AWS監視サービス（VI）

AWS CloudWatchの

コンセプト

• 識別されたコンテンツベースの監視インフラストラクチャのコンポーネント
• 指定されたインデックスに基づいて通知を送信し、さまざまな操作をトリガー
• メトリックを収集し、追跡するためのデータと統計の収集システムを分散。
• デフォルトでは、CPUの使用率などのシームレスな収集されたメトリックのハイパーバイザーレベル、IOバイト操作、ネットワークオペレータバイト
• CloudWatchのは、プロモーターは、終了、再起動EC2をトリガー減少自動スケーリンググループを増やし、他の操作SNSにメッセージを送ることが含ま
• プロパティ
  • パネル（ダッシュボード） - 異なる監視の観察を容易にするためのカスタムパネルを作成することができますは、AWS環境オブジェクト
  • アラーム（警報） - 監視対象オブジェクトが閾値を超えた場合、警告メッセージを発行します
  • （イベント） - 反応はAWS環境で発生する変更のために行います
  • ログ（ログ）は、収集に役立つ監視およびログ情報を格納するログ-Cloudwatch
• モニタリング指標
  • 監視と指標の大多数のサポートには、AWSサービスを指定しました：
    • オートスケーリング、アマゾンCloudFrontは、アマゾンCloudSearch、アマゾンDynamoDBの、アマゾンEC2、Amazon EC2の容器服务（アマゾンECS）、アマゾンElastiCache、アマゾン弾性ブロックストア（アマゾンEBS）、弾性ロードバランシング、アマゾンElastic MapReduceは（アマゾンEMR）、アマゾンElasticsearch服务、アマゾンキネシスストリーム、アマゾンキネシス消火ホース、AWSラムダ、アマゾン機械学習、AWSのOpsWorks、アマゾン赤方偏移、アマゾン关系数据库服务（アマゾンRDS）、アマゾンルート53、アマゾンSNS、アマゾンシンプルなキューサービス（アマゾンSQS）、アマゾンS3 、AWS単純ワークフロー・サービス（アマゾンSWF）、AWSストレージゲートウェイ、AWS WAF和アマゾンのワークスペース。
  • ：などの指標をカスタマイズする機能、
    • そのようなページの読み込み時間などのアプリケーションAWS自体は見えない、これらの指標は、エラーレートを要求し、API呼び出しによってサポートされる同時プロセスまたはスレッドの数は、指標をPUT
• 監視頻度
  • 基本的な指標とモニタリングの自由制限数を提供し、データ収集ポイントとして5分ごとに監視
  • 分あたりのデータポイントを収集するための詳細な監視は、カスタムインディケータすることができ、あなたが使用することを支払う必要があります
  • すべての1秒を収集し、よりきめの細かい高解像度の指標のサポート
  • CloudWatchのに利用できる領域にわたってサポートし、重合、重合を取得するが、地域間をサポートしていません。
  • CloudWatchのは、唯一の変更を追跡することができない、パフォーマンスを監視することができます
• クラウドのデザインモード - と一緒にCloudWatchの監視ソフトウェアの作品
  • EC2のCloudWatchのような達成するために、独立した監視システムの使用を必要とするなどのオペレーティング・システム、ミドルウェア、アプリケーション、など、内部の仕事を提供しません
  • 統合するためには、CloudWatchのAPIによって監視からの情報を取得するために別のEC2、AWS上でNagiosの、Zabbixの、Muninのおよび他のソフトウェアを展開することができ

CloudWatchのログ

• あなたは、ほぼリアルタイムの監視ログへのインデックスまたはCloudWatchのログデータを処理するために、アクセスをカスタマイズすることができます
• モニターとログは、あなたがよりよく理解を助けるために、保存され、システムやアプリケーションを実行しています
• あなたは、ハードディスクの空き容量が不足する心配することなく、高い費用対効果の高いストレージの長期的な持続性に保存されたCloudWatchのログログデータを使用することができます。
• CloudWatchのログは、ログファイルに個々の測定値やその他の情報を保存することができます
• 15ヶ月までデフォルトの監視データ保持。そして、手動で削除することはできません
  • データポイントの60秒未満の期間は、3時間保持することができます。これらのデータポイントは、高解像度のカスタム指標です。
  • 期間は15日間利用できる60秒（1分）のデータポイントであります
  • 期間は63日間保持される、300秒（5分）のデータポイントであります
  • 3600秒（1時間）のデータ点の期間は455日（15ヶ月）を保持することができます
• リアルタイム監視をサポートし、特定のイベントをトリガするためにログファイルを
• CloudWatchのログは、次の治療に使用することができます。
  • アマゾンキネシスストリームAWSラムダ、または他のデータ処理ソリューションへのリアルタイムのストリーミングデータログ
  • S3は氷河にバッチ形式で保存したり、アーカイブします
  • 管理者は、コンソールから見ることができます
• CloudWatchのエージェント
  • EC2でのLinuxシステムでは、CloudWatchのログエージェントをインストールすることにより、システムログ内のEC2を収集することができます
  • アマゾンのLinux、Ubuntuの、CentOSのはRed Hat Enterprise LinuxとWindowsのサポート
• CloudWatchのログの洞察
  • 有料などのインタラクティブ統合ログ分析機能のCloudWatchのログの一つ。それは、彼らのアプリケーションを、理解して改善し、デバッグを支援するために、開発者、事業者やシステムエンジニアができ、そのログを検索し、可視化します。

    警報

• あなたはどのアマゾンCloudWatchの指標を監視するために、アカウントにアラートを作成することができます。たとえば、あなたは、Amazon EC2インスタンス、AmazonでELB要求遅延、アマゾンDynamoDBのテーブルのスループット、アマゾンSQSキューの長さ、でもAWS法案費のCPU使用率を監視するためのアラートを作成することができます。
• アラートを作成するためのカスタム・メトリックのカスタムアプリケーションまたはインフラストラクチャに特定することもできます。カスタムインジケータは、高解像度の指標であるならば、あなたは高解像度のアラームを作成することを選択することができ、アラームが10秒または30秒の期間の時に警告が表示されます。
• アラートを作成するときに、1つまたは複数の自動運転が選択された監視指標で定義された閾値を超える実行するように構成されてもよいです。たとえば、あなたは、電子メールを送信するアラートを設定することができますSQSキューにポスト、Amazon EC2インスタンスを停止または終了する、または自動スケーリング実行ポリシー。アマゾンシンプルな通知サービスを持つアマゾンCloudWatchのアラームが統合を達成するため、そのためにもSNSでサポートされている任意のタイプを通知するために使用することができます。
• アラート履歴は14日間有効です。

計器盤

• アマゾンCloudWatchのコントロールパネルを使用して、作成、カスタマイズ、およびAWSリソースと相互作用して、カスタムのチャート指標を保存することができます。
• オートメーションのコントロールパネルは、AWSサービス、知覚のリソースが推奨するベストプラクティスを事前に構築され、かつ動的に主要業績評価指標の最新の状態を反映するように更新することができます。これで、AWSリソースの最新の状態を反映するためにコードを追加することなく、フィルタリングおよび特定のビューを除外するのに失敗することができます。パフォーマンスの問題の根本原因を決定した後、あなたはすぐに行動するAWSリソースに直接行くことができます。
• コントロールパネルが開いているときには自動的に更新されます。

イベント

• アマゾンCloudWatchのイベント（CWE）の記述を変更するにはAWSのリソースをストリーミングシステムイベントです。
• イベントでは、システムで作成したルールに一致したとき、あなたは自動的にAWSラムダ関数を呼び出すことができ、イベント通知を送信するために、または組み込みのワークフローを呼び出すためにアマゾンキネシスの流れ、アマゾンSNSトピックに中継されます。
• イベントは、AWS Configをチェック順守と同じではなく、またレコードとしてCloudTrailは、レコードを呼び出します。

CloudWatchの制限

• 5000アラームまで保存するために、各AWSアカウント
• 1分間のデフォルトの監視収集と集計サイズ
• 15日、またはより長い保持のために、デフォルトで収集したインデックスデータは、氷河にS3をダンプする必要があります
• デフォルトでは、カスタム構成を必要とする、内部メモリとシステム指標のモニタリングをサポートしていません。

AWS CloudTrail

アウトライン

• CloudTrailのユーザーアクティビティは、視認性のために実行された操作を記録して提供することができます。CloudTrailは、各操作のための情報を記録することができる要求元、サービスの使用を含む、重要であり、動作は、動作パラメータを行い、AWSサービスは、応答エレメントを返しています。この情報は、あなたが運用問題のトラブルシューティングに役立つような状況AWSリソースを変更を追跡することができます。あなたが一緒に内部ポリシーや規制基準の遵守を確保しやすいCloudTrail。
• 要求者のサービス利用、操作、操作のパラメータだけでなく、AWSのサービス応答要素を返す：イベント情報に関連する活動を含みます。
• AWSアカウントは、AWS APIの呼び出しや関連イベントなど、さまざまな操作を、キャプチャ、およびS3にアップロードされたファイルをログに記録しません
• 一度S3にアップロードされたトリガSNSを通知されるように選択することができます
• イベントは、グループCloudWatchの監視ログに渡すことができます
• SSE暗号化されたストレージを使用してS3でログファイルは、ログ・アーカイブのライフサイクルを定義したり、削除することができます
• API呼び出しを約15分にログを生成します。
• ログファイルは5分ごとにリリースされます
• デフォルトで有効になっており、記録保存90日

コンフィギュレーション

• これは、CloudTrailのすべての領域に適用されます
• 同じ設定とポリシーを使用して、各地域
• すべてのログはS3指定された個々のバケットに転送されます
• これは、デフォルトの設定CloudTrailで推奨されるオプションです
• これは、単一の領域に適用されますCloudTrail
• 各ゾーン独自のログトレイルの処理
• その地域のS3バケットに各ログ

CloudTrailの追跡

• CloudTrailトラッキングを設定することで、あなたは、Amazon S3、アマゾンCloudWatchのログ、アマゾンCloudWatchのイベントにイベントをCloudTrailすることができます。これには、アーカイブ、分析および応答がAWSのリソースを変更し支援するためのさまざまな機能を使用することができます。
• トラックのすべての領域に適用されるAWSアカウントアクティビティのすべての分野で実績を作ることをいいます。
• あなただけのトラックを作成し、管理するためのサブ領域のすべての地域であなたができる、1つのAPI呼び出しまたはマウスを数回クリックする必要があります。あなたはS3バケットやCloudWatchのログログ・グループで行わAWSアカウントのアカウントアクティビティのすべての領域を越えたレコードを受信します
• グローバル・トレイル
  • 追跡はすべての領域に適用された後、関連の追跡設定をコピーして、CloudTrailは、すべての分野で新しいトラックを作成します。ログファイル内の各領域の記録と処理CloudTrail、およびすべてのAWS領域がS3バケットとCloudWatchのログログ・グループに転送アクティビティ・ログ・ファイルを占めて含まれています。
• 複数のトレイル
• AWSエリアでは、5曲まで作成することができます。トラックのすべての領域に適用されるには、それぞれの領域に表示され、トラックの各領域としてカウントされます。
• 複数のトラックを使用すると、セキュリティ管理者、ソフトウェア開発者やIT監査人をはじめとするステークホルダーの異なる関心は自分のトラックを作成して管理することができます。
• あなたはグローバルサービスのロギング、複数の地域をオンにすると、グローバルサービスのログが繰り返し以上のものを生成します、1つの領域のみを有効にすることをお勧めします

CloudTrail処理ライブラリ

• AWS CloudTrail処理ライブラリを使用すると、簡単に読んで、プロセスがログファイルをCloudTrailアプリケーションを構築することができますJavaライブラリです。
• CloudTrail処理ライブラリは、継続的にポーリングしSQSキューとして次の関数の処理タスクを、提供SQSメッセージを読み取り、解析し、S​​3に格納されたログファイルをダウンロードして、イベントログファイルを解析するのフォールトトレラントシーケンスがあります。

AWSは、顧問を信頼しました

アウトライン

• ベストプラクティスの多くを学び、AWS環境を確認し、資本の削減、可用性、およびパフォーマンスのための機会があり、セキュリティの脆弱性の推奨事項に対処
• ダッシュボードや予算の削減を通じてAWSリソースの全体的なステータスを見ます
• ベストプラクティスの四つのカテゴリー
  • コスト最適化
  • セキュリティ
  • フォールトトレランス
  • パフォーマンスの改善
• カラーコード：
  • レッド - 行動のための提言
  • ××× - 推奨調査
  • グリーン - 何も問題が検出されません
• 無料チェックされた項目
  • サービスの制限は - 24時間対応の遅れについては、スナップショットに基づいて、80％のサービスの制限を超えチェック
  • 0.0.0.0/0の検査を可能とするポート - セキュリティグループは、ポートを制限するものではありません。
  • IAM - IAMかどうかをチェックします
  • rootアカウントMFA - rootアカウントはMFAを有効にするかどうかをチェックします

    信頼できるアドバイザーの特徴と機能

• 通知：無料サービスは、展開、更新のAWSリソースのために毎週電子メールを送信します
• アクセス管理：IAM検査項目の特定のカテゴリへのアクセスを制御するために使用またはチェック
• AWSサポートAPI：プログラムで取得し、信託Advisorの結果を更新
• アクションリンク：ハイパーリンクレポートを通じてAWS Management Consoleのに直接勧告に従います
• 最近の変更点：コンソールのダッシュボード上の最近のフォローアップ検査の変化
• 除外：カスタムは無関係なプロジェクトをチェックされていません
• 5分更新：クリックして項目をチェックするために5分ごとに更新し、自動的にすべてを更新したり、

AWSコンフィグ

アウトライン

• AWSリソースのリストを提供し、完全に管理されたサービスの履歴や設定変更通知を設定します
• サポートコンプライアンス監査、セキュリティ分析、変更の追跡やトラブルシューティングリソース
• デフォルトでは、AWS config設定項目がサポートされている各のためのリソース領域として作成されます
• すべての変更は、設定項目の変更履歴を生成します。
• リソースはSNSでマーク不遵守および行動の変化違反が通知を送信するかどうかをチェックするように構成することができます
• サポート変更管理、継続的な監査とコンプライアンス、トラブルシューティング、およびセキュリティイベント分析
• AWS Configが、地域に基づいて有効にすることができます
• AWS設定データは、複数のアカウントを横切って集約することができ、アカウントは、所定のルールにまたがることはできません

コンフィグルール

• リソースの所望の構成を示す構成ルールは、その評価は、構成の変更に関連するAWS設定が記録されたリソースに基づいています。資源評価結果の配分のための規則は、コントロールパネルで見ることができます。使用コンフィグルール、あなたは時間をかけて、構成斜視のコンプライアンスの傾向から、全体的なリスクとコンプライアンス状況を評価することができ、リソースコンプライアンスルールから生じた構成の変更を識別するために。
• コンフィグルールは直接AWSの方法をエンドユーザーには影響を与えません。それだけで記録した後AWSコンフィグによって完成されている構成の変更を評価するためのリソースの割り当てにありました。コンフィグルールは、非準拠の変更が可能となるからユーザーを防ぐことはできません。
• ルール評価リソース構成アイテム（CI）の後に設定ルールは、AWS設定によって捕捉されます。これは、事前にリソースの前にルールを評価またはリソースの割り当てを変更しません。
• デフォルトでは、AWSアカウントに50個のルールを作成することができます
• 任意のルールは、原則として変更によってトリガや定期的なルールとして確立することができます。指定されたリソースレコードの設定変更を行うためにAWSコンフィグの規則の変更によってトリガされます。また、あなたはまた、次のいずれかを指定する必要があります。
  • タグキー:(オプション値）：ルール評価をトリガする任意の設定「タブのキー値」リソースレコードの変更：「ラベルキー：値が」指定して意味します。
  • リソースタイプ：リソースレコードタイプ内の任意のリソースへの設定変更を指定するには、ルール評価がトリガされます。
  • リソースID：敷地リソースタイプとリソースID指定されたリソースレコードへの変更は、ルールの評価がトリガされます。
  • 定期的なルールは、指定された頻度でトリガされます。1時間、3時間、6時間、12時間または24時間の利用可能な周波数。の現在の構成アイテム（CI）の完全なスナップショットのルールに適用され、定期的ルールにすべてのリソースを持っています。

設定項目

• 構成アイテム（CI）は、時間の設定に指定された時点でリソースを指します。CIは、5つのコンポーネントで構成されています。
• 様々なリソースタイプの共通リソースに関する基本的な情報（例えばアマゾンリソース名など、ラベル）、
• リソース固有の構成データ（例えば、EC2インスタンスタイプ）、
• マッピング関係他のリソース（EC2インスタンスI-3432ee3a「インスタンスに取り付けられた」例えばEC2 ::ボリュームVOL-3434df43）
• AWS CloudTrailイベントIDのこの状態に関連付けられています、
• CI関連情報は、あなたが（たとえば、CIのバージョンなど）のメタデータを識別し、CIの時間をキャプチャするのに役立ちます。
• AWSのリソース割り当てConfigが状態によって引き起こされる構成変更への変更を検出し、記録します。次々場合（例えば、数分以内に）複数のリソース構成の変更は、構成は、最終的な構成の累積的な影響を変更するには、このグループの唯一の代表を記録します。
• AWS Configを使用すると、アカウントのソフトウェアでAWS EC2インスタンス内の構成の変更を記録するだけでなく、仮想マシン（VM）やサーバ構成の変更でローカル環境を記録することができます。オペレーティングシステムの更新、ネットワーク設定、インストールされたアプリケーション、等を含むAWSコンフィグ設定情報レコード。

CloudTrailとAWS Configを統合

• あなたは、リソースの割り当てを変更する場合は、API呼び出しの結果である、AWSコンフィグもCloudTrailイベントを記録し、リソース構成APIを変更すると、対応するIDを呼び出し、
• また、トラブルシューティングを容易にするため、イベントログとIPアドレスを呼び出し、呼び出し側の記録中。