コンテンツにスキップ

Amazon CloudWatch Logs インテグレーションガイド🔗

Secureworks® Taegis™ XDR は、CloudWatch Logs から生成されたソースのデータ取り込みに対応していますが、Amazon の CloudWatch Logs クォータ制限 により、CloudWatch の Read API から直接収集は行いません。XDR は、推奨されるデータストリーミングの方法に従い、サブスクリプションフィルターを適用してログデータを Amazon S3 に転送します。S3 は継続的な読み取りにより利用可能なソースです。これにより、データが XDR にタイムリーかつ一貫して到達することを保証します。

重要

このガイドは、XDR へのログ収集のセットアップ方法を説明するものではなく、CloudWatch Logs から直接取り込めるサービスである Amazon S3 へのデータ転送方法を案内します。実質的に、CloudWatch Logs で生成されたデータについては、本ガイドが S3 インテグレーションガイドを利用したデータ収集の前提となります。

このドキュメントでは、Amazon CloudWatch Logs のデータソースにサブスクリプションフィルターを適用し、その後 XDR で取り込めるようにする手順を案内します。

重要

CloudWatch は Generic スキーマに正規化されます。

プロセス概要🔗

このガイドは、Amazon ユーザーガイド CloudWatch Logs サブスクリプションフィルターの使用 で説明されているプロセスを要約しています。詳細なコマンド例や追加サポートについては、Amazon のドキュメントを直接参照してください。

S3 バケットの作成🔗

すでにバケットが存在する場合は、次のステップに進んでください。Amazon では、CloudWatch Logs サブスクリプション転送専用のバケット作成を推奨しています。

Firehose が S3 へ書き込むための IAM ロールの作成🔗

Amazon Kinesis Data Firehose に、指定した Amazon S3 バケットへデータを書き込む権限を付与するための IAM ロールが必要です。Amazon のドキュメントには、ポリシーステートメント例と対応する IAM create-role コマンドが記載されています。

Kinesis Firehose が S3 へアクセスするための権限ポリシーの作成🔗

Kinesis Firehose が選択した Amazon S3 バケットでさまざまな操作を行うためのポリシーが必要です。Amazon のドキュメントには、サンプルステートメントと対応する put-role-policy コマンドが記載されています。

宛先 Kinesis Data Firehose デリバリーストリームの作成🔗

デリバリーストリームは、CloudWatch Logs から Amazon S3 バケットへデータを転送するために使用されます。Amazon では、デリバリーストリーム作成用のサンプルコマンドを提供しています。デリバリーストリームは作成後、有効化されるまで数秒から数分かかる場合があります。ストリームのステータスは、Kinesis Firehose コンソールまたは Amazon の aws-cli コマンドで確認できます。

CloudWatch が Kinesis Firehose デリバリーストリームへ書き込むための IAM ロールの作成🔗

作成した Kinesis Firehose デリバリーストリームが S3 へデータを送信するためには、書き込み権限が必要です。Amazon のドキュメントには、サンプル IAM ステートメントと対応する create-role コマンドが記載されています。

CloudWatch が S3 へアクセスするための権限ポリシーの作成🔗

CloudWatch が選択した Amazon S3 バケットでさまざまな操作を行うためのポリシーが必要です。Amazon のドキュメントには、サンプルステートメントと対応する put-role-policy コマンドが記載されています。

CloudWatch Logs サブスクリプションフィルターの追加🔗

サブスクリプションフィルターを追加することで、CloudWatch Logs から Amazon S3 へのログ転送が有効になります。Amazon のドキュメントには、put-subscription-filter コマンドのサンプルが記載されています。

注意

Amazon のコマンド例では、CloudTrail という名前の CloudWatch ロググループからの転送を有効にし、ユーザー ID が root のログのみを送信する filter-pattern を使用しています。多くの場合、お客様の環境に合わせてロググループ名を変更し、グループ内のすべてのログを転送するために filter-pattern を広げるか、値を指定しない必要があります。

Amazon S3 からの取り込みを有効化🔗

データが Amazon S3 バケットに流れるようになったら、そのバケットと XDR のインテグレーション設定を進めてください。

S3 インテグレーションの参考情報: