本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 Route 53 全球解析器监控 DNS 活动和性能
Route 53 Global Resolver 可全面了解组织内的 DNS 活动,使您能够识别安全威胁、分析客户端设备行为并保持合规性。本章介绍可用的监控工具,以及设置 DNS 监控、配置日志记录目标以及分析 DNS 数据以调查威胁和优化性能的详细过程。
AWS 提供以下监控工具来帮助您维护安全、可靠的 DNS 服务:
+ *Amazon* 实时 CloudWatch跟踪 DNS 查询量、响应时间和安全事件。创建仪表板以监控各个位置的 DNS 性能,并设置警报,以便在查询量激增或响应时间增加时通知您。对于 Route 53 Global Resolver,您可以监控查询量、响应时间和筛选活动。有关更多信息,请参阅 [Amazon CloudWatch 用户指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)。
+ *Amazon CloudWatch Logs* 允许您监控、存储和访问来自 Amazon EC2 实例和其他来源的日志文件。 CloudTrailRoute 53 Global Resolver 可以将 DNS 查询日志直接传送到 CloudWatch 日志,以进行实时监控和分析。您还可以在高持久性存储中检索您的日志数据。有关更多信息,请参阅 [Amazon CloudWatch 日志用户指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)。
+ *Amazon EventBridge* 可用于实现 AWS 服务自动化,并自动响应系统事件,例如应用程序可用性问题或资源更改。来自 AWS 服务的事件几乎实时 EventBridge 地传送到。您可以编写简单的规则来指示您关注的事件,并指示要在事件匹配规则时执行的自动化操作。有关更多信息,请参阅 [Amazon EventBridge 用户指南](https://docs.aws.amazon.com/eventbridge/latest/userguide/)。
+ *AWS CloudTrail*捕获由您的账户或代表您的 AWS 账户进行的 API 调用和相关事件,并将日志文件传输到您指定的 Amazon S3 存储桶。您可以识别哪些用户和帐户拨打了电话 AWS、发出呼叫的源 IP 地址以及呼叫发生的时间。有关更多信息,请参阅 [AWS CloudTrail 《用户指南》](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)。
**Topics**
+ [获得 DNS 可见](gr-gain-visibility-into-dns-activity.md)
+ [配置 DNS 监控](gr-configure-dns-monitoring.md)
# 使用 Route 53 全球解析器了解 DNS 活动
Route 53 Global Resolver 提供全面的 DNS 查询记录功能,用于监控客户端设备活动并识别安全威胁。在 Route 53 Global Resolver 中启用 DNS 查询日志,以查看客户端设备访问了哪些网站,识别潜在的安全威胁并分析 DNS 解析模式。日志会捕获有关每个查询的全面信息,包括应用了哪些安全策略。
## DNS 日志中捕获了哪些信息
每个 DNS 查询日志条目都提供有关客户端设备活动和安全策略实施的详细信息:
+ **查询信息**-使用的域名、查询类型、查询类别和协议
+ **客户端设备信息**-源 IP 地址、DNS 视图和身份验证方法
+ **响应信息**-响应码、答案记录和响应时间
+ **安全操作**-防火墙规则匹配项、威胁检测结果和采取的措施
+ **元数据**-时间戳、全球解析器 ID、区域和跟踪信息
## 用于安全集成的 OCSF 格式
DNS 查询日志使用开放网络安全架构框架 (OCSF),该框架为安全事件数据提供了标准化格式。这种格式允许:
+ **标准化分析**-跨不同安全工具的架构保持一致
+ **提高了互操作性**-可轻松与 SIEM 和分析平台集成
+ **增强关联性**-能够将 DNS 事件与其他安全数据关联
+ **未来兼容性**-Support 支持不断变化的安全分析需求
### OCSF 日志格式示例
Route 53 Global Resolver DNS 查询日志遵循 OCSF 架构结构,提供有关每个 DNS 查询、响应和安全操作的详细信息。以下示例显示了允许和拒绝的查询的日志格式。
#### Route 53 全球解析器 DNS 日志——允许访问示例
此示例显示了允许通过防火墙规则进行的 DNS 查询。该日志包括查询详情、响应信息以及带有 Route 53 全球解析器专用标识符的丰富数据。
```
{
"action_id": 1,
"action_name": "Allowed",
"activity_id": 6,
"activity_name": "Traffic",
"category_name": "Network Activity",
"category_uid": 4,
"class_name": "DNS Activity",
"class_uid": 4003,
"cloud": {
"provider": "AWS",
"region": "us-east-1",
"account": {
"uid": "123456789012"
}
},
"connection_info": {
"direction": "Inbound",
"direction_id": 1,
"protocol_name": "udp",
"protocol_num": 17,
"protocol_ver": "",
"uid": "db21d1739ddb423a"
},
"duration": 1,
"end_time": 1761358379996,
"answers": [{
"rdata": "3.3.3.3",
"type": "A",
"class": "IN",
"ttl": 300
},
{
"rdata": "3.3.3.4",
"type": "A",
"class": "IN",
"ttl": 300
}],
"src_endpoint": {
"ip": "3.3.3.1",
"port": 56576
},
"enrichments": [{
"name": "global-resolver",
"value": "gr-a1b2c3d4fexample",
"data": {
"dns_view_id": "dnsv-a1b2c3d4fexample",
"firewall_rule_id": "fr-a1b2c3d4fexample",
"token_id": "t-a1b2c3d4fexample",
"token_name": "device-123456",
"token_expiration": "1789419206",
"access_source_cidr": "3.3.3.0/24",
}
}],
"message": "",
"metadata": {
"version": "1.2.0",
"product": {
"name": "Global Resolver",
"vendor_name": "AWS",
"feature": {
"name": "DNS"
}
}
},
"query": {
"hostname": "example.com.",
"class": "IN",
"type": "A",
"opcode": "Query",
"opcode_id": 0
},
"query_time": 1761358379995,
"rcode": "NOERROR",
"rcode_id": 0,
"response_time": 1761358379995,
"severity": "Informational",
"severity_id": 1,
"src_endpoint": {
"ip": "3.3.3.3",
"port": 28276
},
"start_time": 1761358379995,
"status": "Success",
"status_id": 1,
"time": 1761358379995,
"type_name": "DNS Activity: Traffic",
"type_uid": 400306
}
```
#### Route 53 全球解析器 DNS 日志——访问被拒绝示例
此示例显示了被防火墙规则阻止的 DNS 查询。该日志包括拒绝操作、空答案数组和表示查询未处理的拒绝响应代码。
```
{
"action_id": 2,
"action_name": "Denied",
"activity_id": 6,
"activity_name": "Traffic",
"category_name": "Network Activity",
"category_uid": 4,
"class_name": "DNS Activity",
"class_uid": 4003,
"cloud": {
"provider": "AWS",
"region": "us-west-2",
"account": {
"uid": "123456789012"
}
},
"connection_info": {
"direction": "Inbound",
"direction_id": 1,
"protocol_name": "tcp",
"protocol_num": 6,
"protocol_ver_id": 4,
"uid": "9fdc6fbc09794d5e"
},
"duration": 1,
"end_time": 1761358379996,
"answers": [],
"src_endpoint": {
"ip": "3.3.3.3",
"port": 28276
},
"enrichments": [
{
"name": "global-resolver",
"value": "gr-a1b2c3d4fexample",
"data": {
"dns_view_id": "dnsv-a1b2c3d4fexample",
"firewall_rule_id": "fr-a1b2c3d4fexample",
"token_id": "t-a1b2c3d4fexample",
"token_name": "device-123456",
"token_expiration": "1789419206",
"access_source_cidr": "3.3.3.0/24",
}
}
],
"message": "",
"metadata": {
"version": "1.2.0",
"product": {
"name": "Global Resolver",
"vendor_name": "AWS",
"feature": {
"name": "DNS"
}
}
},
"query": {
"hostname": "example.com.",
"class": "IN",
"type": "A",
"opcode": "Query",
"opcode_id": 0
},
"query_time": 1761358379995,
"rcode": "REFUSED",
"rcode_id": 5,
"response_time": 1761358379995,
"severity": "Informational",
"severity_id": 1,
"start_time": 1761358379995,
"status": "Failure",
"status_id": 1,
"time": 1761358379995,
"type_name": "DNS Activity: Traffic",
"type_uid": 400306
}
```
# 使用 Route 53 全局解析器配置 DNS 监控和日志记录
在 Route 53 全局解析器中配置 DNS 监控,以捕获有关 DNS 查询、响应和安全操作的详细信息。本节介绍设置日志记录目标和配置监控工具的步骤。
## 设置可观测性区域
在配置 DNS 日志记录之前,您必须设置一个用于存储日志和指标的可观测区域。该区域决定了处理和存储监控数据的位置。
1. 打开 Route 53 全球解析器控制台,网址为[https://console.aws.amazon.com/route53globalresolver/](https://console.aws.amazon.com/route53globalresolver/)。
1. 在导航窗格中,选择**设置**。
1. 在 “**可观测性区域**” 部分中,选择**设置区域**。
1. 选择要存储监控数据的 AWS 区域,然后选择**设置区域**。
设置可观察性区域后,您可以在该区域配置日志传输目标。