View a markdown version of this page

Syslog の取り込み - Amazon CloudWatch Logs

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Syslog の取り込み

Amazon CloudWatch Logs マネージド syslog 取り込みを使用すると、エージェントをインストールまたは管理することなく、ファイアウォール、ルーター、スイッチ、Linux サーバーから syslog メッセージ (RFC 5424、RFC 3164、Cisco FTD/ASA) を CloudWatch Logs に直接送信できます。syslog ソースは、TCP、TCP+TLS、または UDP 経由で アカウントの VPC エンドポイントにメッセージを送信します。トラフィックは 経由で CloudWatch Logs syslog サービス AWS PrivateLink にトンネルされます。これにより、受信メッセージが自動的に解析され、施設、重要度、ホスト名、アプリケーション名などの構造化フィールドが抽出されるため、カスタム解析パイプラインが不要になります。その後、CloudWatch Logs Analytics を使用してこれらのフィールドをクエリして、セキュリティイベントを調査したり、接続の問題をトラブルシューティングしたりできます。これにより、インフラストラクチャログの可視性を一元化し、運用ワークフローを簡素化し、分散環境全体でログ収集エージェントをデプロイして維持するオーバーヘッドを削減できます。

syslog ソースが既に Amazon VPC 内にある場合、VPC エンドポイントに直接メッセージを送信できます。ソースが外部 AWS (オンプレミスデータセンター、ブランチオフィス、またはコロケーション施設) にある場合は、VPN または Direct Connect 接続を介して VPC エンドポイントに到達できます。

サポートされているプロトコルとポート

プロトコル ポート 注意事項
TCP + TLS 6514 転送中に暗号化されます。コンプライアンス要件に推奨されます。
TCP プレーンテキスト 1514 プレーンテキスト over AWS PrivateLink (ネットワーク分離)。
UDP 514 ベストエフォート配信。

ポート 6514 の TLS は、Amazon Trust Services によって発行された AWSマネージド証明書を使用して Network Load Balancer で終了します。syslog クライアントは、特別な設定なしでこの証明書を自動的に信頼します。

注記

UDP はベストエフォートプロトコルです。ネットワーク状態が原因でメッセージが失われる可能性があります。信頼性の高い配信には TCP を使用します。

サポートされている syslog 形式

CloudWatch Logs は、次の syslog 形式を自動的に検出して解析します。

  • RFC 5424 (新しい形式) – 構造化データ、ISO 8601 タイムスタンプ、明示的なアプリケーション名とプロセス ID フィールドが含まれます。

  • RFC 3164 (BSD syslog、レガシー形式) – BSD スタイルのタイムスタンプと TAG フィールドが含まれます。ファイアウォール、ルーター、スイッチなどのネットワークデバイスでも広く使用されています。

  • Cisco FTD/ASA – Cisco Firepower Threat Defense (FTD) および Adaptive Security Appliance (ASA) デバイスで使用される syslog 形式。メッセージは、メッセージ本文の %FTD-または %ASA- タグによって識別されます。

メッセージは、元の raw 形式でロググループに保存されます。CloudWatch Logs は、CloudWatch Logs Insights を使用してクエリできる各形式から構造化フィールドを自動的に抽出します。

RFC 5424 抽出フィールド

フィールド 説明
facilityログカテゴリ名 (、、 kern authなどlocal0)。
facilityCode数値施設コード (0~23)。
severity重要度レベル名 (例: 、emergerrinfo)。
severityCode数値重要度コード (0~7)。
timestampISO 8601 形式のメッセージタイムスタンプ。
hostnameソースデバイスのホスト名。
appNameアプリケーション名。
procIdプロセス ID。
msgIdメッセージ識別子。
structuredDataRFC 5424 構造化データ要素 (キーと値のメタデータ)。
messageメッセージ本文。

RFC 3164 抽出フィールド

フィールド 説明
facilityログカテゴリ名。
facilityCode数値施設コード (0~23)。
severity重要度レベル名。
severityCode数値重要度コード (0~7)。
timestampメッセージタイムスタンプ (BSD 形式から ISO 8601 に変換)。
hostnameソースデバイスのホスト名。
appNameアプリケーション名 (TAG フィールドから抽出)。
procIdプロセス ID (存在する場合は TAG フィールドから抽出)。
messageメッセージ本文。

Cisco FTD/ASA 抽出フィールド

フィールド 説明
deviceデバイスタイプ (FTDASA、または FMC-AUDIT-LOG)。
timestampメッセージタイムスタンプ (デバイス設定に応じて、RFC 3164 または RFC 5424 形式)。
deviceIdデバイスホスト名 (アプライアンスでdevice-idログ記録が設定されている場合に表示されます)。
severity重要度レベル名 (、、 などinformationalwarningcritical)。
severityLevel数値重要度レベル (0~7)。
messageIdCisco 数値メッセージ識別子 (例: 106023302013)。
subsystemサブシステム名 (特定のメッセージタイプを表す)。
messageメッセージ本文 (プレーンテキスト)、または本文が Cisco の構造化形式を使用する場合の個々のキーと値のフィールド。

メッセージ配信

サーバーが各リクエストのステータスコードを返す HTTP ベースの取り込みとは異なり、syslog はメッセージごとの成功確認を送信者に返しません。サービスがメッセージを受信すると、一時的なエラーを再試行してバッファリングされ、ロググループに配信されます。配信の保証は、選択したトランスポートプロトコルによって異なります。

  • TCP (ポート 6514 および 1514) – 通常の動作条件下で信頼性の高い配信を提供します。

    配信が不可能な場合、サービスは TCP 接続をリセットしてクライアントに障害を通知します。その接続で進行中のメッセージは削除される可能性がありますが、接続のリセットによりすぐにバックプレッシャーが発生するため、クライアントは問題を検出し、条件が解決されるまでメッセージをローカルでバッファできます。容量のプレッシャーの下で、サービスは新しい TCP 接続を早期に拒否し、同じバックプレッシャー信号を提供します。

    接続のリセットの原因となる条件は次のとおりです。

    • VPC エンドポイントポリシーはアクセスを拒否します

    • アカウントのPutLogEventsクォータを超えています

    • ターゲットロググループが存在しません

    • ロググループのリソースポリシーがアクセスを拒否する

  • UDP (ポート 514) — ベストエフォート配信。配信できないメッセージは、送信者へのフィードバックなしで削除されます。ネットワークの輻輳や容量の制約により、メッセージが失われる可能性もあります。信頼性の高い配信がユースケースにとって重要な場合は、TCP を使用します。

配信の問題を検出して対応するには、CloudWatch で SyslogMessagesDroppedメトリクスをモニタリングします。Reason ディメンションは、修正アクションを実行できるようにメッセージがドロップされた理由を示します。詳細については、「syslog 取り込みのモニタリング」を参照してください。

クォータと制限

制限 注意事項
最大メッセージサイズ (TCP) 64 KB 通常、標準の syslog メッセージはこの制限を大幅に下回ります。より大きなメッセージを必要とするユースケースがある場合は、 AWS サポートにお問い合わせください。
最大メッセージサイズ (UDP) 8 KB 通常、標準の syslog メッセージはこの制限を大幅に下回ります。より大きなメッセージを必要とするユースケースがある場合は、 AWS サポートにお問い合わせください。
取り込みスループット と共有 PutLogEvents Syslog 取り込みは、アカウントのクォータ (デフォルトでは、リージョンごとにアカウントごとに 1 秒あたり PutLogEvents 5,000 リクエスト) に対してカウントされます。

PutLogEvents クォータは調整可能です。syslog トラフィックでより高いスループットが必要な場合は、Service Quotas を通じてクォータの引き上げをリクエストします。