翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# DNS Firewall でのログ記録の設定
<a name="firewall-resolver-query-logs-configuring"></a>

 Amazon CloudWatch メトリクスと Resolver のクエリログを使用して、DNS Firewall のルールを評価できます。ログには、すべてのアラートとブロックアクションのドメインリスト名が表示されます。Amazon CloudWatch の詳細については、「[Amazon CloudWatch を使用した Resolver DNS Firewall ルールグループのモニタリング](monitoring-resolver-dns-firewall-with-cloudwatch.md)」を参照してください。

DNS Firewall を有効にして、VPC に関連付けログ記録を有効にした場合、` firewall_rule_group_id`、`firewall_rule_action`、` firewall_domain_list_id` は、ログ内に提供される DNS Firewall 特有のフィールドです。

**注記**  
 クエリログには、DNS ファイアウォールルールによってブロックされたクエリの追加の DNS ファイアウォールフィールドのみが表示されます。

VPC から発信される DNS Firewall のルールによってフィルタリングされた DNS クエリのログ記録を開始するには、Amazon Route 53 コンソールで次のタスクを実行します。<a name="firewall-resolver-query-logs-configuring-procedure"></a>

**DNS Firewall で Resolver のクエリログ記録を設定するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。

1. Route 53 コンソールのメニューを展開します。コンソールの左上隅にある 3 本の水平バー (![\[Menu icon\]](http://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/images/menu-icon.png)) アイコンを選択します。

1. Resolver メニューから、[**Query logging (クエリログ記録)**] を選択します。

1. リージョンセレクターで、クエリログ記録設定を作成する AWS リージョンを選択します。

   これは、クエリをログに記録する DNS Firewall に関連付けた VPC を作成したリージョンと同じリージョンである必要があります。VPC が複数のリージョンに存在する場合は、リージョンごとにクエリログ記録の設定を少なくとも 1 つ作成する必要があります。

1. [**クエリログ記録の設定**] を選択します。

1. 次の値を指定します。  
**クエリログ記録設定の名前**  
クエリログ記録の設定に使用する名前を入力します。この名前は、コンソールのクエリログ記録の設定リストに表示されます。この設定では、後で検索する際に便利な名前を入力します。  
**クエリログの保存先**  
VPC Resolver がクエリログを送信する AWS リソースのタイプを選択します。各オプション (CloudWatch Logs ロググループ、S3 バケット、および Firehose 配信ストリーム) から選択する方法については、「[AWS VPC Resolver クエリログを送信できる リソース](resolver-query-logs-choosing-target-resource.md)」を参照してください。  
リソースのタイプを選択したら、そのタイプの別のリソースを作成するか、現在の AWS アカウントによって作成された既存のリソースを選択できます。  
ステップ 4 で選択した AWS リージョン (クエリログ記録の設定を作成するリージョン) で作成されたリソースのみを選択できます。新しいリソースを作成することを選択した場合、そのリソースは同じリージョンに作成されます。  
**クエリをログに記録する VPC**  
このクエリログ記録の設定では、選択した VPC で発生した DNS クエリがログに記録されます。VPC Resolver がクエリをログに記録する現在のリージョンの各 VPC のチェックボックスをオンにし、**選択**を選択します。  
VPC ログの配信は、特定の送信先タイプに対して 1 回だけ有効にすることができます。ログは、同じタイプの複数の送信先に配信することはできません。例えば、VPC ログを 2 つの Amazon S3 の送信先に配信することはできません。

1. [**クエリログ記録の設定**] を選択します。

**注記**  
クエリログ記録の設定が正常に作成されてから数分以内に、VPC 内のリソースによって作成された DNS クエリがログ内に表示されるようになります。