ログ管理

[jinugasachio]

※ ごちゃごちゃしているのでこのチケットの全てのコメントの要点をまとめたものをここに書く

---

ログの分類

• 監査ログ
  • 人の操作やシステムの動作履歴・結果が記録されるログ
  • 何を監査ログとして取り扱うかは各社の規定などを踏まえて決定が必要
• 業務ログ
  • アプリケーションによる業務処理や取引結果が記録されたログ
  • 処理内容や処理IDなどを含む
• システムログ
  • 上記以外でシステムの動作が記録されたログ

ログの目的

• 保管
  • 障害やセキュリティインシデント時の調査
• 分析
  • ユーザーへ提供するレポート
  • カスタマーサポート
• 監視
  • エラーなどの異常を検知してのアラート
  • レスポンスタイムなどのサービスの状態をダッシュボードで確認

収集対象

• Cloud Trail AWS操作ログ
  • ECS exec （rails console）ログ含む
• WAF ログ
• CloudFront アクセスログ
• VPC フローログ
• S3 アクセスログ
• ALB アクセスログ
• ECS 各コンテナのログ
• Aurora ログ
• ElastiCache ログ

BIツール

結論

• AWS QuickSight

  考慮した選択肢

• AWS QuickSight
  • pros
  • サーバー管理不要
  • 導入が楽、すぐ利用できる
  • cons
• SIEM on Amazon OpenSearch Service（kibana）
  • pros
  • UI わかりやすい
  • cons
  • 日本語化されていないかも
  • cloudformationが用意されているが導入が少し手間
  • 独自のクエリ覚えないといけない
  • データソースがElasticsearchだけなので RDB 対応はめんどくさい
    • データベースをデータソースにElasticsearchへデータ投入する
• metabase
  • pros
  • UI わかりやすい
  • 日本語化されている
  • データソースが豊富
  • cons
  • 自前で環境を用意する必要がある
  • サーバー管理が必要

ログの分析・可視化

WIP 結論

• Datadog
• New Relic

考慮した選択肢

• AWS QuickSight
  • pros
  • cons
• SIEM on Amazon OpenSearch Service（kibana）
  • pros
  • cons
• Datadog
  • pros
  • cons
• New Relic
  • pros
  • cons

ログ構成図

• https://app.diagrams.net/#G17s8rq12dfwy4NKiJ2_84QztSN5FqKo8I

FAQ

FireLens経由でS3バケットへログ保存するのにKinesis Data Firehoseは必要なの？

FireLensのFluent Bitコンテナが予期せぬ停止をしてしまうと、送信頻度によってはログを消失する可能性があります。 Kinesis Data Firehoseを間に挟むことでログのバッファリングが可能なので、高頻度の送信によるニアリアルタイムでログを保管することができます。

[jinugasachio]

昔はfargateだと柔軟に転送先を選べなかったっぽいけど今はFireLensで実現できるらしい

• 詳解 FireLens – Amazon ECS タスクで高度なログルーティングを実現する機能を深く知る
• ECS カスタムログルーティング
• AWS FargateでFireLensを使って同じログを3箇所に送ってみた
• Fluent Bit による集中コンテナロギング
• [Terraform]ECS FargateでFireLensを使って複数サービスにログ出力する
  • firehoseは使う必要あるのか？の答えが書いてある

fluentdからelasticsarchとs3双方にログを転送し直近のログは一定期間のみ前者で扱えるようにするとかするとコストは抑えられる。当たり前だが長期保存はs3のようなオブジェクトストレージが向いている。

---

firehoseを挟む場合と挟まない場合とでのメリデメがいまいちわかっていない

• クラウドにログを保管する仕組みから、敢えてKinesis Data Firehoseを外す

[jinugasachio]

ログドライバーはawslogsよりもFireLensの方が各所でお勧めされている FireLensとFluent Bitの併用でcloud watch logとs3に同時に転送・出力できたり、片方にのみ転送・出力できたりする

FireLensではFluentdとFluent Bit 両方選択できるがAWS的にはリソース効率が良いFluent Bitを推奨している Fluentdはruby製、Fluent BitはC製

[yukio-ugajin]

papertrailの代わりとなる可視化ツールは何にしたらいいのか、 やはりdatadog? newrelicはメトリクス収集はできそうだけどログは一元的に見れるのか？

• https://tech.spacely.co.jp/entry/2020/11/28/173356

[jinugasachio]

herokuから移行したケースだとやっぱpapertrail使いたいって感じたらしい

• https://qiita.com/ykarakita/items/1e021044c3f097926f31#%E3%83%AD%E3%82%B0

[yukio-ugajin]

• ECSのログパターンについて考えている〜ログを送るところまで
• ECSのログ管理にFirelensを導入してみた
• ECSにおけるログの扱い方
• 300GB/day出力されるログ基盤をFluent Bit + Fargate + NLBで再構築したら、エンジニアの作業効率が上がった

[jinugasachio]

ログ可視化に良さそう

• AWSの各種ログを可視化するOSSのSIEMソリューション「SIEM on Amazon ES」がAWSから公開されたのでCloudTrailログを可視化してみた
• SIEM on Amazon Elasticsearch Serviceを試してみました
• Amazon Elasticsearch Service を用いた SIEM の構築事例
• SIEM on Amazon OpenSearch Service

発表内容でも触れましたが、一般的にSIEM（Security Information and Event Management）の機能としては以下の3つです。

• ログを統合的に管理する
• 複数のログを相関的に分析する
• インシデントを発見し管理する

elastic apmも入れればkibanaで完全に一元管理できそう https://www.elastic.co/jp/blog/monitoring-applications-with-elasticsearch-and-elastic-apm

[jinugasachio]

• AWS Black Belt Online Seminar ログ入門

メモ

• ログから何をしたいのか目的に合わせて仕組みを検討すべし
  • 例
  • 保管
    • 障害やセキュリティインシデント時の調査
  • 分析
    • ユーザーへ提供するレポート
    • カスタマーサポート
  • 監視
    • エラーなどの異常を検知してのアラート
    • レスポンスタイムなどのサービスの状態をダッシュボードで確認
• 保管目的の場合
  • データ量が多く保管期間も長いが利用頻度は低い
  • S3がおすすめ
  • 構成例
  • container -> kinesis data firehose -> s3
• 分析目的の場合
  • データ量、保管期間、利用頻度が中程度〜多い
  • 要件次第で分析速度（リアルタイム、特定時間内）が求められる
  • 要件に合わせてAWSサービスとのインテグレーション
  • 構成例
  • バッチ、アドホック分析
    • container -> kinesis data firehose -> s3 -> redshift spectrum or athena
  • リアルタイム分析
    • container -> kinesis data firehose -> kinesis data streams -> kinesis data analytics
• 監視目的の場合
  • データ量少ない、保管期間短い、リアルタイム性
  • 構成例
  • アラート
    • container -> cloud watch
  • リアルタイム監視
    • container -> kinesis data firehose -> open search + kibana

[jinugasachio]

• AWSにおけるログ管理を少し真剣に考えてみる

  メモ

• 監査ログ
  • 人の操作やシステムの動作履歴・結果が記録されるログ
  • 何を監査ログとして取り扱うかは各社の規定などを踏まえて決定が必要
  • 補完について
  • 長期保管が必要なケースがある
  • 完全製（改竄されていないこと）が求められる
  • ん専用の領域で保管する必要もある

[jinugasachio]

ログ可視化ツール選択肢（間違っている可能性もある）

• SIEM on Amazon OpenSearch
• AWS config + Athena + QuickSight
• datadog
• newrelic
• sumo logic

---

メドピアはAWS config + Athena + QuickSightっぽい。 https://tech.medpeer.co.jp/entry/2021/10/01/090000

[jinugasachio]

• AWSマルチ環境一元管理〜ログ分析から始める効率化

メモ

[jinugasachio]

コンテナロギングの手法まとめ（結論FireLensが良さそうではある）from 参考資料

構成例

[jinugasachio]

コンテナ定義に書くかfluentbitの設定ファイルに書くかの違いは 前者はfirelensを使用、後者はfluentbitのプラグインを使用ということかも。

例えばコンテナ定義の方でfirehoseにもdatadogにも送るみたいな複数の設定ができないとしたら、fluentbitの設定ファイルの方に書く。みたいな感じかな

---

fluentbitのdatadogプラグインはあるっぽい https://docs.datadoghq.com/ja/integrations/fluentbit/

---

タスク定義のlogConfigurationのoptionは最終的にfluentbitの設定ファイルに反映されるっぽい。 この違いが分からずモヤモヤしてたが、やっとすっきりした✨

であるならば最初から設定ファイルに全部書いておいた方が疎結合なので良さそうではある

logConfiguration オブジェクトのオプションとして指定されたキーと値のペアは、Fluentd または Fluent Bit 出力設定の生成に使用されます。Fluent Bit 出力定義のコード例は次のとおりです。

from https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/userguide/firelens-taskdef.html

[jinugasachio]

• データレイク 　　　　　　　　 　→ S3
• BIツール　　　　　　　　　　　 → AWS Quick Sight
• 分析・可視化　　　　　　　　　→ AWS Quick Sight or Datadog
• 監視　　　　　　　　　　　　 　→ CloudWatch 物足りなくなったら Datadog

が結論な気がしてきた

[jinugasachio]

S3にログを集約するときのprefix規則性が参考になる

• https://logmi.jp/tech/articles/323123

[jinugasachio]

よい

• Data Lake ハンズオン