【AWS新機能】Route53にクエリロギング機能が追加されました

2017/9/7に、Route53のクエリロギング機能が追加されました。
さっそく設定手順と出力される内容を確認してみました。

サービスよりRoute53を選択し、"Hosted zones"メニューより、クエリログを導入したいドメインにチェックをつけます。

すると右下に"Configure query logging"というボタンが表示されますので、クリックします。

CloudWatchのロググループの設定をします。
今回は初回なので新規作成します。
グループ名は対象のドメイン名が識別できるような名前を指定します。

CloudWatchにログを保存するためのリソースポリシーを作成します。とはいってもポリシーは自動生成されるのでポリシーの名前と、それを適用するリソースポリシーグループを選択するだけです。ログファイルはイベントごとに出力されます。すべてのログファイルに適用できるようにワイルドカードを指定します。

ポリシーを確認し画面下部のボタンをクリックすると設定完了です。

では実際にDNSのクエリを投げてみます。
ここではnslookupを利用しています。問合せクエリが仮にキャッシングされてしまっていると、Route53までクエリが届かずログが確認できません。そのためここでは第二引数としてRoute53のネームサーバの1つを指定し直接問合せをかけています。

CloudWatchを確認します
CloudWatch -> ログ -> (作成したロググループ名)
と辿っていくと、イベントのログストリームが出力されていることがわかります。

クリックすると、日時、ホステッドゾーンID、FQDN、クエリタイプ、レスポンスコード、TCP or UDP、Route53のエッジロケーション名、クエリのソースIPなどが確認できます。

いかがでしたでしょうか。
Route53に登録されているゾーンであれば、5分程度で設定ができます。
この機能を使えば、Route53サービスを利用しているにも関わらず自前でDNSサーバを運用した場合とほぼ等しいレベルのログが確認できるようになります。

DNSリフレクターの攻撃元確認など、セキュリティ調査に役立つのではないでしょうか。

最後までお読み頂きありがとうございました。