メインコンテンツまでスキップ
Sumo Logic Japanese

Collector スクリプトを使用して Amazon CloudWatch ログを収集する

データ ボリュームが小さい場合、AWS lambda や Amazon Kinesis を使用する代わりに、Installed Sumo Logic Collector とスクリプト Source を使用して Amazon CloudWatch ログを収集できます。

AWS アクセス ID とキーのペアを作成する

AWS アクセス ID とキーのペアを使用して AWS ユーザを作成します。「AWS アクセス ID とキーのペアを使用した AWS ユーザ」の手順に従ってください。「AWS S3 バケットへのアクセス権を付与する」の手順に従ってください。特に、ステップ 1 からステップ 12 の指示に従ってユーザを作成しますが、ステップ 11 では下記の権限を使用します。(はっきり言えば、S3 バケット権限は必要ありません)

次のコードをコピー & ペーストしてカスタム ポリシーとして使用します。

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:DescribeMetricFilters",
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": [
"*"
]
}
]
}

Collector をインストールする

  1. Linux または Windows システム用の Collector をインストールします。(必ず Collector バージョン 19.119-6 以降をインストールしてください)。

この手順の後半で、スクリプト Source も設定します。

スクリプトを Collector システムにダウンロードして導入する

Amazon VPC フロー ログ用 Sumo Logic アプリケーションには、次のファイルが必要です。

スクリプトを導入する手順

  1. 上記のファイルをダウンロードして、Collector を設定しているのと同じホストに導入します。
  2. Collector をインストールしているのと同じフォルダにパッケージを配置します (たとえば、/usr/local/SumoCollector/VPC)。
  3. パッケージ内で、vpc_cwl.properties ファイルを編集して AWS アクセス ID とキー、リージョン、次で示しているように設定セクションにデータを保存するために使用する LogGroup の名前を追加します。 
[unique_section_name]
# Predefined value for VPC collection
type = aws_cwl
AccessID = <Your AWS Access ID>
AccessKey = <Your AWS Access Key>
LogGroup = <LogGroupName>
# region, default is us-east-1. Note CWL is supported in: ap-northeast-1, ap-southeast-1, ap-southeast-2, eu-central-1, eu-west-1, us-east-1, us-west-1, and us-west-2
region = us-east-1
# comma separated list of log streams, or don't include if you want to collect from all log streams.
# LogStream = eni-11c6a94a-all,eni-19f34c43-all
# IMPORTANT: file to keep track of last queried timestamp, need a unique file for each section
timestamp = ${path}/timestamp.txt
# start of window to query logs, in epoch milliseconds.
# startTime = 1436377600000
# end of window to query logs, in epoch milliseconds. Use this for a fixed query window, or retrieve archived logs.
# endTime = 1436550400000
# delay time in milliseconds if there is no data
delayDuration = 1000
  1. 変更内容を保存します。
  2. 最後に、CLI から SumoVPCCollector.sh を直接実行し、設定をテストします。成功したら、次のように表示されます。

VPC フロー アプリケーション テスト

スクリプト Source の設定

  1. 次で示しているように、メイン スクリプトを呼び出すために Installed Collector のスクリプト Source を設定します。(この例では、パッケージが /usr/local/SumoCollector/VPC にあることを前提としています。必要に応じてカスタマイズしてください)。

  • Name (名前): 「VPC」と入力します。
  • Source Category。「vpc」と入力します。
  • Frequency (頻度): [Every 5 Minutes (5 分ごと)] を選択します。
  • Specify a timeout for your command (コマンドのタイムアウトを指定): チェック ボックスをアクティブ化して、[60 Minutes (60 分)] を選択します。
  • Command (コマンド): 「/bin/sh」と入力します。
  • Type a path to the script to execute (実行するスクリプトへのパスを入力): 前のステップで設定したように、Collector システムで SumoVPCCollector.sh ファイルが配置されているフォルダへのパスを入力します。
  • Working Directory (作業ディレクトリ): 作業ディレクトリを入力します。
  1. [Advanced (詳細)] で、[Extract timestamp information from log entries (ログ エントリからタイムスタンプ情報を抽出する)] オプションがアクティブ化されていることを確認します。
  2. 「スクリプト Source の設定」で説明しているように、その他の必要な設定を行います。
  3. [Save (保存)] をクリックします。
  • この記事は役に立ちましたか?