

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Syslog の取り込み
<a name="CWL_Syslog"></a>

Amazon CloudWatch Logs マネージド syslog 取り込みを使用すると、エージェントをインストールまたは管理することなく、ファイアウォール、ルーター、スイッチ、Linux サーバーから syslog メッセージ (RFC 5424、RFC 3164、Cisco FTD/ASA) を CloudWatch Logs に直接送信できます。syslog ソースは、TCP、TCP\+TLS、または UDP 経由で アカウントの VPC エンドポイントにメッセージを送信します。トラフィックは 経由で CloudWatch Logs syslog サービス AWS PrivateLink にトンネルされます。これにより、受信メッセージが自動的に解析され、施設、重要度、ホスト名、アプリケーション名などの構造化フィールドが抽出されるため、カスタム解析パイプラインが不要になります。その後、CloudWatch Logs Analytics を使用してこれらのフィールドをクエリして、セキュリティイベントを調査したり、接続の問題をトラブルシューティングしたりできます。これにより、インフラストラクチャログの可視性を一元化し、運用ワークフローを簡素化し、分散環境全体でログ収集エージェントをデプロイして維持するオーバーヘッドを削減できます。

syslog ソースが既に Amazon VPC 内にある場合、VPC エンドポイントに直接メッセージを送信できます。ソースが外部 AWS (オンプレミスデータセンター、ブランチオフィス、またはコロケーション施設) にある場合は、VPN または Direct Connect 接続を介して VPC エンドポイントに到達できます。

## サポートされているプロトコルとポート
<a name="CWL_Syslog_Protocols"></a>


| プロトコル | ポート | 注意事項 | 
| --- | --- | --- | 
| TCP \+ TLS | 6514 | 転送中に暗号化されます。コンプライアンス要件に推奨されます。 | 
| TCP プレーンテキスト | 1514 | プレーンテキスト over AWS PrivateLink (ネットワーク分離）。 | 
| UDP | 514 | ベストエフォート配信。 | 

ポート 6514 の TLS は、Amazon Trust Services によって発行された AWSマネージド証明書を使用して Network Load Balancer で終了します。syslog クライアントは、特別な設定なしでこの証明書を自動的に信頼します。

**注記**  
UDP はベストエフォートプロトコルです。ネットワーク状態が原因でメッセージが失われる可能性があります。信頼性の高い配信には TCP を使用します。

## サポートされている syslog 形式
<a name="CWL_Syslog_Formats"></a>

CloudWatch Logs は、次の syslog 形式を自動的に検出して解析します。
+ **RFC 5424** (新しい形式) – 構造化データ、ISO 8601 タイムスタンプ、明示的なアプリケーション名とプロセス ID フィールドが含まれます。
+ **RFC 3164** (BSD syslog、レガシー形式) – BSD スタイルのタイムスタンプと TAG フィールドが含まれます。ファイアウォール、ルーター、スイッチなどのネットワークデバイスでも広く使用されています。
+ **Cisco FTD/ASA** – Cisco Firepower Threat Defense (FTD) および Adaptive Security Appliance (ASA) デバイスで使用される syslog 形式。メッセージは、メッセージ本文の `%FTD-`または `%ASA-` タグによって識別されます。

メッセージは、元の raw 形式でロググループに保存されます。CloudWatch Logs は、CloudWatch Logs Insights を使用してクエリできる各形式から構造化フィールドを自動的に抽出します。

### RFC 5424 抽出フィールド
<a name="CWL_Syslog_Formats_Fields_RFC5424"></a>


| フィールド | 説明 | 
| --- | --- | 
| facility | ログカテゴリ名 (、、 kern authなどlocal0)。 | 
| facilityCode | 数値施設コード (0～23)。 | 
| severity | 重要度レベル名 (例: 、emergerr、info)。 | 
| severityCode | 数値重要度コード (0～7)。 | 
| timestamp | ISO 8601 形式のメッセージタイムスタンプ。 | 
| hostname | ソースデバイスのホスト名。 | 
| appName | アプリケーション名。 | 
| procId | プロセス ID。 | 
| msgId | メッセージ識別子。 | 
| structuredData | RFC 5424 構造化データ要素 (キーと値のメタデータ）。 | 
| message | メッセージ本文。 | 

### RFC 3164 抽出フィールド
<a name="CWL_Syslog_Formats_Fields_RFC3164"></a>


| フィールド | 説明 | 
| --- | --- | 
| facility | ログカテゴリ名。 | 
| facilityCode | 数値施設コード (0～23)。 | 
| severity | 重要度レベル名。 | 
| severityCode | 数値重要度コード (0～7)。 | 
| timestamp | メッセージタイムスタンプ (BSD 形式から ISO 8601 に変換）。 | 
| hostname | ソースデバイスのホスト名。 | 
| appName | アプリケーション名 (TAG フィールドから抽出）。 | 
| procId | プロセス ID (存在する場合は TAG フィールドから抽出）。 | 
| message | メッセージ本文。 | 

### Cisco FTD/ASA 抽出フィールド
<a name="CWL_Syslog_Formats_Fields_Cisco"></a>


| フィールド | 説明 | 
| --- | --- | 
| device | デバイスタイプ (FTD、ASA、または FMC-AUDIT-LOG)。 | 
| timestamp | メッセージタイムスタンプ (デバイス設定に応じて、RFC 3164 または RFC 5424 形式）。 | 
| deviceId | デバイスホスト名 (アプライアンスでdevice-idログ記録が設定されている場合に表示されます）。 | 
| severity | 重要度レベル名 (、、 などinformationalwarningcritical)。 | 
| severityLevel | 数値重要度レベル (0～7)。 | 
| messageId | Cisco 数値メッセージ識別子 (例: 106023、302013)。 | 
| subsystem | サブシステム名 (特定のメッセージタイプを表す）。 | 
| message | メッセージ本文 (プレーンテキスト）、または本文が Cisco の構造化形式を使用する場合の個々のキーと値のフィールド。 | 

## メッセージ配信
<a name="CWL_Syslog_Delivery"></a>

サーバーが各リクエストのステータスコードを返す HTTP ベースの取り込みとは異なり、syslog はメッセージごとの成功確認を送信者に返しません。サービスがメッセージを受信すると、一時的なエラーを再試行してバッファリングされ、ロググループに配信されます。配信の保証は、選択したトランスポートプロトコルによって異なります。
+ **TCP (ポート 6514 および 1514)** – 通常の動作条件下で信頼性の高い配信を提供します。

  配信が不可能な場合、サービスは TCP 接続をリセットしてクライアントに障害を通知します。その接続で進行中のメッセージは削除される可能性がありますが、接続のリセットによりすぐにバックプレッシャーが発生するため、クライアントは問題を検出し、条件が解決されるまでメッセージをローカルでバッファできます。容量のプレッシャーの下で、サービスは新しい TCP 接続を早期に拒否し、同じバックプレッシャー信号を提供します。

  接続のリセットの原因となる条件は次のとおりです。
  + VPC エンドポイントポリシーはアクセスを拒否します
  + アカウントの`PutLogEvents`クォータを超えています
  + ターゲットロググループが存在しません
  + ロググループのリソースポリシーがアクセスを拒否する
+ **UDP (ポート 514)** — ベストエフォート配信。配信できないメッセージは、送信者へのフィードバックなしで削除されます。ネットワークの輻輳や容量の制約により、メッセージが失われる可能性もあります。信頼性の高い配信がユースケースにとって重要な場合は、TCP を使用します。

配信の問題を検出して対応するには、CloudWatch で `SyslogMessagesDropped`メトリクスをモニタリングします。`Reason` ディメンションは、修正アクションを実行できるようにメッセージがドロップされた理由を示します。詳細については、「[syslog 取り込みのモニタリング](CWL_Syslog_Monitoring.md)」を参照してください。

## クォータと制限
<a name="CWL_Syslog_Limits"></a>


| 制限 | 値 | 注意事項 | 
| --- | --- | --- | 
| 最大メッセージサイズ (TCP) | 64 KB | 通常、標準の syslog メッセージはこの制限を大幅に下回ります。より大きなメッセージを必要とするユースケースがある場合は、 AWS サポートにお問い合わせください。 | 
| 最大メッセージサイズ (UDP) | 8 KB | 通常、標準の syslog メッセージはこの制限を大幅に下回ります。より大きなメッセージを必要とするユースケースがある場合は、 AWS サポートにお問い合わせください。 | 
| 取り込みスループット | と共有 PutLogEvents | Syslog 取り込みは、アカウントのクォータ (デフォルトでは、リージョンごとにアカウントごとに 1 秒あたり PutLogEvents 5,000 リクエスト) に対してカウントされます。 | 

`PutLogEvents` クォータは調整可能です。syslog トラフィックでより高いスループットが必要な場合は、[Service Quotas](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) を通じてクォータの引き上げをリクエストします。