AWS CloudTrailからSimple Log Serviceへのログのインポート - Simple Log Service

このトピックでは、AWS CloudTrailからSimple Log Serviceにログをインポートする方法について説明します。

準備

重要

このトピックはAlibaba Cloud独自の情報であり、Alibaba Cloudがサードパーティサービスとやり取りするために提供する機能について説明します。したがって、このトピックでは、サードパーティの企業およびサービスの名前を参照できます。

Log Analysis for AWS CloudTrailアプリケーションを使用してAWS CloudTrailからSimple Log Serviceにログをインポートする前に、Amazon Web Services (AWS) で次の設定を構成する必要があります。このようにして、Amazon Simple Storage Service (Amazon S3) は、AWS CloudTrailがトレイル内の指定されたAmazon S3バケットにデータを書き込んだ後、Amazon Simple Queue Service (Amazon SQS) に通知を送信できます。

AWS CloudTrailでトレイルを作成します。詳細については、「コンソールでのトレイルの作成と更新」をご参照ください。
Amazon SQSでキューを作成します。詳細については、「キューの作成 (コンソール) 」をご参照ください。
ステップ1で作成したトレイルで指定したAmazon S3バケットのイベント通知を有効にします。詳細については、「Amazon S3イベント通知」をご参照ください。
イベント通知を有効にするときに、ステップ2で作成したキューを送信先として選択します。

説明

アカウントがIdentity and Access Management (IAM) ユーザーの場合、ユーザーに次の権限を付与する必要があります。詳細については、「ポリシーの作成とIAMユーザーへのアタッチ」をご参照ください。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sqs:ReceiveMessage",
        "sqs:SendMessage",
        "sqs:DeleteMessage",
        "sqs:GetQueueAttributes",
        "sqs:ListQueues",
        "s3:GetObject",
        "kms:Decrypt"
      ],
      "Resource": "*"
    }
  ]
}

手順

Log Serviceコンソールにログインします。
[ログアプリケーション] セクションの [監査とセキュリティ] タブで、[AWS CloudTrailのログ分析] をクリックします。
[アクセス管理] ページで、[追加] をクリックします。

[設定の作成] パネルで、AWS CloudTrail設定のログ分析を作成します。

パラメーターを設定します。下表に、各パラメーターを説明します。

パラメーター	説明
設定名	AWS CloudTrail設定のログ分析の名前。
プロジェクト	Log Analysis for AWS CloudTrailアプリケーションのアセットが属するプロジェクトの名前。説明中国 (杭州) 、中国 (北京) 、中国 (張家口) 、中国 (ウランカブ) 、中国 (成都) 、中国 (深セン) の各リージョンに属するプロジェクトのみがサポートされています。
AWSアカウントID	AWSアカウントのID。
AWS AccessKey ID	AWSアクセスキーID。重要 AWSアクセスキーペアに、管理するAWSリソースにアクセスする権限があることを確認します。
AWS Secret AccessKey	AWSシークレットアクセスキー。
AWSリージョン	Amazon SQSキューが存在するリージョン。
SQSキューURL	Amazon SQSキューのID。詳細については、「Amazon SQSキューとメッセージ識別子」をご参照ください。
SQSバッチサイズ	Amazon SQSが毎回プルできるメッセージの最大数。有効な値: 1 ~ 10。デフォルト値は 10 です。
インポート間隔	データプルタスクが実行されるスケジューリング間隔。有効な値: 1 ~ 43200 デフォルト値: 3。単位は分です。
同時タスク	データのプルに使用される同時タスクの数。有効な値: 1 ~ 20。デフォルト値は 1 です。説明大量のデータをインポートする場合は、このパラメーターを大きな値に設定することを推奨します。

[プレビュー] をクリックします。
説明
プレビューが失敗した場合は、エラーメッセージに基づいてパラメーター設定を確認する必要があります。プレビューに成功が表示されている場合にのみ、次のステップに進むことができます。
[OK] をクリックします。

関連する API 操作

次の表に、[アクセス管理] ページで実行できる操作を示します。

API 操作	説明
監査ログの表示	設定の [操作] 列で、[監査ログの表示] をクリックします。次に、生ログが保存されているLogstoreにリダイレクトされます。生ログを表示、クエリ、分析できます。詳細については、「ログの照会と分析」をご参照ください。
レポートの表示	設定の [操作] 列で [レポートの表示] をクリックします。その後、ダッシュボードページにリダイレクトされ、監査関連のさまざまなダッシュボードを表示できます。
データ保持期間の変更	構成のデータ保持期間を見つけ、アイコンをクリックして、生ログが保存されているLogstoreのデータ保持期間を変更します。
設定の変更	設定の [操作] 列で [変更] をクリックします。設定名やプロジェクトなどのパラメーターを変更できます。
設定の削除	設定を使用しなくなった場合は、設定の [操作] 列で [削除] をクリックします。重要構成を削除すると、その構成用に生成されたデータインポートタスクが削除されます。設定用に作成されたLogstoreは保持されます。 Logstoreにインポートされたデータは、データ保持期間が経過するまで削除されません。構成を削除すると、復元できません。作業は慎重に行ってください。