はじめに
VPCフローログをCloudWatch「ログのインサイト」で抽出していたところ、
OpenSearchのダッシュボードが簡単に作成できそうでしたのでやってみた。
VPCフローログの他、CloudTrailログ、WAFログも利用可能
CloudWatch Logs は Amazon OpenSearch Service と統合されており、OpenSearch Service が AWS サービスから提供されたログから派生する主要なメトリクスを表示する自動キュレーションダッシュボードを作成できます。次のダッシュボードを使用できます。
Amazon VPC フローログダッシュボードは、Amazon VPC のネットワークフローデータをキャプチャします。ネットワークトラフィックの分析、異常なパターンの検出、リソースの使用状況のモニタリングに役立ちます。表示される主要なメトリクスは次のとおりです。
・フローの合計と、これらのフローの承諾と拒否
・時間の経過に伴うトラフィックパターン
・送信元 IP と送信先 IPs (トップトーカー) 間のデータフローを示すサンキー図
・転送されたバイト数とパケット数の上位 IPs
引用元:
Amazon OpenSearch Service で分析する - Amazon CloudWatch Logs
前提
ダッシュボードの表示元となる CloudWatch ロググループがあること
提供リージョンで実施すること
※今回は以下の延長でVPCフローログを出力しているロググループを利用
結果
VPCフローログの出力先ロググループをデータソースとして
「VPC Flow Logs」ダッシュボードを利用した場合
手順
参考:正式な手順は以下を確認
※必要な権限などは本記事では省略
1.CloudWatchからOpenSearchとの統合を作成
CloudWatch > 設定 > ログ > OpenSearch インテグレーションを作成
または、ログのインサイト画面からも以下の表示があれば設定へ遷移
適切な値を設定して作成
作成されたことを確認
インテグレーション作成時の情報からOpenSearch側で自動的にポリシーが作成されます。
※ポリシー内容を変更する場合は、以下の画面から可能です。
(削除後にスクショしたので以下の画面では表示されていません)
2.ログダッシュボードを作成
CloudWatch > ログのインサイト > ダッシュボードを作成
今回はVPCフローログダッシュボードを利用
VPCフローログを出力しているロググループを選択
3.ログダッシュボードを表示
CloudWatch > ログのインサイト > OpenSearchによる分析
ダッシュボードを選択から、2で作成したダッシュボードを選択すればOK
注意点
正常に表示されない場合はポリシー確認
OpenSearch側
CloudWatchコンソールからダッシュボード作成を行うと、OpenSearch側のコンソールでも確認が可能です。
サーバレスダッシュボード
コレクションの詳細
OpenSearchで該当のダッシュボードを選択し、出力内容やデータなどのカスタマイズも可能
(削除後のスクショのためグラフ無し...すみません...)
おわりに
初めてCloudWatchとOpenSearchの統合を行い、ダッシュボード作成を行いました。
設定自体は容易にできるんですね。
皆さんもお試しになられる際は、リソース削除と利用前の料金確認をお忘れなく!