MENU
AWSを中心としたクラウドインフラ技術サイト
  1. ホーム
  2. AWS
  3. Amazon CloudWatch

Amazon CloudWatch

AWS AWS認定試験

Amazon CloudWatch の特徴

  • CloudWatch Events
  • CloudWatch Alarm
  • CloudWatch Logs
  • ログ、メトリクス、およびイベントという形式でモニタリングデータと運用データを収集します。
  • AWS とオンプレミスのサーバーで実行される AWS のリソース、アプリケーション、およびサービスの統合されたビューをユーザーに提供します。
  • 環境内における異常動作の検知、アラームの設定、ログとメトリクスを並行させた視覚化、自動化されたアクションの実行、問題のトラブルシューティング、およびインサイトの検出を行い、アプリケーションのスムーズな実行を維持することができます。

CloudWatch Alarm

CloudWatch Alarm は、単一の CloudWatch メトリクスを監視する、または複数の CloudWatch メトリクスに基づく数式の結果を監視します。

CloudWatch Alarm は、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1つ以上のアクションを実行します。アクションには、Amazon EC2 アクション、Auto Scaling アクション、Amazon SNS トピックに送信される通知があります。

EC2 インスタンスが異常のステータスになった場合の対処

CloudWatch アラームを利用して、標準メトリクスの「StatusCheckFailed_System」を監視・トリガーしインスタンスを自動的に復旧させることができます。

EC2 インスタンスの異常は基盤となるハードウェアの障害の可能性が高いです。

EC2 インスタンスを再起動すると、正常な基盤上で起動してくるので、回復アクションは EC2 インスタンスの再起動を選択して復旧させることができます。

CloudWatch エージェント

CloudWatch エージェントをインストールすることでログを CloudWatch Logs に転送することができます。

CloudWatch エージェントと CloudWatch Logs エージェントの違い

CloudWatch Logs エージェントは CloudWatch エージェントの古いバージョンであり、利用することは可能ですが、CloudWatch エージェントを利用することが推奨されています。

ログの保存期間について

CloudWatch Logs のロググループはログの保持期間を設定することが可能です。保持期間を設定しないとログが無限に保存されることになりコスト増につながります。

CloudWatch Logs メトリクスフィルター

CloudWatch Logs のメトリクスフィルター(Metric Filter)は、ログの中から特定パターンを見つけた回数(または値)を、CloudWatch メトリクスとして作る機能です。ログをメトリクスに変換する機能とも言えます。作ったメトリクスはアラームダッシュボードなど、普通のメトリクスと同様に使えます。

データ保護ポリシー

ロググループのデータ保護ポリシーを使用することで、CloudWatch Logs に取り込まれた機密データを保護できます。CloudWatch はデータ保護ポリシーを使用して、スキャンする機密データと、そのデータを保護するために実行するアクションを選択します。具体的にはログの中に入ってしまった機密情報を検出して、監査したり、表示時にマスクしたりします。CloudWatch Logs は、データ識別子を使って機密データを検出し、AuditDe-identify という操作で、検出記録やマスキングを行えます。

マスクされていないデータを閲覧できるのは、logs:Unmask IAMアクセス許可を持つユーザーのみです。

ポリシーはアカウント全体個別のロググループに対して適用できます。

どのようなデータを保護するのか

例えば、アプリのログにうっかり次のようなものが出てしまうことがあります。

  • クレジットカード番号
  • メールアドレスや氏名などの個人情報
  • AWS シークレットアクセスキー

データ保護ポリシーにより、こうした機密データをマネージドデータ識別子カスタムデータ識別子で検出できます。対応カテゴリには認証情報、財務情報、PII、PHI、デバイス識別子などがあります。

データ保護ポリシーで何がどうなるのか

データ保護ポリシーにより、以下の2つのデータ保護を実施してくれます。

監査(Audit)

機密データが見つかったことを記録し、AWS/Logs 名前空間に LogEventsWithFindings メトリクスを発行します。このメトリクスは CloudWatch アラームに使えます。つまり、「このロググループで機密情報っぽいものが出た」を監視できるようになります。

マスキング(De-identify)

機密データを、ログ表示時に見えないようにします。しかもマスキングは、CloudWatch Logs Insights、メトリクスフィルター、サブスクリプションフィルターなどの出力ポイントで既定で適用されます。マスクされていない元データを見られるのは、logs:Unmask 権限を持つユーザーだけです。

AWS AWS認定試験
Amazon CloudWatch AWS AWS認定試験
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

サイト管理人

関連記事

コメント

コメントする

AlphaOmega Captcha Classica  –  Enter Security Code
      
 

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください