【Route 53】パブリックおよびプライベートホストゾーンのクエリログの違いについて

記事タイトルとURLをコピーする

こんにちは。AWS CLIが好きな福島です。

はじめに

Route 53では、パブリックおよびプライベートホストゾーン、 それぞれのDNSクエリのログを取得することができるのですが、 ゾーンの種別によって、設定方法や出力先などが異なります。

ということで、今回は、その違いをブログにまとめます。

補足

プライベートホストゾーンに登録したレコードは、関連付けたVPCのRoute 53 Resolverに設定されるため、 正確には、プライベートホストゾーンのクエリログではなく、Route 53 Resolverのクエリログという表現が正しいですが、 今回は便宜上、プライベートホストゾーンのクエリログと記載いたします。

ゾーン種別による違い

設定方法以外の違い

設定方法以外の違いをざっくり表にまとめてみました。

補足

パブリックホストゾーンのクエリログは、CloudWatch Logsにしか出力できませんが、 長期保管を考えるとS3にも出力したいケースがあるかと存じます。

その場合は、CloudWatch LogsからS3へエクスポートするパターン(※1)や
CloudWatch Logs⇒Kinesis Data Firehose⇒S3といった構成も取ることが可能です。
(後者のやり方は、別の記事にまとめたいと思います。)

※1 ログの保持期間の変更と Amazon S3 へのログのエクスポート

設定方法の違い

詳細は割愛しますが、設定する箇所は以下の通り違います。

パブリックホストゾーンの場合

設定したいホストゾーンを選択した上で「クエリログの設定」を押下します。

プライベートホストゾーンの場合

「クエリのログ記録」から「クエリログ記録の設定」を押下します。

まとめ

今回は、パブリックおよびプライベートホストゾーンのクエリログの違いをまとめてみました。 どなたかのお役に立てれば幸いです。

参考情報

パブリック DNS クエリのログ記録 - Amazon Route 53
リゾルバーでのクエリのログ記録 - Amazon Route 53

福島 和弥 (記事一覧)

SRE3課

2019/10 入社

AWS CLIが好きです。