Amazon SQS アプリケーションのログとメトリクスの収集
Amazon SQS メトリクスの収集
- Hosted Collector を設定します。
- Amazon CloudWatch メトリクス Source を設定します。
- Name (名前): 新しい Source に表示する名前を入力します。
- Description (説明): 説明 (省略可能) を入力します。
- Regions (リージョン)。SQS の Amazon リージョンを選択します。
- Namespaces (名前空間)。[AWS/SQS] を選択します。
- Source Category: Source Category を入力します。例: AWS/Metric/SQS
- Access Key and Secret Key (アクセス キーとシークレット キー)。Amazon のアクセス キーとシークレット キーを入力します。
- Scan Interval (スキャン間隔)。Sumo Logic が CloudWatch Source をスキャンして新しいデータがないか確認する間隔として、デフォルトの 5 分を使用するか、または別の間隔を入力します。
- [Save (保存)] をクリックします。
CloudTrail を使用した Amazon SQS イベントの収集
- Hosted Collector に AWS CloudTrail Source を追加します。
- Name (名前): 新しい Source に表示する名前を入力します。
- Description (説明): 説明 (省略可能) を入力します。
- S3 Region (S3 リージョン)。SQS S3 バケットの Amazon リージョンを選択します。
- Bucket Name (バケット名)。SQS S3 バケットの名前を正確に入力します。
- Path Expression (パス式)。収集する S3 オブジェクトに一致する文字列を入力します。この文字列では、ワイルドカードを 1 つ使用できます。(先頭にスラッシュを付けないでください。「Amazon のパス式」参照。)
- Source Category: Source Category を入力します。例: SQS_event
- Access Key and Secret Key (アクセス キーとシークレット キー)。Amazon のアクセス キーとシークレット キーを入力します。
- Scan Interval (スキャン間隔): デフォルトの 5 分を使用します。または、Sumo Logic が S3 バケットをスキャンして新しいデータがないか確認する間隔を入力します。
- Enable Timestamp Parsing (タイムスタンプ parse の有効化)。チェックボックスをオンにします。
- Time Zone (タイム ゾーン): [Ignore time zone from log file and instead use (ログ ファイルのタイムゾーンを無視して、次を使用します)] を選択して、[UTC] を選択します。
- Timestamp Format (タイムスタンプ形式)。[Automatically detect the format (自動的に形式を検出)] を選択します。
- Enable Multiline Processing (複数行の処理の有効化)。チェックボックスをオンにして [Infer Boundaries (境界を推測する)] を選択します。
- [Save (保存)] をクリックします。
ログ メッセージのサンプル
{
"eventVersion":"1.04",
"userIdentity":{
"type":"AssumedRole",
"principalId":"AROAINUY7K3KSGCABCDEF:bsmith",
"arn":"arn:aws:sts::12212341717:assumed-role/TechOps-SAML_Role/kdavis",
"accountId":"1221234221717",
"accessKeyId":"ASIAI12345GECTHNBTQ",
"sessionContext":{
"Attributes":{
"mfaAuthenticated":"false",
"creationDate":"2017-11-03T21:04:39Z"
},
"sessionIssuer":{
"type":"Role",
"principalId":"AROAINUY7K3KSGCABCDEF",
"arn":"arn:aws:iam::12212341717:role/TechOps-SAML_Role",
"accountId":"122123451717",
"userName":"TechOps-SAML_Role"
}
}
},
"eventTime":"2017-11-03T21:36:27Z",
"eventSource":"sqs.amazonaws.com",
"eventName":"CreateQueue",
"awsRegion":"us-west-2",
"sourceIPAddress":"19.174.45.8",
"userAgent":"aws-sdk-go/1.12.8 (go1.9; darwin; amd64) APN/1.0 HashiCorp/1.0 Terraform/0.10.0-dev",
"requestParameters":{
"queueName":"msg_process_businessrule",
"Attribute":{
"ReceiveMessageWaitTimeSeconds":"20",
"MessageRetentionPeriod":"345600",
"MaximumMessageSize":"262144",
"VisibilityTimeout":"3600"
}
},
"responseElements":{
"queueUrl":"https://sqs.us-west-2.amazonaws.com/12212341717/initial_msg_formatting"
},
"requestID":"3f9f0a8a-1234-5678-b16c-58fc1a1ee8fb",
"eventID":"66b74ca6-1234-5678-a61e-fba42272ba91",
"eventType":"AwsApiCall",
"recipientAccountId":"122123451717"
}
クエリのサンプル
上位 10 人のユーザ
_sourceCategory=*cloudtrail* "\"eventsource\":\"sqs.amazonaws.com\""
| json "eventSource" nodrop
| json "userIdentity.type" as type nodrop
| json "userIdentity.arn" as arn nodrop
| json "userName" nodrop
| json "eventName" nodrop
| where eventSource="sqs.amazonaws.com"
| parse field=arn ":assumed-role/*" as user
| if (isEmpty(userName), user, userName) as user
| count as eventCount by user
| top 10 user by eventCount