翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# ログ管理
CloudWatch Logs は、ログデータのより効果的な整理、変換、分析に役立つ高度なログ管理機能を提供します。これらの機能には、[クロスアカウントおよびクロスリージョンのデータ一元化](CloudWatchLogs_Centralization.md)、[自動データ検出とスキーマ管理、](data-source-discovery-management.md)[取り込み中のログ変換](CloudWatch-Logs-Transformation.md)、[インタラクティブなログ探索のためのファセットを使用した拡張分析](CloudWatchLogs-Facets.md)が含まれます。
**Topics**
+ [
# データソースの検出と管理
](data-source-discovery-management.md)
+ [
# データソースによって有効になる機能
](features-enabled-by-data-sources.md)
+ [
# データソース AWS のサービス でサポート
](supported-aws-services-data-sources.md)
+ [
# データソースでサポートされているサードパーティーソース
](supported-third-party-sources-data-sources.md)
# データソースの検出と管理
CloudWatch Logs は、ログデータを自動的に検出してデータソースとタイプ別に分類するため、大規模なログの理解と管理が容易になります。この機能は、Amazon VPC フローログ、CloudTrail、Route AWS 53 などのベンダーソースとサードパーティーのセキュリティツールのスキーマ検出を提供します。
ログ管理コンソールには、ロググループだけでなく、データソースとタイプ別に整理されたログの概要が表示されます。この組織は、以下に役立ちます。
+ AWS サービス、サードパーティーソース (Okta や CrowdStrike など)、カスタムソース別に分類されたログを表示する
+ ログデータのスキーマと構造を自動的に理解する
+ 検出されたスキーマフィールドに基づいてフィールドインデックスポリシーを作成する
+ 異なるデータソース間でログをより効率的に管理する
+ さまざまなデータソースによるログのクエリ
[サポートされている AWS サービスの CloudWatch Logs ログ記録を有効にすると](AWS-logs-and-resource-policy.md)、CloudWatch Logs はログに適切なスキーマを自動的に適用します。この自動スキーマアプリケーションは、整合性を維持し、ログ構造を即座に把握するのに役立ちます。
## CloudWatch Logs データソースとは
CloudWatch Logs データソースは、ログを生成するソースに基づいてログデータを整理および分類する新しい方法を提供する機能です。CloudWatch Logs は従来、ロググループを使用してログを整理していましたが、データソースは、元のサービスとログタイプ別にログをグループ化する追加の組織レイヤーを提供します。
### データソースの仕組み
データソースは、サービスベースのログ編成を提供し、 AWS インフラストラクチャ全体で検出を簡素化します。個々のロググループ名や構造を知ることなく、特定のサービスから簡単にログを検索し、ログタイプでフィルタリングできます。
サードパーティーソースの場合、およびオプションでアプリケーションログソースの場合、データソースは CloudWatch パイプラインと連携してログを分類します。ログを取り込んで変換するようにパイプラインを設定するときは、データソース名とタイプを指定します。その後、CloudWatch Logs はパイプラインが処理するすべてのログを自動的に分類します。詳細については、「Amazon [CloudWatch ユーザーガイド」の「CloudWatch パイプライン](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch-pipelines.html)」を参照してください。 *Amazon CloudWatch *
データソースは、2 つのキー識別子を使用してログを分類します。
+ **データソース名**: ログを生成する AWS サービス、サードパーティーソース、またはアプリケーション (Route 53、Amazon VPC、CloudTrail、Okta SSO、CrowdStrike Falcon など)。
+ **データソースタイプ**: そのサービスによって生成された特定のタイプのログ。
スキーマは、存在するフィールドや情報の整理方法など、ログデータの構造を定義します。1 つのデータソースで、スキーマと目的が異なる複数のタイプのログを生成できます。たとえば、 AWS CloudTrail データソースには、管理イベント (リソースの作成や削除などのコントロールプレーンオペレーションを追跡する) とデータイベント (S3 オブジェクトアクセスなどのデータプレーンオペレーションを追跡する) の 2 つのタイプがあります。タイプごとに異なるスキーマがあります。これは、さまざまな種類の情報をキャプチャするためです。
## 開始方法
CloudWatch Logs は、ログをオリジンに基づいてデータソースに分類します。メソッドは、使用しているログのタイプによって異なります。
### AWS のサービス ログ
[サポートされている AWS のサービス](supported-aws-services-data-sources.md) からのログは、設定を必要とせずにデータソースごとに自動的にグループ化されます。CloudWatch Logs はこれらのログを認識し、元のサービスに基づいて適切なデータソース名とタイプを適用します。
### サードパーティーのログ
サードパーティーのログには、データソースの分類にパイプラインが必要です。Microsoft Office 365、Okta、CrowdStrike、Palo Alto Networks などのサポートされているサードパーティーソースからログを取り込むようにパイプラインを設定する場合は、パイプライン設定で[データソース名とタイプ](supported-third-party-sources-data-sources.md)を指定します。CloudWatch Logs は、パイプラインがそれらの識別子を使用して処理するすべてのログを自動的に分類します。
Pipelines は、必要に応じてサードパーティーのログを Open Cybersecurity Schema Framework (OCSF) 形式に変換して、標準化されたセキュリティイベント分析を行うことができます。OCSF 変換を有効にすると、データソース名とタイプは OCSF スキーママッピングに基づいて自動的に決定されます。OCSF 変換を使用しない場合は、パイプライン設定でデータソース名とタイプを指定します。
### アプリケーションログ
カスタムアプリケーションログの場合、次のいずれかの方法を使用してデータソース別に分類できます。
+ **ロググループタグ** - キー`cw:datasource:name`と を使用してロググループにタグを追加`cw:datasource:type`し、ロググループに取り込まれたすべてのログのデータソース名とタイプをそれぞれ指定します。タグ値は最大 64 文字で、小文字、数字、アンダースコアのみを含めることができます。文字または数字で始める必要があり、二重アンダースコア (\$1\$1) を含めることはできません。
+ **パイプライン設定** - アプリケーションログを取り込むときに、ログ処理パイプラインを使用してデータソース情報を設定します。
**注記**
AWS サービスログとの競合を避けるため、データソース名を「aws」または「amazon」で始めることはできません。
## システムフィールド
CloudWatch Logs は、データソース別に分類されたログに 3 つのシステムフィールドを自動的に追加します。これらのフィールドはデフォルトのファセットとして機能します。
+ `@data_source_name` - データソースの名前、または未確定の場合は「不明」が含まれます。
+ `@data_source_type` - データソースのタイプ、または未決定の場合は「不明」が含まれます。
+ `@data_format` - ログデータの形式を示します。
データソース名またはタイプを特定できない場合、これらのフィールドは「不明」に設定されます。「不明な」値を持つデータソースは、引き続き コンソールの「ログ管理」の下にあるファセットとデータソーステーブルに表示され、分類されていないログとそのロググループの送信元を特定できます。
`@data_format` フィールドには次のいずれかの値が含まれます:
+ `Default` - 変更せずに取り込まれたログ。
+ `Custom` - パイプラインプロセッサを介して処理されたログ、またはデータソース名/タイプタグを持つロググループに取り込まれたログ。
+ `OCSF-` - パイプラインで OCSF (Open Cybersecurity Schema Framework) プロセッサで処理されたログ。
+ `AWS-OTEL-LOG-V` - CloudWatch OTLP エンドポイントを介して取り込まれた OpenTelemetry ログ。
+ `AWS-OTEL-TRACE-V` - CloudWatch OTLP エンドポイントを介して取り込まれた OpenTelemetry トレース。
これらのシステムフィールドを使用すると、ソースと形式に基づいてログをフィルタリングしてクエリできるため、さまざまなオリジンからのログの操作やパイプラインの処理が容易になります。
## データソースへのアクセス
### コンソール
CloudWatch Logs コンソールで、**ログ管理**タブを使用してデータソースにアクセスします。CloudWatch Logs は、データソースとタイプ別にログデータを自動的に統合し、新しく取り込まれたデータを継続的に検出します。データソースリストから、パイプラインの作成、フィールドインデックスとファセットの定義を行うことができます。
### AWS CLI
次のコマンドを使用して、アカウント内の個別のデータソースとログのタイプを一覧表示します。
```
aws logs list-aggregate-log-group-summaries --group-by DATA_SOURCE_NAME_AND_TYPE
```
## ロググループとの関係
データソースは、ロググループを置き換えるのではなく、補完します。ログは以前と同様にロググループに引き続き保存されますが、データソース情報も自動的にタグ付けされます。このデュアル組織を使用すると、次のことが可能になります。
+ きめ細かなアクセスコントロールと保持ポリシーにロググループを使用する
+ サービスベースのログ検出と分析にデータソースを使用する
+ 必要に応じて、いずれかの組織的な方法を使用してログをクエリする
データソースを使用すると、 AWS インフラストラクチャ全体でログデータをサービス中心に表示できるため、大規模なログの操作が容易になります。
# データソースによって有効になる機能
データソースは、フィールド検出と一貫したデータ構造を通じて、高度なログ処理と分析機能を可能にします。
+ **ファセット**: ファセットは、クエリを記述せずにインタラクティブなフィルタリングと分析を提供するインデックス付きログフィールドです。CloudWatch Logs はデータソース名とタイプのファセットを自動的に作成し、検出されたフィールドにファセットポリシーを作成してトラブルシューティングを高速化できます。ファセットは CloudWatch Logs Insights で値の分布とカウントを表示するため、point-and-click探索を通じてパターンを簡単に識別できます。
+ **パイプライン**: 特定のデータソース名とタイプのすべてのログに適用される変換パイプラインを作成します。これにより、同じソースからのログに対して一貫した処理ルールを定義できます。
+ **フィールド検出**: CloudWatch Logs は、パイプラインプロセッサに基づいて、各データソース名とタイプの組み合わせのフィールドとそのデータ型を自動的に検出します。 AWS マネージドログの場合、フィールド構造は事前定義されています。アプリケーションログについては、一貫したログ形式を維持し、明確に定義されたフィールド構造を必要とする Amazon S3 テーブルなどの分析ツールとの互換性を最大化することをお勧めします。
`GetLogFields` API を使用して、任意のデータソースのフィールドとそのタイプの完全なリストを表示できます。
```
aws logs get-log-fields --data-source-name --data-source-type
```
このフィールドの検出と整合性により、ログデータを処理する際に外部ツールが予測可能なフィールド構造を操作できるため、高度な分析と統合が可能になります。
# データソース AWS のサービス でサポート
次の表に、CloudWatch Logs によってデータソースとして自動的に分類 AWS のサービス される を示します。
| データソース名 (@data\$1source\$1name フィールド) | データソースタイプ (@data\$1source\$1type フィールド) |
| --- | --- |
| amazon\$1api\$1gateway | access |
| amazon\$1bedrock\$1agentcore | browser\$1usage |
| amazon\$1bedrock\$1agentcore | code\$1interpreter\$1application |
| amazon\$1bedrock\$1agentcore | code\$1interpreter\$1usage |
| amazon\$1bedrock\$1agentcore | gateway\$1application |
| amazon\$1bedrock\$1agentcore | identity\$1workload\$1application |
| amazon\$1bedrock\$1agentcore | memory\$1application |
| amazon\$1bedrock\$1agentcore | online\$1evaluation\$1config |
| amazon\$1bedrock\$1agentcore | runtime\$1application |
| amazon\$1bedrock\$1agentcore | runtime\$1usage |
| amazon\$1bedrock\$1agents | application |
| amazon\$1bedrock\$1agents | event |
| amazon\$1bedrock\$1knowledge\$1bases | application |
| amazon\$1cloudfront | access |
| amazon\$1cloudfront | connection |
| amazon\$1cloudwatch | rum\$1app\$1monitor |
| amazon\$1cognito | user\$1pool |
| amazon\$1ec2 | verified\$1access |
| amazon\$1eks | api\$1server |
| amazon\$1eks | audit |
| amazon\$1eks | authenticator |
| amazon\$1eks | controller\$1manager |
| amazon\$1eks | scheduler |
| amazon\$1elasticache | cluster |
| amazon\$1eventbridge | eventbus\$1error |
| amazon\$1eventbridge | eventbus\$1info |
| amazon\$1eventbridge | pipes\$1execution |
| amazon\$1interactive\$1video\$1service | chat |
| amazon\$1managed\$1prometheus | scraper |
| amazon\$1managed\$1prometheus | workspace |
| amazon\$1msk | broker |
| amazon\$1msk | connect |
| amazon\$1opensearch\$1service | pipeline |
| amazon\$1q\$1business | events |
| amazon\$1q\$1business | sync\$1job |
| amazon\$1q\$1connect | events |
| amazon\$1route53 | global\$1resolver\$1query |
| amazon\$1route53 | hosted\$1zones |
| amazon\$1route53 | profiles\$1resolver\$1query |
| amazon\$1route53 | resolver\$1query |
| amazon\$1sagemaker | workteam\$1activity |
| amazon\$1ses | ingress\$1endpoints |
| amazon\$1ses | rule\$1sets |
| amazon\$1ses | traffic\$1policy |
| amazon\$1vpc | flow |
| amazon\$1vpc | route\$1server\$1peer |
| amazon\$1vpc\$1lattice | access |
| amazon\$1vpc\$1lattice | resource\$1access |
| amazon\$1workmail | access\$1control |
| amazon\$1workmail | authentication |
| amazon\$1workmail | personal\$1access |
| amazon\$1workmail | workmail\$1access |
| amazon\$1workmail | workmail\$1availability |
| aws\$1b2b\$1data\$1interchange | execution |
| aws\$1backup | data\$1access |
| aws\$1backup | hypervisor |
| aws\$1clean\$1rooms | analysis |
| aws\$1client\$1vpn | connection |
| aws\$1client\$1vpn | event |
| aws\$1cloudtrail | data |
| aws\$1cloudtrail | management |
| aws\$1elemental\$1mediapackage | egress\$1access |
| aws\$1elemental\$1mediapackage | ingress\$1access |
| aws\$1elemental\$1mediatailor | ad\$1decision |
| aws\$1elemental\$1mediatailor | manifest |
| aws\$1elemental\$1mediatailor | transcode |
| aws\$1entity\$1resolution | id\$1mapping\$1workflow |
| aws\$1entity\$1resolution | matching\$1workflow |
| aws\$1iot\$1fleetwise | error |
| aws\$1mainframe\$1modernization | batch\$1job |
| aws\$1mainframe\$1modernization | config |
| aws\$1mainframe\$1modernization | console |
| aws\$1mainframe\$1modernization | dataset\$1import |
| aws\$1network\$1firewall | alert |
| aws\$1network\$1firewall | flow |
| aws\$1network\$1firewall | tls |
| aws\$1nlb | access |
| aws\$1pcs | job\$1completion |
| aws\$1pcs | scheduler |
| aws\$1security\$1hub\$1cspm | asff\$1finding |
| aws\$1shield | protection\$1flow |
| aws\$1step\$1functions | express |
| aws\$1step\$1functions | standard |
| aws\$1transfer\$1family | server |
| aws\$1waf | access |
# データソースでサポートされているサードパーティーソース
次の表に、パイプラインを介して取り込むときに CloudWatch Logs によってデータソースとして自動的に分類されるサードパーティーソースを示します。
| データソース名 (@data\$1source\$1name フィールド) | データソースタイプ (@data\$1source\$1type フィールド) |
| --- | --- |
| crowdstrike\$1falcon | detection\$1finding |
| crowdstrike\$1falcon | process\$1activity |
| github\$1auditlogs | account\$1change |
| github\$1auditlogs | api\$1activity |
| github\$1auditlogs | entity\$1management |
| microsoft\$1entraid | account\$1change |
| microsoft\$1entraid | authentication |
| microsoft\$1entraid | entity\$1management |
| microsoft\$1entraid | user\$1access\$1management |
| microsoft\$1office365 | account\$1change |
| microsoft\$1office365 | application\$1lifecycle |
| microsoft\$1office365 | authentication |
| microsoft\$1office365 | compliance\$1finding |
| microsoft\$1office365 | detection\$1finding |
| microsoft\$1office365 | email\$1activity |
| microsoft\$1office365 | file\$1hosting\$1activity |
| microsoft\$1office365 | group\$1management |
| microsoft\$1office365 | incident\$1finding |
| microsoft\$1office365 | user\$1access\$1management |
| microsoft\$1office365 | vulnerability\$1finding |
| microsoft\$1office365 | web\$1resources\$1activity |
| microsoft\$1windows | account\$1change |
| microsoft\$1windows | authentication |
| microsoft\$1windows | entity\$1management |
| microsoft\$1windows | event\$1log\$1activity |
| microsoft\$1windows | file\$1system\$1activity |
| microsoft\$1windows | group\$1management |
| microsoft\$1windows | kernel\$1activity |
| okta\$1auth0 | api\$1activity |
| okta\$1auth0 | authentication |
| okta\$1sso | api\$1activity |
| okta\$1sso | authentication |
| okta\$1sso | detection\$1finding |
| okta\$1sso | entity\$1management |
| paloaltonetworks\$1nextgenerationfirewall | authentication |
| paloaltonetworks\$1nextgenerationfirewall | detection\$1finding |
| paloaltonetworks\$1nextgenerationfirewall | network\$1activity |
| paloaltonetworks\$1nextgenerationfirewall | process\$1activity |
| sentinelone\$1endpointsecurity | dns\$1activity |
| sentinelone\$1endpointsecurity | file\$1system\$1activity |
| sentinelone\$1endpointsecurity | http\$1activity |
| sentinelone\$1endpointsecurity | process\$1activity |
| servicenow\$1cmdb | api\$1activity |
| servicenow\$1cmdb | datastore\$1activity |
| servicenow\$1cmdb | entity\$1management |
| wiz\$1cnapp | api\$1activity |
| wiz\$1cnapp | authentication |
| wiz\$1cnapp | compliance\$1finding |
| wiz\$1cnapp | detection\$1finding |
| wiz\$1cnapp | vulnerability\$1finding |
| zscaler\$1internetaccess | authentication |
| zscaler\$1internetaccess | dns\$1activity |
| zscaler\$1internetaccess | http\$1activity |
| zscaler\$1internetaccess | network\$1activity |