Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Administración de configuraciones de registro de consultas de Resolver
Administración de la configuración
## Configuración (registro de consultas de VPC Resolver)
Configuración (VPC) del registro de consultas de VPC Resolver
Puede configurar el registro de consultas de VPC Resolver de dos maneras:
+ **Asociación directa de VPC**: se asocia VPCs directamente a una configuración de registro de consultas.
+ **Asociación de perfiles**: asocie una configuración de registro de consultas a un perfil de Route 53, que aplica el registro a todos los VPCs asociados a ese perfil. Para obtener más información, consulte [Asocie las configuraciones de registro de consultas de VPC Resolver a un perfil de Route 53](profile-associate-query-logging.md).
Para empezar a registrar las consultas de DNS que se originan en su VPCs, realice las siguientes tareas en la consola de Amazon Route 53:
**Para configurar el registro de consultas de Resolver**
1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Expanda el menú de la consola de Route 53. En la esquina superior izquierda de la consola, elija el icono de las tres barras horizontales (![\[Menu icon\]](http://docs.aws.amazon.com/es_es/Route53/latest/DeveloperGuide/images/menu-icon.png)).
1. En el menú Resolver, elija **Registro de consultas**.
1. En el selector de regiones, elija la AWS región en la que desee crear la configuración de registro de consultas. Debe ser la misma región en la que creó la región para la VPCs que desea registrar las consultas de DNS. Si está VPCs en varias regiones, debe crear al menos una configuración de registro de consultas para cada región.
1. Elija **Configure query logging** (Configuración del registro de consultas).
1. Especifique los siguientes valores:
**Nombre de configuración del registro de consultas**
Ingrese un nombre para la configuración del registro de consultas. El nombre aparece en la consola en la lista de configuraciones del registro de consultas. Ingrese un nombre que le ayude a encontrar esta configuración más tarde.
**Destino de los registros de consulta**
Elija el tipo de AWS recurso al que quiere que VPC Resolver envíe los registros de consultas. Para obtener información sobre cómo elegir entre las opciones (grupo de CloudWatch registros, depósito S3 y transmisión de entrega Firehose), consulte. [AWS recursos a los que puede enviar registros de consultas de VPC Resolver](resolver-query-logs-choosing-target-resource.md)
Tras elegir el tipo de recurso, puede crear otro recurso de ese tipo o elegir un recurso existente creado por la AWS cuenta corriente.
Solo puede elegir recursos que se hayan creado en la región de AWS que eligió en el paso 4, la región donde está creando la configuración del registro de consultas. Si decide crear un recurso nuevo, ese recurso se creará en la misma región.
**VPCs para registrar consultas para**
Esta configuración de registro de consultas registrará las consultas de DNS que se originen en el VPCs que elija. **Marque la casilla de verificación de cada VPC de la región actual en la que desee que VPC Resolver registre las consultas y, a continuación, seleccione Elegir.**
**Alternativa**: en lugar de VPCs asociarla directamente, puede asociar esta configuración de registro de consultas a un perfil de Route 53, que aplicará el registro a todos los VPCs asociados a ese perfil. Para obtener más información, consulte [Asocie las configuraciones de registro de consultas de VPC Resolver a un perfil de Route 53](profile-associate-query-logging.md).
La entrega de registros de VPC solo se puede habilitar una vez para un tipo de destino específico. Los registros no se pueden enviar a varios destinos del mismo tipo; por ejemplo, los registros de VPC no se pueden entregar a dos destinos de Amazon S3.
1. Elija **Configure query logging** (Configuración del registro de consultas).
**nota**
Debe comenzar a ver consultas de DNS realizadas por los recursos de su VPC en los registros unos minutos después de crear correctamente la configuración del registro de consultas.
# Valores que aparecen en los registros de consultas de VPC Resolver
Valores que aparecen en los registros de consulta de Resolver
Cada archivo de registros contiene una entrada de registro por cada consulta de DNS que recibe Amazon Route 53 desde solucionadores de DNS en la ubicación de borde correspondiente. Cada entrada de registro incluye los valores siguientes:
**versión**
El número de versión de este formato de registro de consultas. La versión actual es `1.1`.
El valor de versión contiene una versión principal y una versión secundaria con el formato **major\$1version.minor\$1version**. Por ejemplo, puede tener un valor `version` de `1.7`, donde `1 ` es la versión principal y `7` es la versión secundaria.
Route 53 incrementa la versión principal si se realiza un cambio en la estructura del registro que no es compatible con versiones anteriores. Esto incluye eliminar un campo JSON existente o cambiar la forma en que se representa el contenido de un campo (por ejemplo, un formato de fecha).
Route 53 incrementa la versión secundaria si un cambio agrega nuevos campos al archivo de registros. Esto puede ocurrir cuando hay nueva información disponible para algunas o todas las consultas de DNS existentes dentro de una VPC.
**account\$1id**
El ID de la AWS cuenta que creó la VPC.
**region**
La AWS región en la que creó la VPC.
**vpc\$1id**
El ID de VPC en la que se originó la consulta.
**query\$1timestamp**
La fecha y hora en que las que se envió la consulta, en formato ISO 8601 y hora universal coordinada (UTC, por sus siglas en inglés); por ejemplo, `2017-03-16T19:20:177Z`.
Para obtener información acerca del formato ISO 8601, consulte el artículo de Wikipedia [ISO 8601](https://en.wikipedia.org/wiki/ISO_8601). Para obtener información sobre UTC, consulte el artículo de Wikipedia sobre [Hora universal coordinada](https://en.wikipedia.org/wiki/Coordinated_Universal_Time).
**query\$1name**
El nombre de dominio (example.com) o nombre del subdominio (www.example.com) que se especificó en la consulta.
**query\$1type**
El tipo de registro DNS que se ha especificado en la solicitud o `ANY`. Para obtener información acerca de los tipos que admite Route 53, consulte [Tipos de registros de DNS admitidos](ResourceRecordTypes.md).
**query\$1class**
La clase de consulta.
**rcode**
El código de respuesta de DNS que VPC Resolver devolvió en respuesta a la consulta de DNS. El código de respuesta indica si la consulta era válida o no. El código de respuesta más habitual es `NOERROR`, para indicar que la consulta era válida. Si la respuesta no es válida, Resolver devuelve un código de respuesta que explica el motivo. Para obtener una lista de los posibles códigos de respuesta, consulte [DNS RCODEs](https://www.iana.org/assignments/dns-parameters/dns-parameters.xhtml#dns-parameters-6) en el sitio web de la IANA.
**answer\$1type**
El tipo de registro DNS (como A, MX o CNAME) del valor que VPC Resolver devuelve en respuesta a la consulta. Para obtener información acerca de los tipos que admite Route 53, consulte [Tipos de registros de DNS admitidos](ResourceRecordTypes.md).
**rdata**
El valor que VPC Resolver devolvió en respuesta a la consulta. Por ejemplo, para un registro A, se trata de una dirección IP en IPv4 formato. Para un registro CNAME, será el nombre de dominio en el registro CNAME.
**answer\$1class**
La clase de la respuesta del solucionador de VPC a la consulta.
**srcaddr**
La dirección IP del host que originó la consulta.
**srcport**
El puerto de la instancia desde la que se originó la consulta.
**transport**
El protocolo utilizado para enviar la consulta de DNS.
**srcids**
IDs del `instance``resolver_endpoint`, y del origen o por el `resolver_network_interface` que ha pasado la consulta de DNS.
**instancia**
El ID de la instancia desde la que se originó la consulta.
Si ve un ID de instancia en los registros de consultas de VPC Resolver de Route 53 que no está visible en su cuenta, puede deberse a que la consulta de DNS se originó en la consola AWS Lambda Amazon EKS o AWS CloudShell Fargate, que utilizó usted.
**resolver\$1endpoint**
El ID del punto de conexión del solucionador que pasa la consulta de DNS a los servidores DNS en las instalaciones.
Si tiene registros CNAME que utilizan diferentes reglas de reenvío en cadena con distintos puntos de conexión del solucionador, los registros de consultas muestran solo el ID del último punto de conexión del solucionador utilizado en la cadena. Para rastrear la ruta de resolución completa a través de varios puntos de conexión, puede correlacionar los registros en diferentes configuraciones de registro de consultas.
**firewall\$1rule\$1group\$1id**
El ID del grupo de reglas de DNS Firewall de que coincidió con el nombre de dominio de la consulta. Esto solo se rellena si DNS Firewall encontró una coincidencia para una regla con la acción configurada de alerta o bloqueo.
Para obtener más información sobre los grupos de reglas de firewall, consulte [Reglas y grupos de reglas de DNS Firewall](resolver-dns-firewall-rule-groups.md).
**firewall\$1rule\$1action**
La acción especificada por la regla que coincidió con el nombre de dominio de la consulta. Esto solo se rellena si DNS Firewall encontró una coincidencia para una regla con la acción configurada de alerta o bloqueo.
**firewall\$1domain\$1list\$1id**
La lista de dominios utilizada por la regla que coincidió con el nombre de dominio de la consulta. Esto solo se rellena si DNS Firewall encontró una coincidencia para una regla con la acción configurada de alerta o bloqueo.
**additional\$1properties**
Información adicional sobre los eventos de entrega del registro. **is\$1delay**: si hay una demora en la entrega de los registros.
# Ejemplo de registro de consultas de VPC Resolver de Route 53
Ejemplo de registro de consulta de Resolver
Presentamos un ejemplo de registro de consultas del solucionador:
```
{
"srcaddr": "4.5.64.102",
"vpc_id": "vpc-7example",
"answers": [
{
"Rdata": "203.0.113.9",
"Type": "PTR",
"Class": "IN"
}
],
"firewall_rule_group_id": "rslvr-frg-01234567890abcdef",
"firewall_rule_action": "BLOCK",
"query_name": "15.3.4.32.in-addr.arpa.",
"firewall_domain_list_id": "rslvr-fdl-01234567890abcdef",
"query_class": "IN",
"srcids": {
"instance": "i-0d15cd0d3example"
},
"rcode": "NOERROR",
"query_type": "PTR",
"transport": "UDP",
"version": "1.100000",
"account_id": "111122223333",
"srcport": "56067",
"query_timestamp": "2021-02-04T17:51:55Z",
"region": "us-east-1"
}
```
# Compartir las configuraciones de registro de consultas de Resolver con otras cuentas AWS
Compartir configuraciones del registro de consultas de Resolver con otras cuentas..
Puede compartir las configuraciones de registro de consultas que creó con una AWS cuenta con otras AWS cuentas. Para compartir configuraciones, la consola de resolución de VPC de Route 53 se integra con AWS Resource Access Manager. Para obtener más información acerca de Resource Access Manager, consulte la [Guía del usuario de Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).
Tenga en cuenta lo siguiente:
**Asociación VPCs con configuraciones de registro de consultas compartidas**
Si otra AWS cuenta ha compartido una o más configuraciones con la suya, puede VPCs asociarla a la configuración del mismo modo que a VPCs las configuraciones que creó.
**Eliminación o dejar de compartir una configuración**
Si comparte una configuración con otras cuentas y, a continuación, la elimina o deja de compartirla, y si hay una o más asociadas a la configuración, Route 53 VPC Resolver deja de registrar las consultas de DNS que VPCs se originan en esas cuentas. VPCs
**Número máximo de configuraciones de registro de consultas VPCs que se pueden asociar a una configuración**
Cuando una cuenta crea una configuración y la comparte con una o más cuentas, se aplica el número máximo de cuentas VPCs que se pueden asociar a la configuración por cuenta. Por ejemplo, si tiene 10 000 cuentas en su organización, puede crear la configuración de registro de consultas en la cuenta central y compartirla AWS RAM a través de ella para compartirla con las cuentas de la organización. A continuación, las cuentas de la organización asociarán la configuración a su VPCs contabilización en función de las asociaciones de VPC de la configuración del registro de consultas de su cuenta por Región de AWS límite de 100. Sin embargo, si todas VPCs están en una sola cuenta, es posible que sea necesario aumentar los límites de servicio de la cuenta.
Para conocer las cuotas actuales de VPC Resolver, consulte. [Cuotas en el solucionador de VPC Route 53](DNSLimitations.md#limits-api-entities-resolver)
**Permisos**
Para compartir una regla con otra AWS cuenta, debe tener permiso para usar la [PutResolverQueryLogConfigPolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutResolverQueryLogConfigPolicy.html)acción.
**Restricciones en la AWS cuenta con la que se comparte una regla**
La cuenta con la que se comparte una regla no puede cambiar o eliminar la regla.
**Etiquetado**
Solo la cuenta que creó una regla puede añadir, eliminar o consultar etiquetas de la regla.
Para ver el estado actual de uso compartido de una regla (incluida la cuenta que compartió la regla o la cuenta con la que se comparte una regla) y para compartir reglas con otra cuenta, siga el procedimiento que se indica a continuación.
**Para ver el estado del uso compartido y compartir las configuraciones del registro de consultas con otra AWS cuenta**
1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. En el panel de navegación, elija **Query Logging** (Registro de consultas).
1. En la barra de navegación, elija la región en la que creó la regla.
La columna **Sharing status** (Estado de uso compartido) muestra el estado actual de uso compartido de las reglas creadas por la cuenta actual o que se comparten con la cuenta actual:
+ **No compartida**: la AWS cuenta actual creó la regla y la regla no se comparte con ninguna otra cuenta.
+ **Shared by me** (Compartido por mí): la cuenta actual creó la regla y la compartió con una o varias cuentas.
+ **Shared with me** (Compartido conmigo): otra cuenta creó la regla y la compartió con la cuenta actual.
1. Elija el nombre de la regla cuya información de uso compartido desea mostrar o que desea compartir con otra cuenta.
En la *rule name* página **Regla:**, el valor de **Propietario** muestra el ID de la cuenta que creó la regla. Es la cuenta actual a menos que el valor de **Sharing status** (Estado de uso compartido) sea **Shared with me** (Compartido conmigo). En ese caso, **Owner** (Propietario) es la cuenta que creó la regla y la compartió con la cuenta actual.
También se muestra el estado de uso compartido.
1. Seleccione **Compartir configuración** para abrir la AWS RAM consola
1. Para crear un recurso compartido, siga los pasos descritos en [Crear un recurso compartido en AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) en la *Guía del usuario de AWS RAM *.
**nota**
No se puede actualizar la configuración de uso compartido. Si desea cambiar cualquiera de los siguientes valores, debe volver a compartir una regla con la nueva configuración y, a continuación, quitar la configuración de uso compartido anterior.