developersIO
【アップデート】Route 53 Profiles がリゾルバーのクエリログ記録設定をサポートしました

【アップデート】Route 53 Profiles がリゾルバーのクエリログ記録設定をサポートしました

Amazon Route 53AWS
FacebookHatena blogX
2025.11.24

以下アップデートを紹介します。

https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-route-53-profiles-resolver-query-logging-configurations/

Route 53 Profiles は、複数のVPCおよび異なるAWSアカウント全体にわたって、 DNS関連のRoute 53設定を適用・管理するためのサービスです。 今まで、ProfileにはプライベートホストゾーンやResolverルール、 DNSファイアウォールルールグループなどを関連付けることができていました。

今回のアップデートにて Route 53 Profiles が リゾルバーのクエリログ記録 をサポートしました。

sc-2025-11-24_13-25914

これにより、複数VPC・複数アカウントへのDNSクエリログ設定が容易になります。

本ブログでその内容を紹介します。

何が嬉しい?

今までクエリログの記録は、個別にVPCへ紐づける必要がありました。

sc-2025-11-24_14-21898
クエリログ設定 → [VPCのクエリをログ記録する]

sc-2025-11-24_14-21541
VPCを選択

対象のVPCが増えるたびに、 クエリログ記録の設定単体で対応する必要がありました [辛みポイント]

今回の更新で Route 53 Profiles にクエリログ記録が仲間入りしました。 これにより (クエリログの記録を含む) DNS周りの設定をひっくるめて1プロファイルで管理できるようになりました [嬉しいポイント!] 。 新しいVPCを追加する際には、プロファイル を関連付けするだけでOKです。

改めて、Route53 Profiles で管理できる項目は以下になります。

  • プライベートホストゾーン
  • リゾルバールール
  • DNSファイアウォールルールグループ
  • インターフェースVPCエンドポイント
  • New!! リゾルバーのクエリログ記録

試してみる

さっそくRoute53 Profile経由で リゾルバーのクエリログ記録を有効化してみます。

プロファイルの作成

今回は新規プロファイル作成から進めます。 既存プロファイルがある場合は読み飛ばしてください。

sc-2025-11-24_13-31983
プロファイルを作成

sc-2025-11-24_13-16496
適当なプロファイル名を記入して [作成]

sc-2025-11-24_13-17657
プロファイルを作成

クエリログ記録の設定

新規クエリログ記録を作成します。 これについても、既存設定がある場合は読み飛ばしてOKです。

sc-2025-11-24_13-22159
[クエリのログ記録] → [クエリログ記録の設定]

sc-2025-11-24_13-12592
名前と送信先を記入。今回はS3バケットに送信する

sc-2025-11-24_13-23400
(続き)VPCは空でOK。Profile経由で設定するため

sc-2025-11-24_13-13609
クエリログ記録設定を作成

プロファイルにクエリログ記録の設定を関連付ける

さきほど作成したプロファイルに、 クエリログ記録の設定を関連付けます。

sc-2025-11-24_13-27748
[クエリログ記録] → [関連付ける]

sc-2025-11-24_13-13723
設定を選択して [関連付ける]

sc-2025-11-24_13-235
ステータスが [関連付け済み] となればOK

プロファイルにVPCを関連付ける

最後に、プロファイルをVPCに関連付けます。 この関連付けにより、さきほど設定したクエリログ記録が 自動的にVPCに適用されます。

sc-2025-11-24_13-2831
VPCを選択して [関連付ける]

sc-2025-11-24_13-4871
ステータスが [関連付け済み] となればOK

確認

CloudShell in VPC にて適当なDNSクエリを発行してみます。 しばらくして、ターゲットのS3バケットにオブジェクトが格納されていることを確認できました。

sc-2025-11-24_14-17233
s3://{s3-bucket}/AWSLogs/{account-id}/dnsquerylogs/rp-xxxx/{yyyy}/{mm}/{dd}/rp-xxxx_dnsquerylogs_{account-id}_{yyyy-mm-dd}_xxxx.log.gz

ログの中身はこんな感じ。

ログ確認
head -n1 rp-example_dnsquerylogs_example_2025-11-24-04_example
# {"version":"1.100000","account_id":"111111111111","region":"ap-northeast-1", ...略

head -n1 rp-example_dnsquerylogs_example_2025-11-24-04_example | jq | head
# {
#   "version": "1.100000",
#   "account_id": "111111111111",
#   "region": "ap-northeast-1",
#   "resource_id": "rp-2463example",
#   "query_timestamp": "2025-11-24T04:27:58Z",
#   "query_name": "al2023-repos-ap-northeast-1-de612dc2.s3.dualstack.ap-northeast-1.amazonaws.com.",
#   "query_type": "AAAA",
#   "query_class": "IN",
#   "rcode": "NOERROR",

おわりに

Route 53 Profiles のアップデートを紹介しました。

プロファイルを関連付けるだけで、クエリログ記録を含むDNS設定がまとめて適用されます。 運用負荷の軽減に繋がる、良いアップデートだと思います。

また、クエリログの分析については 過去にこんなブログも書いているので、 もしよければ参考ください。

以上、参考になれば幸いです。

参考

この記事をシェアする

FacebookHatena blogX

関連記事

[Route 53 Resolver エンドポイント] ENI 削除時において 「You do not have permission to access the specified resource.」 が発生した場合の対処方法
アノテーション 中村 祐太郎
2025.11.13
[登壇レポート] JAWS-UG 茨城 #9 1周年だよ!水戸に集合だぁ!「AWS 環境で GitLab Self-managed を試してみた」という内容で登壇してきました #jawsugibaraki #jawsug
emi
2025.11.08
TerraformでSendGridのDNSレコードをAWS Route53に登録してみた
小渕ヒューゴ
2025.10.15
SendGridのドメイン認証とSingle Sender認証をやってみた
小渕ヒューゴ
2025.10.14