Die Protokolle können nicht an mehrere Ziele desselben Typs übermittelt werden. Beispielsweise können VPC Protokolle nicht an zwei Amazon S3 Ziele übermittelt werden.

1. Wählen Sie **Konfigurieren der Abfrageprotokollierung** aus.

**Anmerkung**  
Sie sollten innerhalb weniger Minuten nach erfolgreicher Erstellung der Konfiguration für die Abfrageprotokollierung DNS-Abfragen von Ressourcen in Ihrer VPC in den Protokollen anzeigen.

# Werte, die in den VPC Resolver-Abfrageprotokollen erscheinen
<a name="resolver-query-logs-format"></a>

Jede Protokolldatei enthält einen einzelnen Protokolleintrag für jede DNS-Abfrage, die Amazon Route 53 von DNS-Resolvern am entsprechenden Edge-Standort erhalten hat. Jeder Protokolleintrag enthält die folgenden Werte:

**version**  
Die Versionsnummer dieses Abfrageprotokolls. Die aktuelle Version ist `1.1`.  
Der Versions-Schlüsselwert enthält eine Haupt- und eine Nebenversion im Format **major\$1version.minor\$1version**.. Sie können beispielsweise ein `version`-Wert`1.7`, wobei `1 ` die Hauptversion ist, und `7` die Nebenversion.  
Die Hauptversion wird erhöht, wenn Route 53 eine Änderung an der Ereignisstruktur vornimmt, die nicht abwärtskompatibel ist. Dies beinhaltet das Entfernen eines JSON-Feldes, das bereits vorhanden ist, oder das Ändern, wie die Inhalte eines Feldes dargestellt werden (Beispiel: ein Datumsformat).  
 Route 53 erhöht die Nebenversion, wenn eine Änderung der Protokolldatei neue Felder hinzufügt. Dies kann auftreten, wenn neue Informationen für einige oder alle vorhandenen DNS-Abfragen innerhalb einer VPC verfügbar sind. 

**account\$1id**  
Die ID des AWS Kontos, das die VPC erstellt hat.

**Region**  
Die AWS Region, in der Sie die VPC erstellt haben.

**vpc\$1id**  
Die ID der VPC, in der die Abfrage stammt.

**query\$1timestamp**  
Das Datum und die Uhrzeit, an dem/zu der auf die Anforderung geantwortet hat; im ISO 8601-Format und in koordinierter Weltzeit (Coordinated Universal Time, UTC), z. B. `2017-03-16T19:20:177Z`.   
Informationen zum ISO 8601-Format finden Sie im Wikipedia-Artikel [ISO 8601](https://en.wikipedia.org/wiki/ISO_8601). Informationen zu UTC finden Sie im Wikipedia-Artikel [Coordinated Universal Time](https://en.wikipedia.org/wiki/Coordinated_Universal_Time).

**query\$1name**  
Der Domainnamen (example.com) oder Subdomainname (www.example.com), der in der Abfrage angegeben wurde.

**query\$1type**  
Entweder der DNS-Datensatztyp, der in der Anfrage angegeben wurde, oder `ANY`. Informationen zu den von Route 53 unterstützten Typen finden Sie unter [Unterstützte DNS-Datensatztypen](ResourceRecordTypes.md).

**query\$1class**  
Die ID der Abfrage.

**rcode**  
Der DNS-Antwortcode, den VPC Resolver als Antwort auf die DNS-Anfrage zurückgegeben hat. Ein Code, der angibt, ob die Abfrage gültig war oder nicht. Der gängigste Antwortcode ist `NOERROR` und bedeutet, dass die Abfrage gültig war. Wenn die Antwort nicht gültig ist, gibt Resolver einen Antwortcode mit Erklärung aus. Eine Liste möglicher Antwortcodes finden Sie unter [DNS RCODEs](https://www.iana.org/assignments/dns-parameters/dns-parameters.xhtml#dns-parameters-6) auf der IANA-Website.

**Antwort\$1Typ**  
Der DNS-Eintragstyp (z. B. A, MX oder CNAME) des Werts, den VPC Resolver als Antwort auf die Abfrage zurückgibt. Informationen zu den von Route 53 unterstützten Typen finden Sie unter [Unterstützte DNS-Datensatztypen](ResourceRecordTypes.md).

**rdata**  
Der Wert, den VPC Resolver als Antwort auf die Abfrage zurückgegeben hat. Für einen A-Datensatz ist dies beispielsweise eine IP-Adresse im IPv4 Format. Für einen CNAME-Datensatz ist dies der Domainname im CNAME-Datensatz. 

**Antwort\$1Klasse**  
Die Klasse der VPC-Resolver-Antwort auf die Abfrage.

**srcaddr**  
IP-Adresse des Hosts, von dem die Anfrage stammt. 

**srcport**  
Der Port auf der Instance, von der die Abfrage stammt.

**Transport**  
Das Protokoll, das zum Senden der DNS-Abfrage verwendet wird.

**srcids**  
IDs von dem`instance`, und dem`resolver_endpoint`, von dem `resolver_network_interface` die DNS-Abfrage stammt oder über die die DNS-Anfrage weitergeleitet wurde.

**Instance**  
Die ID der Instance, von der die Abfrage stammt.  
 Wenn Sie in den Route 53 VPC Resolver-Abfrageprotokollen eine Instance-ID sehen, die in Ihrem Konto nicht sichtbar ist, kann das daran liegen, dass die DNS-Abfrage entweder AWS CloudShell von der Amazon EKS- oder der Fargate-Konsole stammt, die von Ihnen verwendet wurde. AWS Lambda

**resolver\$1endpoint**  
Die ID des Auflösungsendpunkts, der die DNS-Abfrage an On-Premises-DNS-Server weiterleitet.  
Wenn Sie CNAME-Einträge haben, die über verschiedene Weiterleitungsregeln mit unterschiedlichen Resolver-Endpunkten verknüpft sind, zeigen Abfrageprotokolle nur die ID des letzten Resolver-Endpunkts an, der in der Kette verwendet wurde. Um den gesamten Auflösungspfad über mehrere Endpunkte hinweg nachzuverfolgen, können Sie die Protokolle verschiedener Konfigurationen der Abfrageprotokollierung korrelieren.

**firewall\$1rule\$1group\$1id**  
Die ID des DNS-Firewall-Regelgruppe, die dem Domainnamen in der Abfrage entspricht. Diese Option wird nur aufgefüllt, wenn die DNS-Firewall eine Übereinstimmung für eine Regel gefunden hat, deren Aktion auf Warnung oder Blockierung festgelegt ist.  
Weitere Informationen zu Firewll-Regelgruppen finden Sie in der [DNS-Firewall-Regelgruppen und -Regeln](resolver-dns-firewall-rule-groups.md).

**firewall\$1rule\$1action**  
Die Aktion, die von der Regel angegeben wurde, die dem Domainnamen in der Abfrage entspricht. Diese Option wird nur aufgefüllt, wenn die DNS-Firewall eine Übereinstimmung für eine Regel gefunden hat, deren Aktion auf Warnung oder Blockierung festgelegt ist.

**Firewall\$1domain\$1list\$1id**  
Die Domainliste, die von der Regel verwendet wurde, die dem Domainnamen in der Abfrage entspricht. Diese Option wird nur aufgefüllt, wenn die DNS-Firewall eine Übereinstimmung für eine Regel gefunden hat, deren Aktion auf Warnung oder Blockierung festgelegt ist.

**additional\$1properties**  
Zusätzliche Informationen zu den Protokollübermittlungsereignissen. **is\$1delayed**: Wenn es zu einer Verzögerung bei der Übermittlung der Protokolle kommt.

# Beispiel für das Route 53 VPC Resolver-Abfrageprotokoll
<a name="resolver-query-logs-example-json"></a>

Hier ist ein Beispiel für ein Resolver-Abfrageprotokoll:

```
          
      {
        "srcaddr": "4.5.64.102",
        "vpc_id": "vpc-7example",
        "answers": [
            {
                "Rdata": "203.0.113.9",
                "Type": "PTR",
                "Class": "IN"
            }
        ],
        "firewall_rule_group_id": "rslvr-frg-01234567890abcdef",
        "firewall_rule_action": "BLOCK",
        "query_name": "15.3.4.32.in-addr.arpa.",
        "firewall_domain_list_id": "rslvr-fdl-01234567890abcdef",
        "query_class": "IN",
        "srcids": {
            "instance": "i-0d15cd0d3example"
        },
        "rcode": "NOERROR",
        "query_type": "PTR",
        "transport": "UDP",
        "version": "1.100000",
        "account_id": "111122223333",
        "srcport": "56067",
        "query_timestamp": "2021-02-04T17:51:55Z",
        "region": "us-east-1"
    }
```

# Konfiguration der Resolver-Abfrageprotokollierung mit anderen Konten teilen AWS
<a name="query-logging-configurations-managing-sharing"></a>

Sie können die Konfigurationen für die Abfrageprotokollierung, die Sie mit einem AWS Konto erstellt haben, mit anderen AWS Konten teilen. Um Konfigurationen gemeinsam zu nutzen, ist die Route 53 VPC Resolver-Konsole in AWS Resource Access Manager integriert. Weitere Informationen zu Resource Access Manager finden Sie im [Benutzerhandbuch zu Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).

Beachten Sie Folgendes:

**Zuordnen zu gemeinsam genutzten Konfigurationen für die VPCs Abfrageprotokollierung**  
Wenn ein anderes AWS Konto eine oder mehrere Konfigurationen mit Ihrem Konto gemeinsam genutzt hat, können Sie sie auf dieselbe Weise VPCs mit der Konfiguration verknüpfen, wie Sie sie VPCs mit Konfigurationen verknüpfen, die Sie erstellt haben.

**Löschen oder Aufheben der Freigabe einer Konfiguration**  
Wenn Sie eine Konfiguration mit anderen Konten teilen und dann entweder die Konfiguration löschen oder die gemeinsame Nutzung beenden und wenn eine oder mehrere mit der Konfiguration verknüpft VPCs waren, beendet Route 53 VPC Resolver die Protokollierung von DNS-Abfragen, die ihren Ursprung in diesen Konten haben. VPCs

**Maximale Anzahl von Konfigurationen für die Abfrageprotokollierung VPCs , die einer Konfiguration zugeordnet werden können**  
Wenn ein Konto eine Konfiguration erstellt und sie mit einem oder mehreren anderen Konten gemeinsam nutzt, wird die maximale Anzahl davon VPCs , die der Konfiguration zugeordnet werden kann, pro Konto angewendet. Wenn Sie beispielsweise 10.000 Konten in Ihrer Organisation haben, können Sie die Konfiguration für die Abfrageprotokollierung im zentralen Konto erstellen und sie über teilen, AWS RAM um sie für die Organisationskonten freizugeben. Die Organisationskonten verknüpfen die Konfiguration dann damit, dass sie sie VPCs anhand der VPC-Zuordnungen für die Abfrageprotokollkonfiguration ihres Kontos pro AWS-Region Limit von 100 zählen. Wenn sich jedoch alle in einem einzigen Konto VPCs befinden, müssen die Dienstlimits des Kontos möglicherweise erhöht werden.  
Aktuelle VPC-Resolver-Kontingente finden Sie unter. [Kontingente auf Route 53 VPC Resolver](DNSLimitations.md#limits-api-entities-resolver)

**Berechtigungen**  
Um eine Regel mit einem anderen AWS Konto zu teilen, benötigen Sie die Berechtigung, die [PutResolverQueryLogConfigPolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutResolverQueryLogConfigPolicy.html)Aktion zu verwenden.

**Einschränkungen für das AWS Konto, mit dem eine Regel geteilt wird**  
Das Konto, für das eine Regel freigegeben werden, kann die Regel nicht ändern oder löschen. 

**Tagging**  
Nur das Konto, das eine Regel erstellt hat, kann Tags zu dieser hinzufügen, löschen oder anzeigen.

Führen Sie die folgenden Schritte aus, um den aktuellen Freigabestatus einer Regel (einschließlich des Kontos, das die Regel freigegeben hat, oder des Kontos, für das eine Regel freigegeben wurde) anzuzeigen und um Regeln für ein anderes Konto freizugeben.<a name="resolver-rules-managing-sharing-procedure"></a>

**Um den Freigabestatus anzuzeigen und Konfigurationen für die Abfrageprotokollierung mit einem anderen AWS Konto zu teilen**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Wählen Sie im Navigationsbereich die Option **Query Editor (Abfrage-Editor)** aus.

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie die Regel erstellt haben.

   Die Spalte **Sharing status (Freigabestatus)** zeigt den aktuellen Freigabestatus der Regeln, die von dem aktuellen Konto erstellt wurden oder die für das aktuelle Konto freigegeben wurden:
   + **Nicht geteilt**: Das aktuelle AWS Konto hat die Regel erstellt, und die Regel wird nicht mit anderen Konten geteilt.
   + **Shared by me (Von mir freigegeben)**: Das aktuelle Konto hat die Regel erstellt und für ein oder mehrere Konten freigegeben.
   + **Shared with me (Für mich freigegeben)**: Ein anderes Konto hat die Regel erstellt und für das aktuelle Konto freigegeben.

1. Wählen Sie den Namen der Regel, für die Sie Freigabeinformationen anzeigen möchten oder die Sie für ein anderes Konto freigeben möchten.

   Auf der *rule name* Seite **Regel:** zeigt der Wert unter **Besitzer** die ID des Kontos an, mit dem die Regel erstellt wurde. Dies ist das aktuelle Konto, sofern der Wert unter **Sharing Status (Freigabestatus)** nicht **Shared with me (Für mich freigegeben)** lautet. In diesem Fall handelt es sich bei **Owner (Eigentümer)** um das Konto, das die Regel erstellt und für das aktuelle Konto freigegeben hat.

   Der Freigabestatus wird ebenfalls angezeigt.

1. Wählen Sie **Konfiguration teilen**, um die AWS RAM Konsole zu öffnen

1. Um eine Ressourcenfreigabe zu erstellen, folgen Sie den Schritten [unter Erstellen einer Ressourcenfreigabe AWS RAM im AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) *Benutzerhandbuch*.
**Anmerkung**  
Sie können keine Freigabeeinstellungen aktualisieren. Wenn Sie eine der folgenden Einstellungen ändern möchten, müssen Sie eine Regel mit den neuen Einstellungen freigeben und die alten Freigabeeinstellungen anschließend entfernen.