AWS Transfer Family サーバーの Amazon CloudWatch ログ記録 - AWS Transfer Family
Transfer Family の CloudWatch ログ記録のタイプAmazon CloudWatch アラームの作成S3 API コールを S3 アクセスログに記録するユーザー通知

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Transfer Family サーバーの Amazon CloudWatch ログ記録

Amazon CloudWatch は、 AWS リソースを包括的に可視化する強力なモニタリングおよびオブザーバビリティサービスです AWS Transfer Family。

  • リアルタイムモニタリング: CloudWatch は Transfer Family のリソースとアプリケーションをリアルタイムでモニタリングするため、パフォーマンスを追跡および分析できます。

  • メトリクスの収集: CloudWatch は、リソースとアプリケーションのさまざまなメトリクスを収集して追跡します。これは、測定して分析に使用できる変数です。

  • CloudWatch ホームページ: CloudWatch ホームページには、Transfer Family やその他の AWS サービスに関するメトリクスが自動的に表示され、モニタリングデータを一元的に表示できます。

  • カスタムダッシュボード: CloudWatch でカスタムダッシュボードを作成して、カスタムアプリケーションとモニタリングするリソースに固有のメトリクスを表示できます。

  • アラームと通知: CloudWatch では、メトリクスをモニタリングし、特定のしきい値を超えたときに通知または自動アクションをトリガーするアラームを作成できます。これは、Transfer Family サーバーのファイル転送アクティビティをモニタリングし、それに応じてリソースをスケーリングする場合に便利です。

  • コストの最適化: CloudWatch によって収集されたデータを使用して、使用率の低いリソースを特定し、インスタンスの停止や削除などのアクションを実行してコストを最適化できます。

全体として、CloudWatch の包括的なモニタリング機能は、Transfer Family インフラストラクチャとその上で実行されているアプリケーションを管理および最適化するための貴重なツールです。

Transfer Family ウェブアプリケーションの CloudWatch ログ記録の詳細については、「」を参照してくださいTransfer Family ウェブアプリケーションの CloudTrail ログ記録

Transfer Family の CloudWatch ログ記録のタイプ

Transfer Family には、CloudWatch にイベントを記録する 2 つの方法があります。

  • JSON 構造化ログ記録

  • ログ記録ロールによるログ記録

Transfer Family サーバーでは、必要なログ記録メカニズムを選択できます。コネクタとワークフローでは、ログ記録ロールのみがサポートされています。

JSON 構造化ログ記録

サーバーイベントのログ記録には、JSON 構造化ログ記録を使用することをお勧めします。これにより、CloudWatch ログクエリを有効にする、より包括的なログ記録形式が提供されます。このタイプのログ記録では、サーバーを作成する (またはサーバーのログ記録設定を編集する) ユーザーの IAM ポリシーに、次のアクセス許可が含まれている必要があります。

  • logs:CreateLogDelivery

  • logs:DeleteLogDelivery

  • logs:DescribeLogGroups

  • logs:DescribeResourcePolicies

  • logs:GetLogDelivery

  • logs:ListLogDeliveries

  • logs:PutResourcePolicy

  • logs:UpdateLogDelivery

以下は、ポリシーの例です。

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:GetLogDelivery",
                "logs:UpdateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "logs:PutResourcePolicy",
                "logs:DescribeResourcePolicies",
                "logs:DescribeLogGroups"                
            ],
            "Resource": "*"
        }
    ]
}

JSON 構造化ロギングの設定の詳細については、「」を参照してくださいサーバーのログ記録の作成、更新、表示

ログ記録ロール

サーバーにアタッチされているマネージドワークフローとコネクタのイベントをログに記録するには、ログ記録ロールを指定する必要があります。アクセス権を設定するには、リソースベースの IAM ポリシー、およびアクセス情報を提供する IAM ロールを作成します。サーバーイベントを記録 AWS アカウント できる のポリシーの例を次に示します。

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
        }
    ]
}

ワークフローイベントをログに記録するようにログ記録ロールを設定する方法の詳細については、「」を参照してくださいワークフローのログ記録の管理

Amazon CloudWatch アラームの作成

次の例は、 AWS Transfer Family メトリクス を使用して Amazon CloudWatch アラームを作成する方法を示していますFilesIn

CDK
new cloudwatch.Metric({
  namespace: "AWS/Transfer",
  metricName: "FilesIn",
  dimensionsMap: { ServerId: "s-00000000000000000" },
  statistic: "Average",
  period: cdk.Duration.minutes(1),
}).createAlarm(this, "AWS/Transfer FilesIn", {
  threshold: 1000,
  evaluationPeriods: 10,
  datapointsToAlarm: 5,
  comparisonOperator: cloudwatch.ComparisonOperator.GREATER_THAN_OR_EQUAL_TO_THRESHOLD,
});
AWS CloudFormation
Type: AWS::CloudWatch::Alarm
Properties:
  Namespace: AWS/Transfer
  MetricName: FilesIn
  Dimensions:
    - Name: ServerId
      Value: s-00000000000000000
  Statistic: Average
  Period: 60
  Threshold: 1000
  EvaluationPeriods: 10
  DatapointsToAlarm: 5
  ComparisonOperator: GreaterThanOrEqualToThreshold

Amazon S3S3 API オペレーションのログ記録

注記

このセクションは、Transfer Family ウェブアプリケーションには適用されません。

ユーザーに代わってファイル転送を要求した S3 リクエストを Amazon S3 アクセスログで特定しようとする場合、ファイル転送を処理すると想定された IAM ロールを表示する際には RoleSessionName が使用されます。また、転送に使用されるユーザー名、セッション ID、サーバー ID などの追加情報も表示されます。形式は [AWS:Role Unique Identifier]/username.sessionid@server-id で [Requester] (リクエスタ) フィールドに含まれています。たとえば、次に示すのは S3 バケットにコピーされたファイルの S3 アクセスログから得た[Requester] (リクエスタ) フィールドのコンテンツの例です。

arn:aws:sts::AWS-Account-ID:assumed-role/IamRoleName/username.sessionid@server-id

上記の [Requester] (リクエスタ) フィールドには、IamRoleName と呼ばれる IAM ロールが表示されます。IAM ロールの一意の識別子の詳細については、AWS Identity and Access Management ユーザーガイドの「一意の識別子」を参照してください。

AWS User Notifications での の使用 AWS Transfer Family

AWS Transfer Family イベントに関する通知を受け取るには、 AWS User Notificationsを使用してさまざまな配信チャネルを設定できます。指定したルールにイベントが一致すると、通知を受け取ります。

イベントの通知は、Eメール、チャットアプリケーション内の Amazon Q Developerのチャット通知、AWS Console Mobile Applicationのプッシュ通知などの複数のチャネルで受け取ることができます。コンソール通知センターで通知を確認することもできます。 User Notifications は集約をサポートしているため、特定のイベント中に受け取る通知の数を減らすことができます。

詳細については、「 AWS User Notifications ユーザーガイド」のAWS Transfer Family 「マネージドワークフローを使用したファイル配信通知のカスタマイズ」ブログ記事「 とは AWS User Notifications」を参照してください。