Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Surveillance de l'activité et des performances du DNS avec Route 53 Global Resolver
Route 53 Global Resolver fournit une visibilité complète de l'activité DNS au sein de votre organisation, ce qui vous permet d'identifier les menaces de sécurité, d'analyser le comportement des appareils clients et de garantir la conformité. Ce chapitre couvre à la fois les outils de surveillance disponibles et les procédures détaillées pour configurer la surveillance DNS, configurer les destinations de journalisation et analyser les données DNS afin d'identifier les menaces et d'optimiser les performances.
AWS fournit les outils de surveillance suivants pour vous aider à maintenir un service DNS sécurisé et fiable :
+ *Amazon CloudWatch* suit les volumes de requêtes DNS, les temps de réponse et les événements de sécurité en temps réel. Créez des tableaux de bord pour surveiller les performances du DNS sur tous les sites et configurez des alarmes pour vous avertir lorsque le volume de requêtes augmente ou que les temps de réponse augmentent, comme vous le spécifiez. Pour Route 53 Global Resolver, vous pouvez surveiller les volumes de requêtes, les temps de réponse et les activités de filtrage. Pour plus d'informations, consultez le [guide de CloudWatch l'utilisateur Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
+ *Amazon CloudWatch Logs* vous permet de surveiller, de stocker et d'accéder à vos fichiers journaux à partir d'instances Amazon EC2 et d'autres sources. CloudTrail Route 53 Global Resolver peut fournir les journaux de requêtes DNS directement aux CloudWatch journaux pour une surveillance et une analyse en temps réel. Vous pouvez également archiver vos données de journaux dans une solution de stockage hautement durable. Pour plus d'informations, consultez le [guide de l'utilisateur d'Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).
+ *Amazon EventBridge* peut être utilisé pour automatiser vos AWS services et répondre automatiquement aux événements du système, tels que les problèmes de disponibilité des applications ou les modifications des ressources. Les événements AWS liés aux services sont diffusés EventBridge en temps quasi réel. Vous pouvez écrire des règles simples pour préciser les événements qui vous intéressent et les actions automatisées à effectuer quand un événement correspond à une règle. Pour plus d'informations, consultez le [guide de EventBridge l'utilisateur Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
+ *AWS CloudTrail*capture les appels d'API et les événements associés effectués par ou pour le compte de votre AWS compte et envoie les fichiers journaux dans un compartiment Amazon S3 que vous spécifiez. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. Pour plus d’informations, consultez le [Guide de l’utilisateur AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Topics**
+ [Gagnez en visibilité sur le DNS](gr-gain-visibility-into-dns-activity.md)
+ [Configuration de la surveillance DNS](gr-configure-dns-monitoring.md)
# Gagnez en visibilité sur l'activité DNS avec Route 53 Global Resolver
Route 53 Global Resolver fournit des fonctionnalités complètes d'enregistrement des requêtes DNS pour surveiller l'activité des appareils clients et identifier les menaces de sécurité. Activez la journalisation des requêtes DNS dans Route 53 Global Resolver pour voir à quels sites Web les appareils clients accèdent, identifier les menaces de sécurité potentielles et analyser les modèles de résolution DNS. Les journaux capturent des informations complètes sur chaque requête, y compris les politiques de sécurité appliquées.
## Quelles informations sont capturées dans les journaux DNS
Chaque entrée du journal des requêtes DNS fournit des informations détaillées sur l'activité de l'appareil client et l'application des politiques de sécurité :
+ **Informations sur les requêtes** : nom de domaine, type de requête, classe de requête et protocole utilisés
+ **Informations sur le périphérique client** : adresse IP source, vue DNS et méthode d'authentification
+ **Informations de réponse** : code de réponse, enregistrements de réponses et temps de réponse
+ **Actions de sécurité** - Correspondance des règles du pare-feu, résultats de détection des menaces et mesures prises
+ **Métadonnées** : horodatage, identifiant global du résolveur, région et informations de suivi
## Format OCSF pour l'intégration de la sécurité
Les journaux de requêtes DNS utilisent l'Open Cybersecurity Schema Framework (OCSF), qui fournit un format standardisé pour les données relatives aux événements de sécurité. Ce format permet de :
+ **Analyse standardisée** - Schéma cohérent entre les différents outils de sécurité
+ **Interopérabilité améliorée** - Intégration facile avec les plateformes SIEM et d'analyse
+ **Corrélation améliorée** - Possibilité de corréler les événements DNS avec d'autres données de sécurité
+ **Compatibilité future** - Support à l'évolution des exigences en matière d'analyse de sécurité
### Exemples de format de journal OCSF
Les journaux de requêtes DNS de Route 53 Global Resolver suivent la structure du schéma OCSF et fournissent des informations détaillées sur chaque requête, réponse et action de sécurité DNS. Les exemples suivants montrent le format du journal pour les requêtes autorisées et refusées.
#### Journal DNS de Route 53 Global Resolver - Exemple d'accès autorisé
Cet exemple montre une requête DNS autorisée par le biais de règles de pare-feu. Le journal inclut les détails des requêtes, les informations de réponse et les données d'enrichissement avec des identifiants spécifiques à Route 53 Global Resolver.
```
{
"action_id": 1,
"action_name": "Allowed",
"activity_id": 6,
"activity_name": "Traffic",
"category_name": "Network Activity",
"category_uid": 4,
"class_name": "DNS Activity",
"class_uid": 4003,
"cloud": {
"provider": "AWS",
"region": "us-east-1",
"account": {
"uid": "123456789012"
}
},
"connection_info": {
"direction": "Inbound",
"direction_id": 1,
"protocol_name": "udp",
"protocol_num": 17,
"protocol_ver": "",
"uid": "db21d1739ddb423a"
},
"duration": 1,
"end_time": 1761358379996,
"answers": [{
"rdata": "3.3.3.3",
"type": "A",
"class": "IN",
"ttl": 300
},
{
"rdata": "3.3.3.4",
"type": "A",
"class": "IN",
"ttl": 300
}],
"src_endpoint": {
"ip": "3.3.3.1",
"port": 56576
},
"enrichments": [{
"name": "global-resolver",
"value": "gr-a1b2c3d4fexample",
"data": {
"dns_view_id": "dnsv-a1b2c3d4fexample",
"firewall_rule_id": "fr-a1b2c3d4fexample",
"token_id": "t-a1b2c3d4fexample",
"token_name": "device-123456",
"token_expiration": "1789419206",
"access_source_cidr": "3.3.3.0/24",
}
}],
"message": "",
"metadata": {
"version": "1.2.0",
"product": {
"name": "Global Resolver",
"vendor_name": "AWS",
"feature": {
"name": "DNS"
}
}
},
"query": {
"hostname": "example.com.",
"class": "IN",
"type": "A",
"opcode": "Query",
"opcode_id": 0
},
"query_time": 1761358379995,
"rcode": "NOERROR",
"rcode_id": 0,
"response_time": 1761358379995,
"severity": "Informational",
"severity_id": 1,
"src_endpoint": {
"ip": "3.3.3.3",
"port": 28276
},
"start_time": 1761358379995,
"status": "Success",
"status_id": 1,
"time": 1761358379995,
"type_name": "DNS Activity: Traffic",
"type_uid": 400306
}
```
#### Journal DNS de Route 53 Global Resolver - Exemple d'accès refusé
Cet exemple montre une requête DNS bloquée par les règles de pare-feu. Le journal inclut l'action de refus, le tableau de réponses vide et le code de réponse REFUSED indiquant que la requête n'a pas été traitée.
```
{
"action_id": 2,
"action_name": "Denied",
"activity_id": 6,
"activity_name": "Traffic",
"category_name": "Network Activity",
"category_uid": 4,
"class_name": "DNS Activity",
"class_uid": 4003,
"cloud": {
"provider": "AWS",
"region": "us-west-2",
"account": {
"uid": "123456789012"
}
},
"connection_info": {
"direction": "Inbound",
"direction_id": 1,
"protocol_name": "tcp",
"protocol_num": 6,
"protocol_ver_id": 4,
"uid": "9fdc6fbc09794d5e"
},
"duration": 1,
"end_time": 1761358379996,
"answers": [],
"src_endpoint": {
"ip": "3.3.3.3",
"port": 28276
},
"enrichments": [
{
"name": "global-resolver",
"value": "gr-a1b2c3d4fexample",
"data": {
"dns_view_id": "dnsv-a1b2c3d4fexample",
"firewall_rule_id": "fr-a1b2c3d4fexample",
"token_id": "t-a1b2c3d4fexample",
"token_name": "device-123456",
"token_expiration": "1789419206",
"access_source_cidr": "3.3.3.0/24",
}
}
],
"message": "",
"metadata": {
"version": "1.2.0",
"product": {
"name": "Global Resolver",
"vendor_name": "AWS",
"feature": {
"name": "DNS"
}
}
},
"query": {
"hostname": "example.com.",
"class": "IN",
"type": "A",
"opcode": "Query",
"opcode_id": 0
},
"query_time": 1761358379995,
"rcode": "REFUSED",
"rcode_id": 5,
"response_time": 1761358379995,
"severity": "Informational",
"severity_id": 1,
"start_time": 1761358379995,
"status": "Failure",
"status_id": 1,
"time": 1761358379995,
"type_name": "DNS Activity: Traffic",
"type_uid": 400306
}
```
# Configuration de la surveillance et de la journalisation DNS avec Route 53 Global Resolver
Configurez la surveillance DNS dans Route 53 Global Resolver pour capturer des informations détaillées sur les requêtes, les réponses et les actions de sécurité DNS. Cette section décrit les étapes à suivre pour configurer les destinations de journalisation et les outils de surveillance.
## Configuration de la région d'observabilité
Avant de configurer la journalisation DNS, vous devez définir une région d'observabilité dans laquelle les journaux et les métriques seront stockés. Cette région détermine l’endroit où vos données de surveillance sont traitées et stockées.
1. Ouvrez la console Route 53 Global Resolver à [https://console.aws.amazon.com/route53globalresolver/](https://console.aws.amazon.com/route53globalresolver/)l'adresse.
1. Dans le panneau de navigation, sélectionnez **Settings** (Paramètres).
1. Dans la section **Région d'observabilité**, choisissez **Définir la région.**
1. Sélectionnez la AWS région dans laquelle vous souhaitez stocker les données de surveillance, puis choisissez **Définir la région**.
Après avoir défini la région d'observabilité, vous pouvez configurer les destinations de livraison des journaux dans cette région.