パブリック権威DNSログをシンプルなログservice_Public権威DNSに転送する -

シナリオ

パブリックな権限のあるDNSログは、内部ドメイン名に関するAlibaba Cloud DNS (DNS) リクエストに関する明確な洞察を提供します。これにより、企業は内部ネットワークでのユーザーの行動を効率的に監査し、潜在的なセキュリティリスクを早期に特定できます。

公的な権威あるDNSログとは何ですか?

パブリック権限DNSログは、特定のドメイン名のすべてのサブドメインのDNS応答ログを記録します。記録される情報は、要求のプロトコル、ドメイン名のUID、送信元IPアドレス、宛先IPアドレス (DNSサーバのアドレス) 、照会されたドメイン名、レコードタイプ、および応答結果を含む。パブリック信頼DNSログ機能は、Simple log Service (SLS) のログ監査サービスと統合されています。パブリック権限DNSログ機能を有効にすると、アカウントやリージョン全体のパブリック権限DNSログを集中的にすばやく簡単に収集、管理、クエリ、分析できます。

パブリックDNS解決ログの監査ログの有効化

重要

SLSログストレージを使用するには、最初にCloud DNSプロダクトコンソールで特定のドメイン名のDNSトラフィック分析機能を有効にする必要があります。詳細については、「ドメイン名のDNSトラフィック分析機能の有効化または無効化」をご参照ください。ドメイン名のDNSトラフィック分析機能を無効にした場合、SLSシステムはドメイン名のDNSログを収集または保存しません。

SLSコンソールにログインします。
[ログアプリケーション] セクションで、[監査とセキュリティ] タブを選択し、[ログ監査サービス] をクリックします。
[グローバル設定] ページで、パブリックDNS解決ログの監査ログを有効にし、[中央プロジェクトのリージョン] ドロップダウンリストからリージョンを選択します。この例では、cn-hangzhouが選択されています。詳細については、「ログ収集の有効化と管理」をご参照ください。

パブリックな権威DNSログを表示する方法?

Simple Log Service コンソールにログインします。
[プロジェクト] 列から、以前に作成したプロジェクトを選択します。
Logstoresリストで、dns_logをクリックしてdnsログを表示します。

公开権限DNSログのパラメータ

パラメーター	説明	例
additional_rrset	追加のリソースレコードは、DNSサーバーがDNS解決プロセスの効率を改善するために提供する補助データを示し、DNSクエリ結果を除外します。	Jsonアレイ: ["mail.example.com. 93.184の3600。XX.XX "]
answer_rrset	応答内のリソースレコードは、クエリ要求に基づいてDNSサーバーによって返されたメッセージを示します。	Jsonアレイ: ["cloud-example.com。 600 MX 15 mx3.qiye.aliyun.com。"、" cloud-example.com。 600 MX 10 mx2.qiye.aliyun.com。"]
authority_rrset	DNSは、要求されたドメイン名情報が応答サーバによって直接提供され得ない場合に、クエリに応答することができる他のDNSサーバの情報を示す、組み込みの権限モジュールに記録する。	Jsonアレイ: ["example.com。 172800 IN N S ns1.example.com。 example.com. 172800 N S ns2.example.com。"]
dns_msg_flags	QR: 0の値は、メッセージが端末からの要求であることを示す。値1は、メッセージがサーバーからの応答であることを示します。 RD: 0の値は、再帰的クエリが望ましくないことを示す。値1は、再帰クエリが望ましいことを示します。 AA: 値0は、ドメイン名に設定された権限DNSサーバーによって要求が応答されないことを示します。値1は、ドメイン名に設定された権限DNSサーバーによって要求が応答されることを示します。 TC: 値0は、メッセージが切り捨てられないことを示します。値1は、メッセージが切り捨てられることを示します。	QR RD AA
dns_msg_id	DNSメッセージのID。DNSリクエストの一意の識別子です。	55346
dst_addr	応答メッセージの宛先IPアドレス。ローカルDNSサーバーの出口IPアドレスを示します。	61.240.XX.XX
dst_port	応答メッセージの宛先ポート。ローカルDNSサーバーのポートを示します。	52322
edns	DNSの拡張メカニズム (EDNS) は、DNSプロトコルの拡張メカニズムであり、追加の情報をDNS要求および応答で運ぶことができます。 EDNSを使用すると、DNSはより大きなパケット、より豊富なエラーコード、およびその他の拡張機能をサポートします。 UDP: ユーザーデータグラムプロトコル (UDP) 。送信者が処理できるUDPデータパケットの最大サイズ (バイト単位) を示します。これにより、クライアントとサーバーは、より大きなサイズに基づいてより多くのデータを送信できます。 flag: `OPT`リソースレコードにある8ビットのフラグフィールド。これは、EDNS専用に設計された特別なタイプのRRを示す。 DNSサーバーとリゾルバ間の追加情報とオプションの交換をサポートします。 DO (DNSSEC OK): 最も一般的なフラグの1つで、送信者が処理でき、DNSSECデジタル署名によって検証できるデータを示します。 CLIENT_SUBNET: クライアントサブネットに関する情報。	UDP: 1400フラグ: DO CLIENT_SUBNET: 124.163.XX.XX/24/24
query_name	照会されたドメイン名。	www.example.com.
query_type	照会されたDNSレコードのタイプ。有効な値: A、AAAA、CNAME、TXT、およびMX。	A
rcode	HTTPステータスコード: 0: NOERROR。DNS解決中にエラーが発生しなかったことを示します。 1: FORMERR。DNSリクエストのフォーマットが無効であるため、DNSサーバーがDNSリクエストを解決できないことを示します。 2: SERVFAIL。DNSサーバーで内部エラーが発生したか、DNS応答がタイムアウトしたため、DNS解決に失敗したことを示します。 3: NXDOMAIN。照会されたドメイン名が存在しないため、DNS解決が失敗したことを示します。 4: NOTIMP。DNSサーバーが指定されたオペレーションコードをサポートしていないことを示します。 5: REFUSED。ポリシーまたはセキュリティ上の理由により、DNSサーバーがDNS要求への応答を拒否したため、DNS解決が失敗したことを示します。 8: NXRRSET。リクエストされたドメイン名が存在する場合、クエリするDNSレコードが存在しないことを示します。	0
region_id	ログが収集されるマシンのリージョンID。	cn-shanghai
rt	応答レイテンシ。各権限DNSでのリクエストの受信と応答の間隔を示します。これは、端末が要求を送信する時間と端末が応答を受信する時間との間の間隔を指すものではない。	0ms
src_addr	応答の送信元IPアドレス。信頼できるDNSサーバーが応答を受信するアドレスです。	8.212.XX.XX
src_port	応答の送信元ポート。信頼できるDNSサーバーが応答を受信するポートです。	53
transport	伝送プロトコル。	UDP
user_id	Alibaba Cloud アカウントの ID です。	139749398683 ****
value	answer_rrsetフィールドのRRsetの値部分。	Jsonアレイ: ["mx3.qiye.aliyun.com" 、"mx2.qiye.aliyun.com"]
view_name	DNSリクエストによってヒットした行の名前。	DEFAULT
wild_len	ヒットしたワイルドカードドメイン名の長さ。	25
z_name	照会されたドメイン名が属する権限ゾーン。	cloud-example.com