セルフビルド DNS 解決ログを有効にする必要はありません。解決ログを収集するには、解決クラスタをログクラスタにアタッチする必要があります。
現在、イントラネットドメイン名解決ログはセルフビルド DNS 解決ログのみをサポートしており、PrivateZone 解決ログはサポートしていません。
PrivateZone 解決ログを表示するには、PrivateZone トラフィック分析を有効にし、ログを Simple Log Service (SLS) に保存します。詳細については、「イントラネット DNS 解決ログを SLS に保存する」をご参照ください。
セルフビルド DNS 解決ログ
使用方法
Cloud DNS Log Service コンソールにログオンします。
[Log Service] ページで、[解決ログ] タブを選択し、次に [イントラネットドメイン名解決] を選択します。
ヘッダーパラメーターの説明
[クエリ時間]: ドメイン名クエリ解決リクエストが開始された時間。
[応答時間]: ドメイン名クエリが応答された時間。
[解決レイテンシ]: ドメイン名クエリリクエストが開始されてからドメイン名解決応答を受信するまでの全体的なレイテンシ。
[送信元 IP アドレス]: ドメイン名クエリリクエストを開始した IP アドレス。通常はクライアント IP アドレス。
[ECS 拡張キャリング IP]: EDNS-Client-Subnet プロトコル (ECS プロトコル) をサポートするローカル DNS サーバーは、プライバシーのためにクライアント送信元 IP を変換し、ECS プロトコル拡張情報に含めます。これにより、権威 DNS サーバーは ECS プロトコルで伝送されるクライアント送信元 IP に基づいてより正確なスケジューリング決定を行うことができます。
[クエリドメイン]: この DNS リクエストのターゲットドメイン名。
[レコードタイプ]: A、AAAA、CNAME、TXT、MX などの解決タイプ。
[クエリフラグ]:
フラグ名 | 説明 |
rd (Recursion Desired) | このフラグは、クライアントが DNS サーバーへのクエリリクエストで設定し、クライアントが DNS サーバーにこのクエリを再帰的に解決することを望んでいることを示します。 |
ad (Authenticated Data) | このフラグは通常、応答パケットに表示されます。一部の古いバージョンのテストツールは、リクエストでこのフラグを伝送する場合がありますが、DNS サーバーはこのフラグを無視し、クエリ結果には影響しません。 |
[レスポンスフラグ]:
フラグ名 | 説明 |
qr (Query/Response) | パケットがクエリリクエストか応答かを区別するために使用されます。 QR フラグは、これが応答パケットであることを示します。 |
rd (Recursion Desired) | rd フラグが応答パケットに表示される場合、リクエストパケットの rd フラグの値をエコーするだけで、実際的な機能はありません。 |
ra (Recursion Available) | DNS サーバーは、再帰クエリ機能をサポートしていることをクエリ発行者に通知します。 |
ad (Authenticated Data) | DNSSEC 環境で使用され、返されたデータが検証済みであることを示します。 |
tc (Truncation) | 応答パケットが長すぎて切り詰められたことを示します。 |
aa (Authoritative Answer) | 応答パケットがドメイン名の権威 DNS 応答から来ていることを示します。そうでない場合は、キャッシュされた応答、または別の非権威 DNS サーバーからの応答を示します。 |
[プロトコルタイプ]: ドメイン名クエリリクエストに使用されるプロトコル。一般的には UDP、TCP、HTTPS。
[解決結果]: ドメイン名解決結果。
[応答ステータス]: 一般的に次のステータスが含まれます。
ステータス | 説明 |
NOERROR | 正常な応答。ドメイン名解決が成功したことを示します。 |
NXDOMAIN (Non-Existent Domain) | クエリされたドメイン名は存在しません。 |
SERVFAIL (Server Failure) | ターゲット DNS サーバーで問題が発生し、このクエリを処理できませんでした。 |
REFUSED | DNS サーバーは、ポリシー上の理由から指定された操作の実行を拒否します。たとえば、DNS サーバーは指定されたリクエスト発行者に解決を提供したくない場合や、指定されたデータに対して特定の操作 (ゾーン転送など) を実行したくない場合があります。 |
FormErr (Format Error) | DNS サーバーはクエリリクエストを解釈できません。 |
NotImp (Not Implemented) | DNS サーバーはこのリクエストのクエリタイプをサポートしていません。 |
Drop | DNS サーバーは、不正な形式のパケットリクエストなど、ポリシー上の理由から指定されたリクエストを破棄します。 |
解決詳細ログには、[NXRRSET] ステータスのログが表示される場合があります。 RFC 仕様では、これは解決レコードの更新時に対応する解決レコードが存在しないことを示します。 Alibaba Cloud DNS トラフィック分析シナリオでは、ユーザーが解決応答ステータスをより正確に区別できるように、このドキュメントの [NXRRSET] は、このクエリリクエストのドメイン名は存在するが、クエリされた解決レコードタイプが存在しないことを示します。ますます一般的になっているデュアルスタック (IPv4 と IPv6 の共存) 環境を例にとると、多くのユーザーはドメイン名に IPv4 の A レコードのみを設定しており、端末は A と AAAA タイプの両方を同時にリクエストします。したがって、AAAA タイプのリクエストは [NXRRSET] を返し、A タイプのリクエストは正しい結果を取得できます。 [NXRRSET] が表示されても、必ずしも解決異常を示すわけではありません。このタイプの解決レコードが設定されているかどうかを確認する必要があります。
[解決ノード]: この DNS クエリリクエストに応答した権威サーバー IP アドレス。
条件付きクエリ
時間条件付きクエリ
指定された解決クラスタのクエリをサポートします。
過去 90 日以内の任意の期間のクエリをサポートします。
キーワードクエリ
[クエリドメイン]、[送信元 IP アドレス]、[クエリレコードタイプ]、[応答ステータス]、[解決レイテンシ] などに対するキーワードクエリをサポートします。
解決ログ Syslog プッシュ
解決ログを特定のログストレージサーバーにプッシュして管理するには、ページの右上隅にある [解決ログ Syslog プッシュ] ボタンをクリックします。
ダイアログボックスで、ログプッシュボタンをオンにし、プッシュプロトコルとサーバーアドレスを選択して、[OK] をクリックします。
