기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Resolver 쿼리 로깅 구성 관리
<a name="resolver-query-logging-configurations-managing"></a>

## 구성(VPC Resolver 쿼리 로깅)
<a name="resolver-query-logs-configuring"></a>

다음 두 가지 방법으로 VPC Resolver 쿼리 로깅을 구성할 수 있습니다.
+ **직접 VPC 연결** - VPCs를 쿼리 로깅 구성에 직접 연결합니다.
+ **프로필 연결** - 쿼리 로깅 구성을 Route 53 Profile에 연결합니다.이 프로필은 해당 프로필과 연결된 모든 VPCs에 로깅을 적용합니다. 자세한 내용은 [VPC Resolver 쿼리 로깅 구성을 Route 53 Profile에 연결](profile-associate-query-logging.md) 단원을 참조하십시오.

VPC에서 시작된 DNS 쿼리의 로깅을 시작하려면 Amazon Route 53 콘솔에서 다음 작업을 수행합니다.<a name="resolver-query-logs-configuring-procedure"></a>

**Resolver 쿼리 로깅을 구성하려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.

1. Route 53 콘솔 메뉴를 확장합니다. 콘솔의 왼쪽 상단 모서리에서 세 개의 가로 막대(![\[Menu icon\]](http://docs.aws.amazon.com/ko_kr/Route53/latest/DeveloperGuide/images/menu-icon.png)) 아이콘을 선택합니다.

1. Resolver 메뉴에서**쿼리 로깅(Query logging)**을 선택합니다.

1. 리전 선택기에서 쿼리 로깅 구성을 생성할 AWS 리전을 선택합니다. 이 리전은 DNS 쿼리를 로그하려는 VPC를 생성한 리전과 동일해야 합니다. 여러 리전에 VPC가 있는 경우 리전별로 쿼리 로깅 구성을 하나 이상 생성해야 합니다.

1. **쿼리 로깅 구성(Configure query logging)**을 선택합니다.

1. 다음 값을 지정하세요.  
**쿼리 로깅 구성 이름**  
쿼리 로깅 구성의 이름을 입력합니다. 이 이름은 쿼리 로깅 구성 목록의 콘솔에 표시됩니다. 나중에 이 구성을 찾는 데 도움이 되는 이름을 입력합니다.  
**쿼리 로그 대상**  
VPC Resolver가 쿼리 로그를 전송할 AWS 리소스 유형을 선택합니다. 옵션(CloudWatch Logs 로그 그룹, S3 버킷, Kinesis Data Firehose 전송 스트림) 중에서 선택하는 방법에 대한 자세한 내용은 [AWS VPC Resolver 쿼리 로그를 보낼 수 있는 리소스](resolver-query-logs-choosing-target-resource.md) 섹션을 참조하세요.  
리소스 유형을 선택한 후 해당 유형의 다른 리소스를 생성하거나 현재 AWS 계정에서 생성한 기존 리소스를 선택할 수 있습니다.  
쿼리 로깅 구성을 만드는 리전, 곧 4단계에서 선택한 AWS 리전에서 생성된 리소스만 선택할 수 있습니다. 새 리소스를 생성하도록 선택하면 해당 리소스가 동일한 리전에서 생성됩니다.  
**쿼리를 로그할 VPC**  
이 쿼리 로깅 구성은 선택한 VPC에서 시작된 DNS 쿼리를 로그합니다. VPC Resolver가 쿼리를 로깅할 현재 리전의 각 VPC에 대한 확인란을 선택한 다음 **선택을** 선택합니다.  
**대안**: VPCs 직접 연결하는 대신이 쿼리 로깅 구성을 Route 53 Profile에 연결할 수 있습니다. 그러면 해당 Profile과 연결된 모든 VPCs에 로깅이 적용됩니다. 자세한 내용은 [VPC Resolver 쿼리 로깅 구성을 Route 53 Profile에 연결](profile-associate-query-logging.md) 단원을 참조하십시오.  
VPC 로그 전송은 특정 대상 유형에 대해 한 번만 활성화할 수 있습니다. 로그는 동일한 유형의 여러 대상으로 전송할 수 없습니다. 예를 들어, VPC 로그는 2개의 Amazon S3 대상으로 전송될 수 없습니다.

1. **쿼리 로깅 구성**을 선택합니다.

**참고**  
쿼리 로깅 구성을 생성한 후 몇 분 내에 VPC의 리소스가 만든 DNS 쿼리를 로그에서 확인할 있어야 합니다.

# VPC Resolver 쿼리 로그에 표시되는 값
<a name="resolver-query-logs-format"></a>

각 로그 파일에는 Amazon Route 53가 해당 엣지 로케이션의 DNS 해석기로부터 수신한 각 DNS 쿼리에 대한 하나의 로그 항목이 포함되어 있습니다. 각 로그 항목에는 다음 값이 포함되어 있습니다.

**버전**  
쿼리 로그 형식의 버전 번호입니다. 현재 버전은 `1.1`입니다.  
버전 값은 **major\$1version.minor\$1version** 형식의 메이저 및 마이너 버전입니다. 예를 들어 `version` 값이 `1.7`일 수 있습니다. 여기서 `1 `은 메이저 버전이고 `7`은 마이너 버전입니다.  
Route 53에서는 이전 버전과 호환되지 않는 로그 구조가 변경되면 메이저 버전이 증가합니다. 여기에는 이미 존재하는 JSON 필드를 제거하거나 필드 내용이 표시되는 방식(예: 날짜 형식)을 변경하는 작업이 포함됩니다.  
 변경 사항이 로그 파일에 새 필드를 추가하는 경우 Route 53는 마이너 버전을 증가시킵니다. VPC 내의 일부 또는 모든 기존 DNS 쿼리에 대해 새 정보를 사용할 수 있는 경우 이런 일이 일어날 수 있습니다.

**account\$1id**  
VPC를 생성한 AWS 계정의 ID입니다.

**리전**  
VPC를 생성한 AWS 리전입니다.

**vpc\$1id**  
쿼리가 시작된 VPC의 ID입니다.

**query\$1timestamp**  
쿼리가 ISO 8601 형식 및 협정 세계시(UTC)로 제출된 날짜 및 시간입니다(예: `2017-03-16T19:20:177Z`).  
ISO 8601 형식에 대한 자세한 내용은 Wikipedia 도움말 [ISO 8601](https://en.wikipedia.org/wiki/ISO_8601)을 참조하세요. UTC에 대한 자세한 내용은 Wikipedia 도움말 [협정 세계시](https://en.wikipedia.org/wiki/Coordinated_Universal_Time)를 참조하세요.

**query\$1name**  
쿼리에 지정된 도메인 이름(예: example.com) 또는 하위 도메인 이름(예: www.example.com)입니다.

**query\$1type**  
요청에서 지정된 DNS 레코드 유형 또는 `ANY`입니다. Route 53가 지원하는 유형에 대한 자세한 내용은 [지원되는 DNS 레코드 유형](ResourceRecordTypes.md)를 참조하세요.

**query\$1class**  
쿼리의 클래스입니다.

**rcode**  
VPC Resolver가 DNS 쿼리에 대한 응답으로 반환한 DNS 응답 코드입니다. 이 응답 코드는 쿼리가 유효한지 여부를 표시합니다. 가장 일반적인 응답 코드는 `NOERROR`이며, 이는 쿼리가 유효한 상태임을 의미합니다. 응답이 유효하지 않은 경우에는 Resolver가 이유를 설명하는 응답 코드를 반환합니다. 가능한 응답 코드의 목록을 보려면 IANA 웹 사이트에서 [DNS RCODEs](https://www.iana.org/assignments/dns-parameters/dns-parameters.xhtml#dns-parameters-6) 섹션을 참조하세요.

**answer\$1type**  
쿼리에 대한 응답으로 VPC Resolver가 반환하는 값의 DNS 레코드 유형(예: A, MX 또는 CNAME)입니다. Route 53가 지원하는 유형에 대한 자세한 내용은 [지원되는 DNS 레코드 유형](ResourceRecordTypes.md)를 참조하세요.

**rdata**  
쿼리에 대한 응답으로 VPC Resolver가 반환한 값입니다. 예를 들어 A 레코드의 경우 이 값은 IPv4 형식의 IP 주소입니다. CNAME 레코드의 경우 이 값은 CNAME 레코드의 도메인 이름입니다.

**answer\$1class**  
쿼리에 대한 VPC Resolver 응답의 클래스입니다.

**srcaddr**  
쿼리가 시작된 호스트의 IP 주소입니다.

**srcport**  
쿼리가 시작된 인스턴스의 포트입니다.

**운송**  
DNS 쿼리를 제출하는 데 사용되는 프로토콜입니다.

**srcids**  
DNS 쿼리가 시작되거나 전달된 `instance`, `resolver_endpoint`, 및 `resolver_network_interface`의 ID입니다.

**인스턴스**  
쿼리가 시작된 인스턴스의 ID입니다.  
 Route 53 VPC Resolver 쿼리 로그에 계정에 표시되지 않는 인스턴스 ID가 표시되는 경우 DNS 쿼리가 사용자가 사용한 AWS CloudShell AWS Lambda Amazon EKS 또는 Fargate 콘솔에서 시작되었기 때문일 수 있습니다.

**resolver\$1endpoint**  
DNS 쿼리를 온프레미스 DNS 서버로 전달하는 해석기 엔드포인트의 ID입니다.  
서로 다른 해석기 엔드포인트를 사용하여 서로 다른 전달 규칙 간을 잇는 CNAME 레코드가 있는 경우 체인에 사용된 마지막 해석기 엔드포인트의 ID만 쿼리 로그에 표시됩니다. 여러 엔드포인트를 거치는 전체 확인 경로를 추적하려면 서로 다른 쿼리 로깅 구성의 로그들을 상호 연관시켜 분석할 수 있습니다.

**firewall\$1rule\$1group\$1id**  
쿼리에 있는 도메인 이름과 일치하는 DNS Firewall 규칙 그룹의 ID입니다. 이는 DNS 방화벽이 알림 또는 차단으로 설정된 작업과 일치하는 규칙을 발견한 경우에만 채워집니다.  
방화벽 규칙에 대한 자세한 내용은 [DNS 방화벽 규칙 그룹 및 규칙](resolver-dns-firewall-rule-groups.md)를 참조하세요.

**firewall\$1rule\$1action**  
쿼리에 있는 도메인 이름과 일치하는 규칙에 의해 지정된 작업입니다. 이는 DNS 방화벽이 알림 또는 차단으로 설정된 작업과 일치하는 규칙을 발견한 경우에만 채워집니다.

**firewall\$1domain\$1list\$1id**  
쿼리에 있는 도메인 이름과 일치하는 규칙에 의해 사용되는 도메인 목록입니다. 이는 DNS 방화벽이 알림 또는 차단으로 설정된 작업과 일치하는 규칙을 발견한 경우에만 채워집니다.

**additional\$1properties**  
로그 전송 이벤트에 대한 추가 정보입니다. **is\$1delay:** 로그 전송이 지연되는 경우입니다.

# Route 53 VPC Resolver 쿼리 로그 예제
<a name="resolver-query-logs-example-json"></a>

다음은 Resolver 쿼리 로그 예제입니다.

```
          
      {
        "srcaddr": "4.5.64.102",
        "vpc_id": "vpc-7example",
        "answers": [
            {
                "Rdata": "203.0.113.9",
                "Type": "PTR",
                "Class": "IN"
            }
        ],
        "firewall_rule_group_id": "rslvr-frg-01234567890abcdef",
        "firewall_rule_action": "BLOCK",
        "query_name": "15.3.4.32.in-addr.arpa.",
        "firewall_domain_list_id": "rslvr-fdl-01234567890abcdef",
        "query_class": "IN",
        "srcids": {
            "instance": "i-0d15cd0d3example"
        },
        "rcode": "NOERROR",
        "query_type": "PTR",
        "transport": "UDP",
        "version": "1.100000",
        "account_id": "111122223333",
        "srcport": "56067",
        "query_timestamp": "2021-02-04T17:51:55Z",
        "region": "us-east-1"
    }
```

# Resolver 쿼리 로깅 구성을 다른 AWS 계정과 공유
<a name="query-logging-configurations-managing-sharing"></a>

한 AWS 계정을 사용하여 생성한 쿼리 로깅 구성을 다른 계정과 공유할 수 AWS 있습니다. 구성을 공유하기 위해 Route 53 VPC Resolver 콘솔은 AWS Resource Access Manager와 통합됩니다. Resource Access Manager에 대한 자세한 내용은 [Resource Access Manager 사용 설명서](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) 섹션을 참조하세요.

다음을 참조하세요.

**공유된 쿼리 로깅 구성을 VPC와 연결**  
다른 AWS 계정이 하나 이상의 구성을 계정과 공유한 경우 VPCs를 생성한 구성과 연결하는 것과 동일한 방식으로 VPCs 구성과 연결할 수 있습니다.

**구성 삭제 또는 공유 해제**  
구성을 다른 계정과 공유한 다음 구성을 삭제하거나 공유를 중지하고 하나 이상의 VPCs 구성과 연결된 경우 Route 53 VPC Resolver는 해당 VPCs.

**구성에 연결할 수 있는 쿼리 로깅 구성 및 VPC의 최대 수**  
계정이 구성을 생성하여 하나 이상의 다른 계정과 공유하는 경우 구성에 연결할 수 있는 최대 VPC 수가 계정에 적용됩니다. 예를 들어 조직에 10,000개의 계정이 있는 경우 중앙 계정에서 쿼리 로깅 구성을 생성하고를 통해 공유 AWS RAM 하여 조직 계정과 공유할 수 있습니다. 그러면 조직 계정은 해당 VPC와 구성을 연결하여 AWS 리전 한도인 100개당 해당 계정의 쿼리 로그 구성 VPC 연결에 대해 구성을 계산합니다. 그러나 모든 VPC가 단일 계정에 있는 경우 해당 계정의 서비스 한도를 늘려야 할 수 있습니다.  
현재 VPC Resolver 할당량은 섹션을 참조하세요[Route 53 VPC Resolver의 할당량](DNSLimitations.md#limits-api-entities-resolver).

**권한**  
규칙을 다른 AWS 계정과 공유하려면 [PutResolverQueryLogConfigPolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutResolverQueryLogConfigPolicy.html) 작업을 사용할 수 있는 권한이 있어야 합니다.

**규칙이 공유되는 AWS 계정에 대한 제한 사항**  
규칙이 공유되는 계정은 규칙을 변경하거나 삭제할 수 없습니다.

**태그 지정**  
규칙을 생성한 계정만 규칙의 태그를 추가하거나 삭제하거나 볼 수 있습니다.

규칙의 현재 공유 상태를 보고(규칙을 공유한 계정 또는 규칙이 공유되는 계정 포함) 규칙을 다른 계정과 공유하려면 다음 절차를 수행하세요.<a name="resolver-rules-managing-sharing-procedure"></a>

**공유 상태를 보고 쿼리 로깅 구성을 다른 AWS 계정과 공유하려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.

1. 탐색 창에서 **쿼리 로깅**을 선택합니다.

1. 탐색 모음에서 규칙을 생성한 리전을 선택합니다.

   현재 계정이 생성하거나 현재 계정과 공유되는 규칙의 현재 공유 상태가 **공유 상태** 열에 표시됩니다.
   + **공유되지 않음**: 현재 AWS 계정이 규칙을 생성했으며 규칙은 다른 계정과 공유되지 않습니다.
   + **나와 공유됨**: 현재 계정이 규칙을 생성하고 하나 이상의 계정과 공유했습니다.
   + **나와 공유 상태**: 다른 계정이 규칙을 생성하고 현재 계정과 공유했습니다.

1. 공유 정보를 표시하거나 다른 계정과 공유할 규칙의 이름을 선택합니다.

   **규칙: *규칙 이름*** 페이지에서 **소유자** 아래의 값은 규칙을 생성한 계정의 ID를 나타냅니다. **Sharing status(공유 상태)**의 값이 **나와 공유 상태**가 아닐 경우 현재 계정입니다. 이 경우 **소유자**는 규칙을 생성하고 현재 계정과 공유한 계정입니다.

   공유 상태도 표시됩니다.

1. **구성 공유**를 선택하여 AWS RAM 콘솔을 엽니다.

1. 리소스 공유를 생성하려면 *AWS RAM 사용 설명서*의 [AWS RAM에서 리소스 공유 생성](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) 단계를 따릅니다.
**참고**  
공유 설정을 업데이트할 수 없습니다. 다음 설정 중 하나로도 변경하려면 규칙을 새로운 설정과 다시 공유한 후 이전 공유 설정을 제거해야 합니다.