As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Monitorando a atividade e o desempenho do DNS com o Route 53 Global Resolver
O Route 53 Global Resolver fornece visibilidade abrangente da atividade de DNS em toda a sua organização, permitindo que você identifique ameaças à segurança, analise o comportamento do dispositivo cliente e mantenha a conformidade. Este capítulo aborda as ferramentas de monitoramento disponíveis e os procedimentos detalhados para configurar o monitoramento de DNS, configurar destinos de registro e analisar dados de DNS para investigar ameaças e otimizar o desempenho.
AWS fornece essas ferramentas de monitoramento para ajudá-lo a manter um serviço de DNS seguro e confiável:
+ *A Amazon CloudWatch* rastreia volumes de consultas de DNS, tempos de resposta e eventos de segurança em tempo real. Crie painéis para monitorar o desempenho do DNS em todos os locais e configure alarmes para notificá-lo quando os volumes de consultas aumentarem ou os tempos de resposta especificados por você aumentarem. Para o Route 53 Global Resolver, você pode monitorar volumes de consultas, tempos de resposta e atividades de filtragem. Para obter mais informações, consulte o [Guia CloudWatch do usuário da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
+ *O Amazon CloudWatch Logs* permite que você monitore, armazene e acesse seus arquivos de log a partir de instâncias do Amazon EC2 e de outras fontes. CloudTrail O Route 53 Global Resolver pode entregar registros de consultas de DNS diretamente ao CloudWatch Logs para monitoramento e análise em tempo real. É possível também arquivar seus dados de log em armazenamento resiliente. Para obter mais informações, consulte o [Guia do usuário do Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).
+ *A Amazon EventBridge* pode ser usada para automatizar seus AWS serviços e responder automaticamente a eventos do sistema, como problemas de disponibilidade de aplicativos ou alterações de recursos. Os eventos dos AWS serviços são entregues quase EventBridge em tempo real. Você pode escrever regras simples para determinar quais eventos são do seu interesse, e as ações automatizadas a serem tomadas quando um evento corresponder à regra. Para obter mais informações, consulte o [Guia EventBridge do usuário da Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
+ *AWS CloudTrail*captura chamadas de API e eventos relacionados feitos por ou em nome de sua AWS conta e entrega os arquivos de log para um bucket do Amazon S3 que você especificar. Você pode identificar quais usuários e contas ligaram AWS, o endereço IP de origem a partir do qual as chamadas foram feitas e quando elas ocorreram. Para obter mais informações, consulte o [Guia do usuário do AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Topics**
+ [Obtenha visibilidade do DNS](gr-gain-visibility-into-dns-activity.md)
+ [Configurar monitoramento de DNS](gr-configure-dns-monitoring.md)
# Obtenha visibilidade da atividade de DNS com o Route 53 Global Resolver
O Route 53 Global Resolver fornece recursos abrangentes de registro de consultas de DNS para monitorar a atividade do dispositivo cliente e identificar ameaças à segurança. Ative o registro de consultas de DNS no Route 53 Global Resolver para ver quais sites os dispositivos clientes acessam, identificar possíveis ameaças à segurança e analisar padrões de resolução de DNS. Os registros capturam informações abrangentes sobre cada consulta, incluindo quais políticas de segurança foram aplicadas.
## Quais informações são capturadas nos registros de DNS
Cada entrada do registro de consultas DNS fornece informações detalhadas sobre a atividade do dispositivo cliente e a aplicação da política de segurança:
+ **Informações de consulta** - nome de domínio, tipo de consulta, classe de consulta e protocolo usados
+ **Informações do dispositivo cliente** - endereço IP de origem, visualização de DNS e método de autenticação
+ **Informações de resposta** - Código de resposta, registros de resposta e tempo de resposta
+ **Ações de segurança** - correspondências de regras de firewall, resultados de detecção de ameaças e ações tomadas
+ **Metadados**: registro de data e hora, ID global do resolvedor, região e informações de rastreamento
## Formato OCSF para integração de segurança
Os registros de consulta de DNS usam o Open Cybersecurity Schema Framework (OCSF), que fornece um formato padronizado para dados de eventos de segurança. Esse formato permite:
+ **Análise padronizada** - Esquema consistente em diferentes ferramentas de segurança
+ **Interoperabilidade aprimorada** - Fácil integração com plataformas de SIEM e análise
+ **Correlação aprimorada** - Capacidade de correlacionar eventos de DNS com outros dados de segurança
+ **Compatibilidade futura** - Support para requisitos de análise de segurança em evolução
### Exemplos de formato de log OCSF
Os registros de consulta DNS do Route 53 Global Resolver seguem a estrutura do esquema OCSF, fornecendo informações detalhadas sobre cada consulta, resposta e ação de segurança de DNS. Os exemplos a seguir mostram o formato de log para consultas permitidas e negadas.
#### Registro DNS do Route 53 Global Resolver - Exemplo de acesso permitido
Este exemplo mostra uma consulta de DNS que foi permitida por meio de regras de firewall. O registro inclui detalhes da consulta, informações de resposta e dados de enriquecimento com identificadores específicos do Route 53 Global Resolver.
```
{
"action_id": 1,
"action_name": "Allowed",
"activity_id": 6,
"activity_name": "Traffic",
"category_name": "Network Activity",
"category_uid": 4,
"class_name": "DNS Activity",
"class_uid": 4003,
"cloud": {
"provider": "AWS",
"region": "us-east-1",
"account": {
"uid": "123456789012"
}
},
"connection_info": {
"direction": "Inbound",
"direction_id": 1,
"protocol_name": "udp",
"protocol_num": 17,
"protocol_ver": "",
"uid": "db21d1739ddb423a"
},
"duration": 1,
"end_time": 1761358379996,
"answers": [{
"rdata": "3.3.3.3",
"type": "A",
"class": "IN",
"ttl": 300
},
{
"rdata": "3.3.3.4",
"type": "A",
"class": "IN",
"ttl": 300
}],
"src_endpoint": {
"ip": "3.3.3.1",
"port": 56576
},
"enrichments": [{
"name": "global-resolver",
"value": "gr-a1b2c3d4fexample",
"data": {
"dns_view_id": "dnsv-a1b2c3d4fexample",
"firewall_rule_id": "fr-a1b2c3d4fexample",
"token_id": "t-a1b2c3d4fexample",
"token_name": "device-123456",
"token_expiration": "1789419206",
"access_source_cidr": "3.3.3.0/24",
}
}],
"message": "",
"metadata": {
"version": "1.2.0",
"product": {
"name": "Global Resolver",
"vendor_name": "AWS",
"feature": {
"name": "DNS"
}
}
},
"query": {
"hostname": "example.com.",
"class": "IN",
"type": "A",
"opcode": "Query",
"opcode_id": 0
},
"query_time": 1761358379995,
"rcode": "NOERROR",
"rcode_id": 0,
"response_time": 1761358379995,
"severity": "Informational",
"severity_id": 1,
"src_endpoint": {
"ip": "3.3.3.3",
"port": 28276
},
"start_time": 1761358379995,
"status": "Success",
"status_id": 1,
"time": 1761358379995,
"type_name": "DNS Activity: Traffic",
"type_uid": 400306
}
```
#### Registro DNS do Route 53 Global Resolver - exemplo de acesso negado
Este exemplo mostra uma consulta de DNS que foi bloqueada pelas regras de firewall. O registro inclui a ação de negação, a matriz de respostas vazias e o código de resposta REFUSED indicando que a consulta não foi processada.
```
{
"action_id": 2,
"action_name": "Denied",
"activity_id": 6,
"activity_name": "Traffic",
"category_name": "Network Activity",
"category_uid": 4,
"class_name": "DNS Activity",
"class_uid": 4003,
"cloud": {
"provider": "AWS",
"region": "us-west-2",
"account": {
"uid": "123456789012"
}
},
"connection_info": {
"direction": "Inbound",
"direction_id": 1,
"protocol_name": "tcp",
"protocol_num": 6,
"protocol_ver_id": 4,
"uid": "9fdc6fbc09794d5e"
},
"duration": 1,
"end_time": 1761358379996,
"answers": [],
"src_endpoint": {
"ip": "3.3.3.3",
"port": 28276
},
"enrichments": [
{
"name": "global-resolver",
"value": "gr-a1b2c3d4fexample",
"data": {
"dns_view_id": "dnsv-a1b2c3d4fexample",
"firewall_rule_id": "fr-a1b2c3d4fexample",
"token_id": "t-a1b2c3d4fexample",
"token_name": "device-123456",
"token_expiration": "1789419206",
"access_source_cidr": "3.3.3.0/24",
}
}
],
"message": "",
"metadata": {
"version": "1.2.0",
"product": {
"name": "Global Resolver",
"vendor_name": "AWS",
"feature": {
"name": "DNS"
}
}
},
"query": {
"hostname": "example.com.",
"class": "IN",
"type": "A",
"opcode": "Query",
"opcode_id": 0
},
"query_time": 1761358379995,
"rcode": "REFUSED",
"rcode_id": 5,
"response_time": 1761358379995,
"severity": "Informational",
"severity_id": 1,
"start_time": 1761358379995,
"status": "Failure",
"status_id": 1,
"time": 1761358379995,
"type_name": "DNS Activity: Traffic",
"type_uid": 400306
}
```
# Configure o monitoramento e o registro de DNS com o Route 53 Global Resolver
Configure o monitoramento de DNS no Route 53 Global Resolver para capturar informações detalhadas sobre consultas, respostas e ações de segurança de DNS. Esta seção aborda as etapas para configurar destinos de registro e configurar ferramentas de monitoramento.
## Definindo a região de observabilidade
Antes de configurar o registro de DNS, você deve definir uma região de observabilidade na qual os registros e métricas serão armazenados. Essa região determina onde seus dados de monitoramento são processados e armazenados.
1. Abra o console do Route 53 Global Resolver em [https://console.aws.amazon.com/route53globalresolver/](https://console.aws.amazon.com/route53globalresolver/).
1. No painel de navegação, selecione **Configurações**.
1. Na seção **Região de observabilidade**, escolha **Definir região.**
1. Selecione a AWS região em que você deseja armazenar os dados de monitoramento e escolha **Definir região**.
Depois de definir a região de observabilidade, você pode configurar destinos de entrega de registros nessa região.