Cara menyimpan log DNS Privat ke Simple Log Service?_Resolusi DNS Privat -

Penting

Simple Log Service (SLS) memungkinkan Anda menyimpan log hanya untuk wilayah dan Virtual Private Cloud (VPC) yang fitur analisis lalu lintasnya diaktifkan. Prasyarat untuk menyimpan log analisis lalu lintas di SLS adalah Anda telah mengaktifkan fitur analisis lalu lintas. Jika Anda menonaktifkan fitur analisis lalu lintas, tidak ada log yang disimpan di SLS. Untuk informasi lebih lanjut, lihat bagian Aktifkan analisis lalu lintas dari topik "Aktifkan atau nonaktifkan analisis lalu lintas".

Skenario

Perusahaan menyimpan dan menganalisis log jaringan untuk memenuhi kepatuhan bisnis dan persyaratan keamanan mereka. Log DNS Privat memberikan wawasan yang jelas tentang permintaan Sistem Nama Domain (DNS) Alibaba Cloud untuk nama domain internal, membantu perusahaan mengaudit perilaku pengguna pada jaringan internal secara efisien dan mengidentifikasi potensi risiko keamanan sejak dini.

Apa itu log DNS Privat?

Log DNS Privat mencatat permintaan DNS yang dikirim dari terminal di semua VPC dalam akun Alibaba Cloud, serta respons yang dikembalikan oleh server DNS. Informasi yang direkam mencakup wilayah asal permintaan DNS, ID VPC, alamat IP sumber, alamat IP tujuan (alamat server DNS), nama domain yang diminta, jenis rekaman, dan hasil respons. Nama domain yang diminta oleh terminal dapat berupa nama domain otoritatif bawaan yang dikonfigurasikan di DNS Privat atau nama domain publik. Fitur log DNS Privat terintegrasi dengan Layanan Audit Log dari SLS. Anda dapat mengaktifkan fitur ini untuk mengumpulkan, mengelola, menanyakan, dan menganalisis log DNS Privat lintas akun dan wilayah secara terpusat.

Log DNS Privat mencatat permintaan DNS yang dikirim dari terminal di VPC untuk jenis nama domain berikut dan respons yang dikembalikan oleh server DNS:

1. Nama domain di zona otoritatif bawaan

DNS Privat adalah layanan resolusi dan manajemen nama domain privat di VPC. Anda dapat menggunakan DNS Privat untuk memetakan nama domain privat ke alamat IP di satu atau beberapa VPC. DNS Privat memungkinkan Anda mengakses sumber daya Alibaba Cloud seperti Instance Elastic Compute Service (ECS), Instance Server Load Balancer (SLB), dan bucket Object Storage Service (OSS) di VPC menggunakan nama domain privat. Namun, Anda tidak dapat menggunakan nama domain privat di luar VPC. Anda juga dapat menghubungkan VPC Anda ke pusat data lokal melalui sirkuit Express Connect atau gateway VPN, sehingga memungkinkan berbagi sumber daya antara pusat data lokal dan VPC menggunakan nama domain privat.

2. Nama domain instance layanan cloud yang dikonfigurasikan pada DNS sistem Apsara

Semua nama domain instance layanan Alibaba Cloud diselesaikan menggunakan DNS sistem Apsara.

3. Nama domain eksternal yang permintaannya diteruskan ke server DNS internal Anda

Dalam banyak kasus, server DNS internal Anda adalah server DNS di jaringan internal di pusat data Anda. Ketika DNS Privat menerima permintaan DNS VPC untuk nama domain yang dikonfigurasikan untuk diteruskan ke server DNS internal Anda, modul penerusan meneruskan permintaan DNS ke server DNS internal Anda. Dengan cara ini, instance ECS di Alibaba Cloud VPC dapat mengakses nama domain aplikasi di pusat data Anda.

4. Nama domain publik pada server DNS otoritatif publik

Server DNS otoritatif publik adalah server DNS yang dikonfigurasikan di registrar nama domain untuk nama domain publik tertentu, seperti example.com. Server DNS otoritatif publik mengelola dan menyelesaikan informasi otoritatif tentang nama domain root, nama domain tingkat atas, dan level lainnya dari nama domain. Server DNS otoritatif publik hanya menyelesaikan nama domain yang dikonfigurasikan pada server DNS dan menolak permintaan untuk nama domain yang tidak dikonfigurasikan pada server DNS.

Parameter log DNS Privat

1. Parameter log permintaan DNS

Parameter	Deskripsi	Contoh
dns_msg_flags	Bendera pesan DNS. Nilai valid: QR: Nilai 0 menunjukkan bahwa pesan adalah permintaan dari terminal. Nilai 1 menunjukkan bahwa pesan adalah respons dari server. RD: Nilai 0 menunjukkan bahwa kueri rekursif tidak diinginkan. Nilai 1 menunjukkan bahwa kueri rekursif diinginkan. AA: Nilai 0 menunjukkan bahwa permintaan tidak direspons oleh server DNS otoritatif yang dikonfigurasikan untuk nama domain. Nilai 1 menunjukkan bahwa permintaan direspons oleh server DNS otoritatif yang dikonfigurasikan untuk nama domain. TC: Nilai 0 menunjukkan bahwa pesan tidak dipotong. Nilai 1 menunjukkan bahwa pesan dipotong. AD: Nilai 0 menunjukkan bahwa server DNS yang merespons permintaan DNS memeriksa tanda tangan digital DNS Security Extensions (DNSSEC) untuk menanyakan nama domain dan bahwa tanda tangan gagal diverifikasi. Nilai 1 menunjukkan bahwa server DNS yang merespons permintaan DNS memeriksa tanda tangan digital DNSSEC dan bahwa tanda tangan lolos verifikasi. Jika permintaan berisi parameter ini, server DNS rekursif diharapkan memverifikasi paket respons DNS menggunakan tanda tangan digital DNSSEC. CD: Nilai 0 menunjukkan bahwa server DNS merespons permintaan hanya setelah tanda tangan digital DNSSEC lolos verifikasi. Nilai 1 menunjukkan bahwa server DNS harus merespons permintaan terlepas dari apakah tanda tangan digital DNSSEC lolos verifikasi.	RD
dns_msg_id	ID pesan DNS, yang merupakan pengenal unik permintaan DNS.	30914
dst_addr	Alamat IP tujuan.	100.100.2.136
dst_port	Port tujuan.	53
ecs_hostname	Nama host instance ECS.	iZbp1b1mx9fhe34k*****
ecs_id	ID Instance ECS.	i-bp1b1mx9fhe34kh****
module_type	Jenis modul. Nilainya tetap GLOBAL, yang menunjukkan log global.	GLOBAL
query_name	Nama domain yang diminta.	www.example.com.
query_type	Jenis rekaman DNS yang diminta. Nilai valid: A, AAAA, CNAME, TXT, dan MX.	A
region_id	ID wilayah.	cn-shanghai
src_addr	Alamat IP sumber.	192.168.0.1
src_port	Port sumber.	42071
transport	Protokol transmisi.	UDP
user_id	ID akun Alibaba Cloud.	139749398683****
vpc_id	ID VPC.	vpc-bp1eyy43516itw78****
edns	Mekanisme Ekstensi untuk DNS.	"flags: DO udp: 1408 CLIENT-SUBNET: 1.1.XX.XX/32/24"

2. Parameter log respons global

Parameter	Deskripsi	Contoh
answer_rrset	Rekaman sumber daya dalam respons.	Json array: ["www.example.com. 600 A 192.168.1.1", "www.example.com 600 A 192.168.1.2", ]
authority_rrset	Rekaman DNS di modul otoritatif bawaan.	Json array: ["example.com. 600 SOA ns1.example.com. hostmaster.example.com. 2023010101 3600 1200 3600 360" ]
additional_rrset	Rekaman sumber daya tambahan.	Json array: ["ns1.example.com. 600 A 100.100.2.136"]
dns_msg_flags	Bendera pesan DNS. Nilai valid: QR: Nilai 0 menunjukkan bahwa pesan adalah permintaan dari terminal. Nilai 1 menunjukkan bahwa pesan adalah respons dari server. RD: Nilai 0 menunjukkan bahwa kueri rekursif tidak diinginkan. Nilai 1 menunjukkan bahwa kueri rekursif diinginkan. AA: Nilai 0 menunjukkan bahwa permintaan tidak direspons oleh server DNS otoritatif yang dikonfigurasikan untuk nama domain. Nilai 1 menunjukkan bahwa permintaan direspons oleh server DNS otoritatif yang dikonfigurasikan untuk nama domain. TC: Nilai 0 menunjukkan bahwa pesan tidak dipotong. Nilai 1 menunjukkan bahwa pesan dipotong. AD: Nilai 0 menunjukkan bahwa server DNS yang merespons permintaan DNS memeriksa tanda tangan digital DNSSEC untuk menanyakan nama domain dan bahwa tanda tangan gagal diverifikasi. Nilai 1 menunjukkan bahwa server DNS yang merespons permintaan DNS memeriksa tanda tangan digital DNSSEC dan bahwa tanda tangan lolos verifikasi. CD: Nilai 0 menunjukkan bahwa server DNS merespons permintaan hanya setelah tanda tangan digital DNSSEC lolos verifikasi. Nilai 1 menunjukkan bahwa server DNS harus merespons permintaan terlepas dari apakah tanda tangan digital DNSSEC lolos verifikasi.	QR
dns_msg_id	ID pesan DNS, yang merupakan pengenal unik permintaan DNS.	30914
dst_addr	Alamat IP tujuan.	192.168.0.1
dst_port	Port tujuan.	42071
ecs_hostname	Nama host instance ECS.	iZbp1b1mx9fhe34k*****
ecs_id	ID Instance ECS.	i-bp1b1mx9fhe34kh****
module_type	Jenis modul. Nilainya tetap GLOBAL, yang menunjukkan log global.	GLOBAL
query_name	Nama domain yang diminta.	www.example.com.
query_type	Jenis rekaman DNS yang diminta. Nilai valid: A, AAAA, CNAME, TXT, dan MX.	A
rcode	Kode respons. Nilai valid: 0: NOERROR, yang menunjukkan bahwa tidak ada kesalahan yang terjadi selama resolusi DNS. 1: FORMERR, yang menunjukkan bahwa server DNS tidak dapat menyelesaikan permintaan DNS karena format permintaan DNS tidak valid. 2: SERVFAIL, yang menunjukkan bahwa resolusi DNS gagal karena terjadi kesalahan internal di server DNS atau respons DNS habis waktu. 3: NXDOMAIN, yang menunjukkan bahwa resolusi DNS gagal karena nama domain yang diminta tidak ada. 4: NOTIMP, yang menunjukkan bahwa server DNS tidak mendukung kode operasi yang ditentukan. 5: REFUSED, yang menunjukkan bahwa resolusi DNS gagal karena server DNS menolak merespons permintaan DNS karena kebijakan atau alasan keamanan.	0
region_id	ID wilayah.	cn-shanghai
resolve_path	Path resolusi. Parameter ini hanya tersedia di log respons global. Nilainya terdiri dari lima placeholder, yang menunjukkan percepatan otoritatif, regular otoritatif, cache, forward, dan modul rekursi. Placeholder dipisahkan dengan koma (,). Jika 1 ditentukan untuk placeholder, modul tersebut terlibat dalam resolusi. Jika 0 ditentukan untuk placeholder, modul tersebut tidak terlibat dalam resolusi. Jika nama domain menunjuk ke nama domain lain yang menunjuk ke nama domain lain, 1 ditentukan untuk beberapa placeholder.	1,0,0,0,0
rt	Latensi respons. Latensi respons global menunjukkan interval antara waktu terminal mengirim permintaan dan waktu terminal menerima respons. Latensi respons untuk log modul menunjukkan interval antara penerimaan permintaan dan respons di setiap modul.	10ms
src_addr	Alamat IP sumber.	100.100.2.136
src_port	Port sumber.	53
transport	Protokol transmisi.	UDP
user_id	ID akun Alibaba Cloud.	139749398683****
vpc_id	ID VPC.	vpc-bp1eyy43516itw78****
edns	Mekanisme Ekstensi untuk DNS.	"flags: DO udp: 1408 CLIENT-SUBNET: 1.1.XX.XX/32/24"

3. Parameter log respons modul

Parameter	Deskripsi	Contoh
answer_rrset	Rekaman sumber daya dalam respons.	Json array: ["www.example.com. 600 A 192.168.1.1", "www.example.com 600 A 192.168.1.2", ]
authority_rrset	Rekaman DNS di modul otoritatif bawaan.	Json array: ["example.com. 600 SOA ns1.example.com. hostmaster.example.com. 2023010101 3600 1200 3600 360" ]
additional_rrset	Rekaman sumber daya tambahan.	Json array: ["ns1.example.com. 600 A 100.100.2.136"]
dns_msg_id	ID pesan DNS, yang merupakan pengenal unik permintaan DNS.	30914
dst_addr	Alamat IP tujuan.	100.100.2.136
dst_port	Port tujuan.	53
ecs_hostname	Nama host instance ECS.	iZbp1b1mx9fhe34k*****
ecs_id	ID Instance ECS.	i-bp1b1mx9fhe34kh****
module_type	Jenis modul. Nilai valid: AUTH_FAST: modul percepatan otoritatif AUTH_SLOW: modul regular otoritatif FORWARD: modul forward CACHE: modul cache RECURSION: modul rekursi	AUTH_FAST
query_name	Nama domain yang diminta.	www.example.com.
query_type	Jenis rekaman DNS yang diminta. Nilai valid: A, AAAA, CNAME, TXT, dan MX.	A
rcode	Kode respons. Nilai valid: 0: NOERROR, yang menunjukkan bahwa tidak ada kesalahan yang terjadi selama resolusi DNS. 1: FORMERR, yang menunjukkan bahwa server DNS tidak dapat menyelesaikan permintaan DNS karena format permintaan DNS tidak valid. 2: SERVFAIL, yang menunjukkan bahwa resolusi DNS gagal karena terjadi kesalahan internal di server DNS atau respons DNS habis waktu. 3: NXDOMAIN, yang menunjukkan bahwa resolusi DNS gagal karena nama domain yang diminta tidak ada. 4: NOTIMP, yang menunjukkan bahwa server DNS tidak mendukung kode operasi yang ditentukan. 5: REFUSED, yang menunjukkan bahwa resolusi DNS gagal karena server DNS menolak merespons permintaan DNS karena kebijakan atau alasan keamanan.	0
region_id	ID wilayah.	cn-shanghai
rt	Latensi respons. Latensi respons global menunjukkan interval antara waktu terminal mengirim permintaan dan waktu terminal menerima respons. Latensi respons untuk log modul menunjukkan interval antara penerimaan permintaan dan respons di setiap modul.	1ms
src_addr	Alamat IP sumber.	192.168.0.1
src_port	Port sumber.	42071
transport	Protokol transmisi.	UDP
user_id	ID akun Alibaba Cloud.	139749398683****
vpc_id	ID VPC.	vpc-bp1eyy43516itw78****
edns	Mekanisme Ekstensi untuk DNS.	"flags: DO udp: 1408 CLIENT-SUBNET: 1.1.XX.XX/32/24"

Layanan Audit Log untuk DNS Privat

1. Apa itu Layanan Audit Log?

Layanan Audit Log adalah aplikasi logging di Simple Log Service. Selain kemampuan SLS, Layanan Audit Log menyediakan manajemen multi-akun yang kuat dan pengumpulan log lintas wilayah. Anda dapat menggunakan direktori sumber daya untuk mengatur dan menyatukan manajemen serta penyimpanan log layanan cloud dari beberapa akun.

2. Aktifkan pengumpulan log DNS Privat di Layanan Audit Log

Masuk ke konsol Layanan Audit Log.
Di halaman Global Configurations, pilih wilayah dari daftar drop-down Region of Central Project seperti cn-hangzhou dan aktifkan Intranet Private DNS Log. Untuk informasi lebih lanjut, lihat Aktifkan pengumpulan log.

3. Wilayah yang mendukung layanan audit log untuk DNS Privat

Layanan Audit Log untuk DNS Privat tersedia di wilayah berikut: Cina (Shanghai), Cina (Beijing), Cina (Guangzhou), Cina (Shenzhen), Cina (Hangzhou), Cina (Qingdao), Cina (Zhangjiakou), Singapura, Cina (Hongkong), dan Cina Selatan 1 Keuangan. Jika Anda ingin menggunakan Layanan Audit Log untuk DNS Privat di wilayah lain, kirim tiket ke pusat R&D. Pusat R&D akan menentukan apakah fitur tersebut dirilis ke lebih banyak wilayah setelah evaluasi komprehensif.

Konfigurasi multi-akun

Layanan Audit Log menyediakan kemampuan pengumpulan log lintas akun yang kuat yang dapat Anda gunakan untuk mengumpulkan log DNS Privat dari akun anggota dan menyimpannya di proyek pusat akun Alibaba Cloud. Ini memfasilitasi manajemen log terpusat. Layanan Audit Log mendukung dua mode untuk pengumpulan dan manajemen log multi-akun:

Mode direktori sumber daya
Mode autentikasi kustom

Untuk informasi lebih lanjut, lihat Kumpulkan log layanan cloud dari beberapa akun.

Konfigurasi pengumpulan log berdasarkan Terraform

Terraform menyediakan antarmuka baris perintah (CLI) yang mudah digunakan yang memungkinkan Anda menyebarkan file konfigurasi pada beban kerja layanan Alibaba Cloud atau layanan cloud pihak ketiga, serta mengelola versi file konfigurasi. Untuk informasi lebih lanjut tentang cara menggunakan Terraform untuk mengonfigurasi pengumpulan log di Layanan Audit Log, lihat Gunakan Terraform untuk mengonfigurasi Layanan Audit Log.

Kode sampel berikut memberikan contoh cara menggunakan Terraform untuk mengumpulkan log DNS Privat:

resource "alicloud_log_audit" "dns_example" {
	display_name = "tf-audit-test-dns"
	aliuid       = "1480************"  // Akun Alibaba Cloud tempat proyek pusat untuk penyimpanan log berada.
	variable_map = {
		"dns_intranet_enabled" = "true", // Aktifkan pengumpulan log DNS Privat.
		"dns_sync_enabled" = "true", // Aktifkan sinkronisasi log dari proyek regional ke proyek pusat.
		"dns_intranet_ttl" = "3", // Tentukan bahwa log disimpan di proyek regional selama tiga hari.
		"dns_sync_ttl" = "185"					 // Tentukan bahwa log disimpan di proyek pusat selama 185 hari.
		"dns_intranet_collection_policy" = "accept tag.env == \\\"test\\\"\\ndrop \\\"*\\\"" // Tentukan bahwa hanya log DNS Privat terkait VPC yang memiliki nilai tag prod untuk kunci tag env.
	  }  
	multi_account = ["1039************"] // Atur konfigurasi multi-akun.
  }

Kebijakan pengumpulan log

Layanan Audit Log memungkinkan Anda menerapkan pengumpulan dan manajemen granular pada log DNS Privat. Granularitas terkecil dari pengumpulan log DNS Privat adalah VPC.

Anda dapat mengelola dan mengonfigurasi kebijakan pengumpulan di konsol Layanan Audit Log. Gambar berikut menunjukkan kebijakan pengumpulan log yang mengaktifkan pengumpulan log DNS Privat untuk semua VPC yang memiliki nilai tag prod untuk kunci tag env. Anda dapat mengonfigurasi kebijakan pengumpulan untuk menerapkan manajemen pengumpulan granular dan mengurangi pengumpulan log yang tidak perlu.

Praktik terbaik untuk kueri dan analisis log

Bagian ini memberikan skenario umum untuk kueri dan analisis log DNS Privat. Anda dapat menggunakan pernyataan kueri dan analisis kustom untuk memenuhi persyaratan bisnis Anda. Anda juga dapat menambahkan hasil kueri SQL ke dasbor, menyimpan pernyataan kueri sebagai pencarian tersimpan, dan menyimpan hasil sebagai peringatan untuk memfasilitasi operasi kueri dan analisis berikutnya.

1. Hasil resolusi DNS

Kueri distribusi permintaan DNS untuk nama domain di VPC dalam periode waktu tertentu.

* and vpc_id: vpc-2ze9dducyc3t6p8aeksb3 |select count(*) as total_req, query_name group by  query_name

2. Data RTT resolusi DNS

Kueri data round-trip time (RTT) jenis kueri tertentu dari permintaan DNS untuk nama domain dari VPC dalam periode waktu tertentu.

* and vpc_id: vpc-2ze9dducyc3t6p8aeksb3 and query_name: "metrichub-cn-beijing.aliyun.com." and query_type: A | select stddev(__time__) as RT, dns_msg_id GROUP  by dns_msg_id