こんにちは。AWS CLIが好きな福島です。
はじめに
Route 53では、パブリックおよびプライベートホストゾーン、 それぞれのDNSクエリのログを取得することができるのですが、 ゾーンの種別によって、設定方法や出力先などが異なります。
ということで、今回は、その違いをブログにまとめます。
補足
プライベートホストゾーンに登録したレコードは、関連付けたVPCのRoute 53 Resolverに設定されるため、 正確には、プライベートホストゾーンのクエリログではなく、Route 53 Resolverのクエリログという表現が正しいですが、 今回は便宜上、プライベートホストゾーンのクエリログと記載いたします。
ゾーン種別による違い
設定方法以外の違い
設定方法以外の違いをざっくり表にまとめてみました。
補足
パブリックホストゾーンのクエリログは、CloudWatch Logsにしか出力できませんが、 長期保管を考えるとS3にも出力したいケースがあるかと存じます。
その場合は、CloudWatch LogsからS3へエクスポートするパターン(※1)や
CloudWatch Logs⇒Kinesis Data Firehose⇒S3といった構成も取ることが可能です。
(後者のやり方は、別の記事にまとめたいと思います。)
※1 ログの保持期間の変更と Amazon S3 へのログのエクスポート
設定方法の違い
詳細は割愛しますが、設定する箇所は以下の通り違います。
パブリックホストゾーンの場合
設定したいホストゾーンを選択した上で「クエリログの設定」を押下します。
プライベートホストゾーンの場合
「クエリのログ記録」から「クエリログ記録の設定」を押下します。
まとめ
今回は、パブリックおよびプライベートホストゾーンのクエリログの違いをまとめてみました。 どなたかのお役に立てれば幸いです。
参考情報
パブリック DNS クエリのログ記録 - Amazon Route 53
リゾルバーでのクエリのログ記録 - Amazon Route 53