翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Syslog の取り込み
Amazon CloudWatch Logs マネージド syslog 取り込みを使用すると、エージェントをインストールまたは管理することなく、ファイアウォール、ルーター、スイッチ、Linux サーバーから syslog メッセージ (RFC 5424、RFC 3164、Cisco FTD/ASA) を CloudWatch Logs に直接送信できます。syslog ソースは、TCP、TCP+TLS、または UDP 経由で アカウントの VPC エンドポイントにメッセージを送信します。トラフィックは 経由で CloudWatch Logs syslog サービス AWS PrivateLink にトンネルされます。これにより、受信メッセージが自動的に解析され、施設、重要度、ホスト名、アプリケーション名などの構造化フィールドが抽出されるため、カスタム解析パイプラインが不要になります。その後、CloudWatch Logs Analytics を使用してこれらのフィールドをクエリして、セキュリティイベントを調査したり、接続の問題をトラブルシューティングしたりできます。これにより、インフラストラクチャログの可視性を一元化し、運用ワークフローを簡素化し、分散環境全体でログ収集エージェントをデプロイして維持するオーバーヘッドを削減できます。
syslog ソースが既に Amazon VPC 内にある場合、VPC エンドポイントに直接メッセージを送信できます。ソースが外部 AWS (オンプレミスデータセンター、ブランチオフィス、またはコロケーション施設) にある場合は、VPN または Direct Connect 接続を介して VPC エンドポイントに到達できます。
サポートされているプロトコルとポート
| プロトコル | ポート | 注意事項 |
|---|---|---|
| TCP + TLS | 6514 | 転送中に暗号化されます。コンプライアンス要件に推奨されます。 |
| TCP プレーンテキスト | 1514 | プレーンテキスト over AWS PrivateLink (ネットワーク分離)。 |
| UDP | 514 | ベストエフォート配信。 |
ポート 6514 の TLS は、Amazon Trust Services によって発行された AWSマネージド証明書を使用して Network Load Balancer で終了します。syslog クライアントは、特別な設定なしでこの証明書を自動的に信頼します。
注記
UDP はベストエフォートプロトコルです。ネットワーク状態が原因でメッセージが失われる可能性があります。信頼性の高い配信には TCP を使用します。
サポートされている syslog 形式
CloudWatch Logs は、次の syslog 形式を自動的に検出して解析します。
RFC 5424 (新しい形式) – 構造化データ、ISO 8601 タイムスタンプ、明示的なアプリケーション名とプロセス ID フィールドが含まれます。
RFC 3164 (BSD syslog、レガシー形式) – BSD スタイルのタイムスタンプと TAG フィールドが含まれます。ファイアウォール、ルーター、スイッチなどのネットワークデバイスでも広く使用されています。
Cisco FTD/ASA – Cisco Firepower Threat Defense (FTD) および Adaptive Security Appliance (ASA) デバイスで使用される syslog 形式。メッセージは、メッセージ本文の
%FTD-または%ASA-タグによって識別されます。
メッセージは、元の raw 形式でロググループに保存されます。CloudWatch Logs は、CloudWatch Logs Insights を使用してクエリできる各形式から構造化フィールドを自動的に抽出します。
RFC 5424 抽出フィールド
| フィールド | 説明 |
|---|---|
facility | ログカテゴリ名 (、、 kern authなどlocal0)。 |
facilityCode | 数値施設コード (0~23)。 |
severity | 重要度レベル名 (例: 、emergerr、info)。 |
severityCode | 数値重要度コード (0~7)。 |
timestamp | ISO 8601 形式のメッセージタイムスタンプ。 |
hostname | ソースデバイスのホスト名。 |
appName | アプリケーション名。 |
procId | プロセス ID。 |
msgId | メッセージ識別子。 |
structuredData | RFC 5424 構造化データ要素 (キーと値のメタデータ)。 |
message | メッセージ本文。 |
RFC 3164 抽出フィールド
| フィールド | 説明 |
|---|---|
facility | ログカテゴリ名。 |
facilityCode | 数値施設コード (0~23)。 |
severity | 重要度レベル名。 |
severityCode | 数値重要度コード (0~7)。 |
timestamp | メッセージタイムスタンプ (BSD 形式から ISO 8601 に変換)。 |
hostname | ソースデバイスのホスト名。 |
appName | アプリケーション名 (TAG フィールドから抽出)。 |
procId | プロセス ID (存在する場合は TAG フィールドから抽出)。 |
message | メッセージ本文。 |
Cisco FTD/ASA 抽出フィールド
| フィールド | 説明 |
|---|---|
device | デバイスタイプ (FTD、ASA、または FMC-AUDIT-LOG)。 |
timestamp | メッセージタイムスタンプ (デバイス設定に応じて、RFC 3164 または RFC 5424 形式)。 |
deviceId | デバイスホスト名 (アプライアンスでdevice-idログ記録が設定されている場合に表示されます)。 |
severity | 重要度レベル名 (、、 などinformationalwarningcritical)。 |
severityLevel | 数値重要度レベル (0~7)。 |
messageId | Cisco 数値メッセージ識別子 (例: 106023、302013)。 |
subsystem | サブシステム名 (特定のメッセージタイプを表す)。 |
message | メッセージ本文 (プレーンテキスト)、または本文が Cisco の構造化形式を使用する場合の個々のキーと値のフィールド。 |
メッセージ配信
サーバーが各リクエストのステータスコードを返す HTTP ベースの取り込みとは異なり、syslog はメッセージごとの成功確認を送信者に返しません。サービスがメッセージを受信すると、一時的なエラーを再試行してバッファリングされ、ロググループに配信されます。配信の保証は、選択したトランスポートプロトコルによって異なります。
-
TCP (ポート 6514 および 1514) – 通常の動作条件下で信頼性の高い配信を提供します。
配信が不可能な場合、サービスは TCP 接続をリセットしてクライアントに障害を通知します。その接続で進行中のメッセージは削除される可能性がありますが、接続のリセットによりすぐにバックプレッシャーが発生するため、クライアントは問題を検出し、条件が解決されるまでメッセージをローカルでバッファできます。容量のプレッシャーの下で、サービスは新しい TCP 接続を早期に拒否し、同じバックプレッシャー信号を提供します。
接続のリセットの原因となる条件は次のとおりです。
VPC エンドポイントポリシーはアクセスを拒否します
アカウントの
PutLogEventsクォータを超えていますターゲットロググループが存在しません
ロググループのリソースポリシーがアクセスを拒否する
UDP (ポート 514) — ベストエフォート配信。配信できないメッセージは、送信者へのフィードバックなしで削除されます。ネットワークの輻輳や容量の制約により、メッセージが失われる可能性もあります。信頼性の高い配信がユースケースにとって重要な場合は、TCP を使用します。
配信の問題を検出して対応するには、CloudWatch で SyslogMessagesDroppedメトリクスをモニタリングします。Reason ディメンションは、修正アクションを実行できるようにメッセージがドロップされた理由を示します。詳細については、「syslog 取り込みのモニタリング」を参照してください。
クォータと制限
| 制限 | 値 | 注意事項 |
|---|---|---|
| 最大メッセージサイズ (TCP) | 64 KB | 通常、標準の syslog メッセージはこの制限を大幅に下回ります。より大きなメッセージを必要とするユースケースがある場合は、 AWS サポートにお問い合わせください。 |
| 最大メッセージサイズ (UDP) | 8 KB | 通常、標準の syslog メッセージはこの制限を大幅に下回ります。より大きなメッセージを必要とするユースケースがある場合は、 AWS サポートにお問い合わせください。 |
| 取り込みスループット | と共有 PutLogEvents |
Syslog 取り込みは、アカウントのクォータ (デフォルトでは、リージョンごとにアカウントごとに 1 秒あたり PutLogEvents 5,000 リクエスト) に対してカウントされます。 |
PutLogEvents クォータは調整可能です。syslog トラフィックでより高いスループットが必要な場合は、Service Quotas を通じてクォータの引き上げをリクエストします。