本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
解析程式查詢日誌記錄
您可以記錄下列 DNS 查詢:
源於您指定的 Amazon Virtual Private Cloud VPC 的查詢,以及對這些 DNS 查詢的回應。
來自使用傳入 Resolver 端點的內部部署資源的查詢。
使用傳出 Resolver 端點進行遞迴 DNS 解析的查詢。
使用解析程式 DNS 防火牆規則來封鎖、允許或監控網域清單的查詢。
VPC Resolver 查詢日誌包含的值如下:
-
建立 VPC AWS 的區域
-
查詢源自其中的 VPC 的 ID
-
查詢源自其中的執行個體的 IP 地址
-
查詢源自其中的資源的執行個體 ID
-
第一次進行查詢的日期和時間
-
要求的 DNS 名稱 (例如 prod.example.com)
-
DNS 記錄類型 (例如 A 或 AAAA)
-
DNS 回答代碼,例如
NoError或ServFail -
DNS 回答資料,例如,在對 DNS 查詢做出的回答中傳回的 IP 地址
-
對 DNS 防火牆規則動作的回應
如需所有記錄值的詳細清單和範例,請參閱 出現在 VPC Resolver 查詢日誌中的值。
注意
按照 DNS 解析程式的標準,解析程式快取 DNS 查詢的時間長度由解析程式的存留時間 (TTL) 決定。Route 53 VPC Resolver 會快取源自 VPCs查詢,並盡可能從快取回應以加速回應。VPC Resolver 查詢日誌記錄僅記錄唯一查詢,而不是 VPC Resolver 能夠從快取回應的查詢。
例如,假設其中一個 VPC 中的 EC2 執行個體正在記錄查詢的查詢,則會提交 account.example.com 的要求。VPC Resolver 會快取該查詢的回應,並記錄查詢。如果相同執行個體的彈性網路介面在 VPC Resolver 快取的 TTL 內對 accounting.example.com 進行查詢,VPC Resolver 會從快取回應查詢。未記錄第二個查詢。
您可以將日誌傳送至下列其中一個 AWS 資源:
-
Amazon CloudWatch Logs (CloudWatch Logs) 日誌群組
-
Amazon S3 (S3) 儲存貯體
-
Firehose 交付串流
如需詳細資訊,請參閱AWS 您可以將 VPC Resolver 查詢日誌傳送至 的資源。
