使用記錄與監控功能

本頁面針對 Cloud DNS 的記錄和監控指標提供相關說明，包括 公開區域、 私人區域、 和轉送區域 。此外，本頁面也提供監控公開 DNS 變更傳播的操作指示。

使用 Cloud DNS 記錄

Cloud DNS 記錄會追蹤名稱伺服器為虛擬私有雲 (VPC) 網路解析的查詢，以及外部實體直接向公開區域發出的查詢。

記錄下來的查詢可能來自 Compute Engine 虛擬機器 (VM) 執行個體、相同虛擬私有雲網路內的 Google Kubernetes Engine 容器、對等互連區域，或使用傳入 DNS 轉送的內部部署用戶端。這些查詢最後可能會由私人 DNS 區域、轉送 DNS 區域、備用名稱伺服器、內部Google Cloud DNS 區域或外部 DNS 區域解析。

記錄檔屬於執行查詢的網路 或公用區域 所屬的專案。在共用虛擬私有雲的情況下，由於擁有網路的是主專案，因此記錄檔就屬於主專案所有。

啟用及停用私人代管區域的記錄功能

請使用 DNS 政策為您的網路啟用或停用記錄功能。啟用查詢記錄功能後，系統會記錄對 Cloud DNS 私人代管區域的每項 DNS 查詢。

如要為沒有 DNS 政策的網路啟用記錄功能，請執行 dns policies create 指令。

gcloud dns policies create POLICY_NAME \
    --networks=NETWORK \
    --enable-logging \
    --description=DESCRIPTION

如要為具有 DNS 政策的網路啟用記錄功能，請執行 dns policies update 指令。

gcloud dns policies update POLICY_NAME \
    --networks=NETWORK \
    --enable-logging

如要保留政策而關閉記錄，請執行 dns policies update 指令。

gcloud dns policies update POLICY_NAME \
    --networks=NETWORK \
    --no-enable-logging

如要完全刪除政策，請執行 dns policies delete 指令。

gcloud dns policies delete POLICY_NAME \

啟用及停用代管公開區域的記錄功能

如要為現有的代管公開區域啟用記錄功能，請執行 dns managed-zones update 指令。

gcloud dns managed-zones update ZONE_NAME --log-dns-queries \

如要停用現有公開代管可用區的記錄功能，請執行 dns managed-zones update 指令。

gcloud dns managed-zones update ZONE_NAME --no-log-dns-queries \

查看記錄

您可以在 Google Cloud 控制台中查看記錄。

查看記錄格式欄位

在適用的情況下，每個記錄項目會具有下列欄位。監控指標也會使用其中部分的欄位資訊。

定價

所有 Cloud DNS 記錄都會寫入 Cloud Logging。這項服務不會產生額外的 Cloud DNS 費用。不過，視寫入及儲存的記錄檔大小而定，這些記錄檔可能會產生額外儲存費用。

計算時，Cloud DNS 處理 10,000 筆 DNS 查詢時，約會寫入 5 MB 的記錄資料。

如要瞭解 Cloud Logging 的定價，請參閱「Google Cloud Observability 定價：Cloud Logging」一文。

排解傳出查詢轉送問題

如果收到的記錄含有 SERVFAIL，但缺少 destinationIP、egressIP 和 egressError 等特定欄位，請參閱疑難排解說明文件中的相關章節。

監控指標

Cloud DNS 會將監控指標匯出至 Cloud Monitoring。

您可以監控 DNS 查詢和回應的頻率，回應的目標包括不公開區域、轉送區域、政策轉送、內部 Google Cloud 區域和網際網路。您可以在 Google Cloud 控制台監控頁面和 Cloud Monitoring API 中使用監控功能。

私人 DNS 會匯出包含 response_code 標籤的 dns.googleapis.com/query/response_count 差異遷移指標，以便計算每個回應碼的查詢數量。

response_code 標籤的類型為 string，可能的值包括 NOERROR、FORMERR、SERVFAIL、NXDOMAIN、NOTIMP 和 UNKNOWN。 如要瞭解這些代碼的定義，請參閱 IANA DNS RCODE。

這個指標使用此記錄之記錄格式的適用欄位，並以 dns_query 資源類型匯出指標。

DNS 威脅偵測指標

如果 DNS 威脅偵測工具正在監控您的 VPC 網路，偵測工具會匯出可透過 Cloud Monitoring 檢查的指標。

可用的指標有兩種：

• networksecurity.googleapis.com/protectivedns/sent_dns_log_count：傳送給供應商檢查的 DNS 查詢記錄。
• networksecurity.googleapis.com/protectivedns/received_dns_log_count：偵測到的威脅記錄數量。這項指標包含嚴重程度和威脅類型。

監控 DNS 傳播

使用 Google Cloud CLI 或 REST API 進行變更時，變更一開始會標示為待處理，直到作業完成為止。您可以使用 gcloud CLI 或 REST API 檢查變更的狀態，或取得變更記錄。

當 Cloud DNS 成功更新控制伺服器的系統後，作業就會完成 (狀態：done)。在更新所有名稱伺服器之前可能仍會有延遲。

列出代管區域的變更

如要列出代管區域的變更，請執行 dns record-sets changes list 指令。

gcloud dns record-sets changes list --zone=ZONE

驗證 DNS 傳播

如要監控及驗證 DNS 名稱伺服器是否已納入變更，可以使用 watch 和 dig 指令。下列範例會示範如何查詢您的名稱伺服器，以及如何檢查其中一個代管區域名稱伺服器何時納入 MX 記錄的變更。

如要查詢區域的名稱伺服器，請執行 dns managed-zones describe 指令：

gcloud dns managed-zones describe ZONE_NAME

如要檢查權威名稱伺服器上是否有可用的記錄，請執行下列 dig 指令：

watch dig example.com in MX @ZONE_NAME_SERVER

根據預設，watch 指令會每隔 2 秒執行一次 dig 指令。您可以使用這個指令來判斷權威名稱伺服器何時納入變更，變更應在 120 秒內完成。授權名稱伺服器完成變更後，DNS 解析器就會開始擷取新記錄。如果解析器已快取先前的記錄，則會等待記錄的先前 TTL 值到期。

如要對系統的名稱伺服器執行 dig，可以從 dig 指令中移除 @<address>。如要監控傳播至其他名稱伺服器的情形，可以變更 address，指向其他名稱伺服器。

後續步驟

• 如要新增、刪除及更新記錄，請參閱「新增、修改及刪除記錄」。
• 如要建立、更新、列出及刪除代管可用區，請參閱管理可用區。
• 如要尋找使用 Cloud DNS 時可能遇到的常見問題解決方案，請參閱「疑難排解」。
• 如要參閱 API，請前往 Cloud DNS REST API。
• 如要瞭解 Cloud DNS 總覽，請參閱這篇文章。