関連するソリューション
ID-Cross/クラウドサービス
デジタルソリューション営業部
エバンジェリスト 松岡 政之 
こんにちは。DS営業部エバンジェリストの松岡です。
年末が近づいてきており、何かと忙しい時期になりました。師走というだけあって私も忙しく走り回っております。
この忙しさにかこつけて久しぶりにエナジードリンクを飲んだのですが、黙っていると耳まで鼓動が聞こえてきそうなほど動悸がして体の衰えを感じてしまいました。エナジードリンクは元気の前借とも言いますし、あまり頼りすぎないよう気を付けたいところですね。
年末が近づいてきており、何かと忙しい時期になりました。師走というだけあって私も忙しく走り回っております。
この忙しさにかこつけて久しぶりにエナジードリンクを飲んだのですが、黙っていると耳まで鼓動が聞こえてきそうなほど動悸がして体の衰えを感じてしまいました。エナジードリンクは元気の前借とも言いますし、あまり頼りすぎないよう気を付けたいところですね。
はじめに
それでは本題です。
今回もAWSの話題を取り上げていきたいと思います。さて、皆様AWSでログの管理はどうされているでしょうか?いつでも確認できるようになっているでしょうか?いろんなところに散らばっていませんか?取得したログを物置の奥の方に追いやっていませんか?無駄に保管料金だけかかって放置されていませんか?
というわけで、セキュリティの話題でよく挙がる課題の一つにログの取り扱いがあります。ログを保存してはいても活用できていないという事例が多いのではないでしょうか。ログを普段から活用するための第一歩としてまずはログの可視化が必要となります。可視化されることで不審な兆候やシステムの弱点等が見えてくるかもしれません。
ではログの取り扱いに不安がある方はぜひ弊社のNDRを!と言いたいところですが、NDRはネットワークに特化した製品ですので取り扱うログによってはマッチしないかもしれません。ログの可視化という目的を達成するためには、SplunkやDatadog、Grafanaなどの適したツールがあります。それぞれのツールの詳細や違いについては今回の趣旨ではないので割愛しますが、通常これらのツールはEC2インスタンスなどにデプロイしたり、メーカーが提供しているSaaSとして利用したりします。
ですが、AWSのログの場合AWSで完結させられれば嬉しいと思いませんか?もちろんEC2インスタンスにデプロイすればAWS内で完結することはできますが、その場合サーバやネットワークといったインフラストラクチャの運用がどうしてもついて回ります。一方、AWSのサービスとしてはElasticsearchやKibana等を統合したAmazon OpenSearch Serviceが思い浮かびます。こちらの詳細については別途検証していきたいところですが、活用するためにElasticsearchやKibana等の各サービスの理解が必要になりそうです。普段からこういったサービスを使い慣れていればいいのですが、一から学ぶとなると少し骨が折れます。
そこで、AWS上で完結でき、インフラの心配をすることなく、特別な知識も不要で簡単に利用開始できるマネージドサービスがあれば嬉しいですよね!そんな都合のいいサービスがあるんですか!?
あるんです!というわけでそんなわがままを実現するAmazon Managed Grafanaを見ていきましょう。
( https://aws.amazon.com/jp/grafana/ 外部リンク)
こちらは昨年の8月にリリースされたサービスです。そして、つい先日の11月23日にVPC内にホストされているデータソースにパブリックを経由せず直接接続できるようになったというニュースリリースを見かけたので、これを機に触ってみようと思い今回取り上げます。
一応補足しておきますが、ここまでで名前を挙げたほかのサービスについてはそれぞれ異なる強みを持っていますので、実際に検討する際は目的に合わせて選択するのが良いでしょう。今回は「より簡単にAWS上でログの可視化を実現する」という目的を第一に置いています。
前置きが長くなってしまいましたが、早速試していきましょう。
今回もAWSの話題を取り上げていきたいと思います。さて、皆様AWSでログの管理はどうされているでしょうか?いつでも確認できるようになっているでしょうか?いろんなところに散らばっていませんか?取得したログを物置の奥の方に追いやっていませんか?無駄に保管料金だけかかって放置されていませんか?
というわけで、セキュリティの話題でよく挙がる課題の一つにログの取り扱いがあります。ログを保存してはいても活用できていないという事例が多いのではないでしょうか。ログを普段から活用するための第一歩としてまずはログの可視化が必要となります。可視化されることで不審な兆候やシステムの弱点等が見えてくるかもしれません。
ではログの取り扱いに不安がある方はぜひ弊社のNDRを!と言いたいところですが、NDRはネットワークに特化した製品ですので取り扱うログによってはマッチしないかもしれません。ログの可視化という目的を達成するためには、SplunkやDatadog、Grafanaなどの適したツールがあります。それぞれのツールの詳細や違いについては今回の趣旨ではないので割愛しますが、通常これらのツールはEC2インスタンスなどにデプロイしたり、メーカーが提供しているSaaSとして利用したりします。
ですが、AWSのログの場合AWSで完結させられれば嬉しいと思いませんか?もちろんEC2インスタンスにデプロイすればAWS内で完結することはできますが、その場合サーバやネットワークといったインフラストラクチャの運用がどうしてもついて回ります。一方、AWSのサービスとしてはElasticsearchやKibana等を統合したAmazon OpenSearch Serviceが思い浮かびます。こちらの詳細については別途検証していきたいところですが、活用するためにElasticsearchやKibana等の各サービスの理解が必要になりそうです。普段からこういったサービスを使い慣れていればいいのですが、一から学ぶとなると少し骨が折れます。
そこで、AWS上で完結でき、インフラの心配をすることなく、特別な知識も不要で簡単に利用開始できるマネージドサービスがあれば嬉しいですよね!そんな都合のいいサービスがあるんですか!?
あるんです!というわけでそんなわがままを実現するAmazon Managed Grafanaを見ていきましょう。
( https://aws.amazon.com/jp/grafana/ 外部リンク)
こちらは昨年の8月にリリースされたサービスです。そして、つい先日の11月23日にVPC内にホストされているデータソースにパブリックを経由せず直接接続できるようになったというニュースリリースを見かけたので、これを機に触ってみようと思い今回取り上げます。
一応補足しておきますが、ここまでで名前を挙げたほかのサービスについてはそれぞれ異なる強みを持っていますので、実際に検討する際は目的に合わせて選択するのが良いでしょう。今回は「より簡単にAWS上でログの可視化を実現する」という目的を第一に置いています。
前置きが長くなってしまいましたが、早速試していきましょう。
Aamazon Managed Grafana環境作成
ワークスペースの作成
まず、Amazon Managed Grafanaのコンソール ( https://ap-northeast-1.console.aws.amazon.com/grafana/home?region=ap-northeast-1# 外部リンク) にアクセスします。
アクセスしたら「ワークスペースを作成」をクリックします。
アクセスしたら「ワークスペースを作成」をクリックします。
ワークスペースの詳細を指定の画面が開いたらワークスペース名と説明を指定します。ワークペース名は英数字および一部の記号しか使えませんが、ワークスペースの説明はなんと日本語が使えます!とびっきりわかりやすい説明をつけておきましょう!
GrafanaのアクセスはAWSのIAMとは異なります。そのため利用する認証プロバイダを選択する必要があります。認証アクセスでは「AWS IAM IDセンター」と「Security Assertion Markup Language (SAML)」を選ぶことができます。AWS IAM ID センターは括弧内に書かれている通りAWS SSOの後継サービスになります。通常はこちらを利用すればよいかと思いますが、こちらはAWS IAM Identity Centerが有効化されていないと選ぶことができません。利用する場合は事前にAWS IAM Identity Centerの設定を行いましょう。一方、SAMLは外部の認証プロバイダを使用してGrafanaにアクセスさせたい場合に選択します。
アクセス許可タイプについては基本的には「サービスマネージド」を選択すれば問題ないかと思います。サービスマネージドを選択することで次の画面で選択するデータソースに合わせた権限がGrafanaのサービスロールに自動的に付与されます。一方、「カスタマーマネージド」を選択した場合は手動でポリシーを割り当てていく必要があります。まだ検証していないので間違っているかもしれませんが、VPCエンドポイント等を介してサービスマネージドなデータソースの選択肢にないAWSサービスと連携したい場合などの利用が想定されます。
続いてアウトバウンドVPC接続の項目ですが、こちらは冒頭でも少し触れた新機能です。VPC内にあるデータソースを直接利用したい場合に、データがあるVPCを指定します。今回は利用する予定はありませんがせっかくなのでVPCを指定してしまいましょう。この機能についてはまた別途検証してみたいですね。
最後にGrafanaアラートについても今回は使用しませんが、せっかくなのでオンにしておきます。
アクセス許可タイプについては基本的には「サービスマネージド」を選択すれば問題ないかと思います。サービスマネージドを選択することで次の画面で選択するデータソースに合わせた権限がGrafanaのサービスロールに自動的に付与されます。一方、「カスタマーマネージド」を選択した場合は手動でポリシーを割り当てていく必要があります。まだ検証していないので間違っているかもしれませんが、VPCエンドポイント等を介してサービスマネージドなデータソースの選択肢にないAWSサービスと連携したい場合などの利用が想定されます。
続いてアウトバウンドVPC接続の項目ですが、こちらは冒頭でも少し触れた新機能です。VPC内にあるデータソースを直接利用したい場合に、データがあるVPCを指定します。今回は利用する予定はありませんがせっかくなのでVPCを指定してしまいましょう。この機能についてはまた別途検証してみたいですね。
最後にGrafanaアラートについても今回は使用しませんが、せっかくなのでオンにしておきます。
続いて、サービスマネージド型のアクセス許可を設定していきます。まずはモニタリングの対象として現在のアカウント内のリソースのみとするか、AWS Organizationsの組織のリソースまで対象とするかを選択することができます。このアカウントでもAWS Organizationsの構成はしていますが、今回はこのアカウント内で完結させたいため現在のアカウントを選択します。
そして、データソースではモニタリングしたいAWSサービスを選択します。前のページのアクセス許可タイプでサービスマネージドを選択していた場合、ここで選択したデータソースへのアクセスに必要な権限が自動で割り当てられます。通知チャンネルについても同様です。
そして、データソースではモニタリングしたいAWSサービスを選択します。前のページのアクセス許可タイプでサービスマネージドを選択していた場合、ここで選択したデータソースへのアクセスに必要な権限が自動で割り当てられます。通知チャンネルについても同様です。
その次は設定の確認画面なので割愛します。確認画面で「ワークスペースの作成」をクリックするとワークスペースの作成が開始されます。ワークスペースの作成には20~30分程度かかりますので、お茶でも飲みながらゆっくり待ちましょう。師走で忙しい方はその間に他の仕事を片付けてしまいましょう。
画像出典:Amazon Managed Grafana (外部リンク)ワークスペースの作成が完了すると下図のとおりいろいろな情報やメニューが表示されます。
画像出典:Amazon Managed Grafana (外部リンク)Grafanaユーザーの準備
まずは「新しいユーザーまたはグループの割り当て」からGrafanaのコンソールにアクセスするユーザーを割り当てていきましょう。
割り当てるユーザーにチェックを入れて「ユーザーとグループの割り当て」をクリックします。
割り当てるユーザーにチェックを入れて「ユーザーとグループの割り当て」をクリックします。
画像出典:Amazon Managed Grafana (外部リンク)すると閲覧者のユーザーが割り当てられます。このままではGrafanaへのデータソースの追加やダッシュボードの作成等ができないので、ユーザーをチェックしてアクションから管理者を作成する選んで管理者権限をつけてあげましょう!
画像出典:Amazon Managed Grafana (外部リンク)というわけで、ユーザータイプが管理者になりました。
画像出典:Amazon Managed Grafana (外部リンク)ここまででGrafanaのコンソールへアクセスする準備ができました!次からはGrafanaのコンソールへ踏み込んでいきましょう。
Amazon Managed Grafanaコンソール
コンソールへのアクセス
ワークスペースの準備が完了していると概要画面にGrafanaワークスペースURLが表示されています。このURLをクリックして早速コンソールにアクセスしていきましょう!
画像出典:Amazon Managed Grafana (外部リンク)今回は認証にAWS IAM IDセンターを選択したので「Sign in with AWS IAM Identity Center」をクリックします。
するとAWS IAM Identity Centerのサインイン画面が表示されます。AWS IAM Identity Centerからのログインを普段からしている人には見慣れた怪しい日本語の画面かと思います。ユーザー名を入力して「次の」をクリックします。
お次はパスワードも入力してサインインします。
すると無事Grafanaのコンソールを表示することができました!
データソースの追加
それでは続けてデータソースを追加していきましょう。今回はCloudWatchを対象としていきたいと思います。
左のAWSマークからAWS servicesを選択します。
左のAWSマークからAWS servicesを選択します。
すると、デフォルトでデータソースとして選択できるAWSサービスがいくつか表示されます。今回はCloudWatchを選択していきます。
続いて、Data sourcesの画面でCloudWatchが選択された状態に遷移します。Default regionからデータを取り込むリージョンを選択してAdd data sourceをクリックします。今回は東京リージョンを選択します。
すると、下部にProvisioned data sourcesが表示され、選択したリージョンのCloudWatchがデータソースとしてリストされます。Go to settingをクリックして設定を進めていきましょう。
画像出典:Amazon Managed Grafana (外部リンク)とりあえずデフォルトのままSave & testをクリックしましょう。
画像出典:Amazon Managed Grafana (外部リンク)何も問題がなければData source is workingと表示されます。Bad Gatewayと表示された場合はAmazon Managed GrafanaへのAssume Roleのポリシーに不足がないか見直してみましょう。
画像出典:Amazon Managed Grafana (外部リンク)続いて、画面上部のダッシュボードをクリックします。するとデフォルトで見ることができるサービスごとのダッシュボードのリストが表示されます。今回はAmazon EC2とAmazon CloudWatch Logsを見ていきましょう。そのためにはまず右側のimportをクリックしてデータソースを読み込みます。
画像出典:Amazon Managed Grafana (外部リンク)すると、importボタンがRe-importとゴミ箱のボタンに変わり、左側のサービス名の文字の部分がクリックできるようになります。まずはEC2からクリックして見ていきましょう。
画像出典:Amazon Managed Grafana (外部リンク)こちらではEC2全体でのCPU使用率やネットワークのトラフィックなどのメトリックをグラフとして確認することができます。
一方、CloudWatch Logsではログの書き込み量などの統計をグラフ化してみることができます。こちらはCloudWatch Logsに保存されているログを可視化してくれるわけではないので注意が必要です。
というわけで、ここまででAmazon Managed Grafanaでひとまずログを可視化することができました。
ね、簡単でしょう?
ね、簡単でしょう?
まとめ
今回はAmazon Managed Grafanaを触ってみました。
まだまだ初歩の初歩ですが想定外に長くなってしまいましたので今回はここまでにしたいと思います。とはいえ今回できなかったAWSの様々なログの可視化やAmazon SNSを用いたアラート、新機能であるVPC内のデータソースの参照などまだまだやってみたいことがありますので今後も時間を見つけて触っていきたいと思います。
ここまでの流れはいかがだったでしょうか?機能が多いため説明で長くなってしまいましたが、操作としては直感的で簡単だったのではないでしょうか?少なくともサーバを用意してGrafanaをインストールして……という作業と比較してみると非常に楽ですね。しかも、マネージドなのでその後のサーバの管理なども不要というのが嬉しい点です。
まだドキュメントも含めて日本語が利用できないなど気になる点もいくつかありますが、90日間は無料で使えますので気になった方は試しに触ってみてはいかがでしょうか。
それではよいクラウドライフを!
まだまだ初歩の初歩ですが想定外に長くなってしまいましたので今回はここまでにしたいと思います。とはいえ今回できなかったAWSの様々なログの可視化やAmazon SNSを用いたアラート、新機能であるVPC内のデータソースの参照などまだまだやってみたいことがありますので今後も時間を見つけて触っていきたいと思います。
ここまでの流れはいかがだったでしょうか?機能が多いため説明で長くなってしまいましたが、操作としては直感的で簡単だったのではないでしょうか?少なくともサーバを用意してGrafanaをインストールして……という作業と比較してみると非常に楽ですね。しかも、マネージドなのでその後のサーバの管理なども不要というのが嬉しい点です。
まだドキュメントも含めて日本語が利用できないなど気になる点もいくつかありますが、90日間は無料で使えますので気になった方は試しに触ってみてはいかがでしょうか。
それではよいクラウドライフを!
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エバンジェリストによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。
