ロググループの異常検出を有効にする

ログ異常ディテクターを作成するには

1. CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。

2. [ログ]、[ログ異常] を選択します。

3. [異常ディテクターを作成] を選択します。

4. この異常ディテクターを作成するロググループを選択します。

5. [異常検出器の名前] にディテクターの名前を入力します。

6. (オプション) [評価頻度] をデフォルトの 5 分から変更します。ロググループが新しいログを受信する頻度に従って、この値を設定します。例えば、ロググループが 10 分ごとに新しいログイベントをバッチで受信する場合は、評価頻度を 15 分に設定するのが適切です。

7. (オプション) 特定の単語または文字列を含むログイベントでのみ異常を検索するように異常ディテクターを設定するには、[パターンをフィルタリング] を選択します。

   次に、[異常検出フィルターパターン] にパターンを入力します。パターン構文の詳細については、「メトリクスフィルター、サブスクリプションフィルター、フィルターログイベント、およびライブテールのフィルターパターン構文」を参照してください。

   (オプション) フィルターパターンをテストするには、[イベントメッセージをログ記録] にいくつかのログメッセージを入力し、[パターンをテスト] を選択します。

8. （オプション) 異常可視性期間をデフォルトから変更するか、 AWS KMS キーをこの異常ディテクターに関連付けるには、詳細設定を選択します。

   1. 異常可視性期間をデフォルトから変更するには、[異常の最大表示期間 (日数)] に新しい値を入力します。

   2. AWS KMS キーをこの異常ディテクターに関連付けるには、KMS キー ARN に ARN を入力します。キーを割り当てると、このディテクターによって検出された異常情報は、保管時にキーで暗号化されます。検出された異常に関する情報を取得するには、このキーと異常ディテクターへのアクセス許可が必要です。

      また、CloudWatch Logs サービスプリンシパルにキーを使用するアクセス許可があることを確認する必要があります。詳細については、「で異常ディテクターとその結果を暗号化する AWS KMS」を参照してください。

9. [異常検出を有効にする] を選択します。

   異常ディテクターが作成され、ロググループが取り込むログイベントに基づいてモデルのトレーニングが開始されます。約 15 分後、異常検出がアクティブになり、異常の検出を開始して表面化させます。