Amazon CloudWatch

Amazon CloudWatchとは

Amazon CloudWatchは、AWSリソースとアプリケーションのモニタリングと可観測性のためのサービスです。CloudWatchを使用することで、メトリクスの収集と追跡、ログファイルの収集と監視、アラームの設定、AWSリソースの変更への自動対応が可能になります。CloudWatchは、EC2インスタンス、RDSデータベースインスタンス、DynamoDBテーブルなどのAWSリソースだけでなく、アプリケーションが生成するカスタムメトリクスやログも監視できます。

Amazon CloudWatchの主な特徴

メトリクス： AWSリソースとアプリケーションのパフォーマンスデータを収集・追跡
ログ： ログファイルを収集、監視、分析、保存
アラーム： メトリクスを監視し、しきい値を超えた場合に通知やアクションを実行
ダッシュボード： カスタマイズ可能なダッシュボードでリソースとアプリケーションを可視化
イベント（EventBridge）： AWSリソースの変更に対応するルールを設定
Synthetics： エンドポイントとAPIをモニタリングするカナリアを作成
Insights： 運用データの自動分析によるパターンの検出と異常の特定
ServiceLens： トレース、メトリクス、ログ、アラームを組み合わせたアプリケーションの健全性の可視化
Container Insights： コンテナ化されたアプリケーションとマイクロサービスのモニタリング
Lambda Insights： サーバーレスアプリケーションのパフォーマンスモニタリング

Amazon CloudWatchのコンポーネント

CloudWatchは、以下の主要なコンポーネントで構成されています：

CloudWatch メトリクス

メトリクスは、CloudWatchの基本的な概念で、時系列データポイントの順序付けられたセットです。メトリクスは、モニタリング対象のリソースの変数（CPU使用率、ネットワークトラフィックなど）を表します。

メトリクスの主な特徴

名前空間： メトリクスを整理するための名前空間（例：AWS/EC2、AWS/RDS）
ディメンション： メトリクスを一意に識別する名前と値のペア（例：InstanceId=i-1234567890abcdef0）
統計： メトリクスデータの集計方法（Average、Sum、Minimum、Maximum、SampleCount、pNN.NN）
期間： メトリクスデータの集計時間（1分、5分、1時間など）
単位： メトリクスの測定単位（Bytes、Seconds、Count、Percentなど）

AWS CLIを使用したメトリクスの取得

aws cloudwatch get-metric-statistics \
    --namespace AWS/EC2 \
    --metric-name CPUUtilization \
    --dimensions Name=InstanceId,Value=i-1234567890abcdef0 \
    --start-time 2023-08-04T00:00:00Z \
    --end-time 2023-08-05T00:00:00Z \
    --period 3600 \
    --statistics Average Maximum

CloudWatch Logs

CloudWatch Logsは、ログファイルを収集、監視、分析、保存するためのサービスです。EC2インスタンス、Lambda関数、その他のソースからのログを一元管理できます。

CloudWatch Logsの主な概念

ロググループ： 同じ種類のログを格納するためのグループ（例：/aws/lambda/my-function）
ログストリーム： ロググループ内の同じソースからのログシーケンス（例：特定のEC2インスタンスからのログ）
メトリクスフィルター： ログデータからメトリクスを抽出するためのフィルター
サブスクリプションフィルター： リアルタイムでログデータを処理するためのフィルター
ログインサイト： ログデータをクエリして分析するためのツール

AWS CLIを使用したロググループの作成

aws logs create-log-group --log-group-name my-log-group

AWS CLIを使用したログイベントの取得

aws logs get-log-events \
    --log-group-name my-log-group \
    --log-stream-name my-log-stream

CloudWatch アラーム

CloudWatchアラームは、指定したメトリクスを監視し、しきい値を超えた場合に通知を送信したりアクションを実行したりします。

アラームの主な特徴

しきい値： アラームがトリガーされるメトリクスの値
評価期間： アラームの状態を評価するための期間の数
データポイント： アラームをトリガーするために必要なしきい値を超えるデータポイントの数
アクション： アラームがトリガーされたときに実行されるアクション（SNS通知、Auto Scalingアクション、EC2アクションなど）

AWS CLIを使用したアラームの作成

aws cloudwatch put-metric-alarm \
    --alarm-name cpu-high \
    --comparison-operator GreaterThanThreshold \
    --evaluation-periods 2 \
    --metric-name CPUUtilization \
    --namespace AWS/EC2 \
    --period 300 \
    --statistic Average \
    --threshold 80 \
    --alarm-actions arn:aws:sns:us-west-2:123456789012:my-topic \
    --dimensions "Name=InstanceId,Value=i-1234567890abcdef0"

CloudWatch ダッシュボード

CloudWatchダッシュボードは、カスタマイズ可能なホームページで、複数のリージョンにまたがるリソースのメトリクスとアラームを一元的に表示できます。

AWS CLIを使用したダッシュボードの作成

aws cloudwatch put-dashboard \
    --dashboard-name my-dashboard \
    --dashboard-body '{"widgets":[{"type":"metric","x":0,"y":0,"width":12,"height":6,"properties":{"metrics":[["AWS/EC2","CPUUtilization","InstanceId","i-1234567890abcdef0"]],"period":300,"stat":"Average","region":"us-west-2","title":"EC2 Instance CPU"}}]}'

CloudWatch Events（Amazon EventBridge）

CloudWatch Events（現在はAmazon EventBridgeとして知られています）は、AWSリソースの変更に対応するルールを設定するためのサービスです。イベントが発生したときに、Lambda関数の呼び出し、SNSトピックへのメッセージの送信、その他のアクションを実行できます。

AWS CLIを使用したイベントルールの作成

aws events put-rule \
    --name my-rule \
    --event-pattern '{"source":["aws.ec2"],"detail-type":["EC2 Instance State-change Notification"],"detail":{"state":["running"]}}'

AWS CLIを使用したイベントターゲットの追加

aws events put-targets \
    --rule my-rule \
    --targets "Id"="1","Arn"="arn:aws:lambda:us-west-2:123456789012:function:my-function"

Amazon CloudWatchの使用方法

CloudWatchは、AWS Management Console、AWS CLI、SDKs、またはインフラストラクチャ as コード（IaC）ツールを使用して利用できます。

メトリクスの監視

CloudWatchコンソールでは、メトリクスをグラフ化して視覚的に監視できます。また、AWS CLIやSDKを使用してプログラムでメトリクスにアクセスすることもできます。

AWS CLIを使用したメトリクスの一覧表示

aws cloudwatch list-metrics --namespace AWS/EC2

カスタムメトリクスの作成

CloudWatchでは、独自のカスタムメトリクスを作成して、アプリケーション固有のデータを監視できます。

AWS CLIを使用したカスタムメトリクスの作成

aws cloudwatch put-metric-data \
    --namespace MyApplication \
    --metric-name RequestCount \
    --value 42 \
    --dimensions Service=MyService,Region=us-west-2

ログの監視と分析

CloudWatch Logsを使用して、ログファイルを収集、監視、分析できます。CloudWatch Logs Insightsを使用すると、ログデータをクエリして分析することができます。

CloudWatch Logs Insightsクエリの例

fields @timestamp, @message
| filter @message like /ERROR/
| sort @timestamp desc
| limit 20

アラームの設定

CloudWatchアラームを設定して、メトリクスがしきい値を超えたときに通知を受け取ったりアクションを実行したりできます。

AWS CLIを使用したアラームの作成

aws cloudwatch put-metric-alarm \
    --alarm-name high-cpu-alarm \
    --alarm-description "Alarm when CPU exceeds 80%" \
    --metric-name CPUUtilization \
    --namespace AWS/EC2 \
    --statistic Average \
    --period 300 \
    --threshold 80 \
    --comparison-operator GreaterThanThreshold \
    --dimensions Name=InstanceId,Value=i-1234567890abcdef0 \
    --evaluation-periods 2 \
    --alarm-actions arn:aws:sns:us-west-2:123456789012:my-topic

ダッシュボードの作成

CloudWatchダッシュボードを作成して、重要なメトリクスとアラームを一元的に表示できます。

AWS CLIを使用したダッシュボードの作成

aws cloudwatch put-dashboard \
    --dashboard-name my-dashboard \
    --dashboard-body file://dashboard-body.json

dashboard-body.jsonの例：

{
  "widgets": [
    {
      "type": "metric",
      "x": 0,
      "y": 0,
      "width": 12,
      "height": 6,
      "properties": {
        "metrics": [
          [ "AWS/EC2", "CPUUtilization", "InstanceId", "i-1234567890abcdef0" ]
        ],
        "period": 300,
        "stat": "Average",
        "region": "us-west-2",
        "title": "EC2 Instance CPU"
      }
    }
  ]
}

Amazon CloudWatch Insights

CloudWatch Insightsは、運用データの自動分析によるパターンの検出と異常の特定を支援する機能です。

CloudWatch Container Insights

Container Insightsは、コンテナ化されたアプリケーションとマイクロサービスのメトリクスとログを収集、集約、要約します。Amazon ECS、Amazon EKS、Kubernetes on EC2、Fargateをサポートしています。

AWS CLIを使用したContainer Insightsの有効化（Amazon ECS）

aws ecs update-cluster-settings \
    --cluster my-cluster \
    --settings name=containerInsights,value=enabled

CloudWatch Lambda Insights

Lambda Insightsは、AWS Lambda関数のパフォーマンスモニタリングと問題のトラブルシューティングを支援する機能です。CPU時間、メモリ、ディスク、ネットワークなどのシステムレベルのメトリクスを収集します。

AWS CLIを使用したLambda Insightsの有効化

aws lambda update-function-configuration \
    --function-name my-function \
    --layers arn:aws:lambda:us-west-2:580247275435:layer:LambdaInsightsExtension:14

CloudWatch Logs Insights

Logs Insightsは、CloudWatch Logsのログデータをクエリして分析するためのツールです。シンプルで強力なクエリ言語を使用して、ログデータから有用な情報を抽出できます。

Logs Insightsクエリの例

# エラーログの検索
fields @timestamp, @message
| filter @message like /ERROR/
| sort @timestamp desc
| limit 20

# HTTPステータスコード別のカウント
fields @timestamp, status
| stats count(*) as count by status
| sort count desc

CloudWatch Synthetics

Syntheticsは、エンドポイントとAPIをモニタリングするカナリアを作成するための機能です。カナリアは、スケジュールに従って実行されるスクリプトで、エンドポイントやAPIの可用性とレイテンシーを監視します。

AWS CLIを使用したSyntheticsカナリアの作成

aws synthetics create-canary \
    --name my-canary \
    --artifact-s3-location s3://my-bucket/canary/artifacts \
    --execution-role-arn arn:aws:iam::123456789012:role/my-canary-role \
    --schedule "rate(5 minutes)" \
    --run-config '{"timeoutInSeconds":60,"memoryInMB":1024,"activeTracing":true}' \
    --code '{"handler":"index.handler","s3Bucket":"my-bucket","s3Key":"canary/code.zip"}' \
    --success-retention-period 30 \
    --failure-retention-period 30

Amazon CloudWatchのセキュリティ

CloudWatchのセキュリティを確保するためのベストプラクティス：

IAMポリシーの使用： 最小権限の原則に従い、必要最小限のアクセス権限のみを付与
VPCエンドポイントの使用： VPC内からCloudWatchへのプライベート接続を確立
ログの暗号化： CloudWatch Logsのログを暗号化して保護
リソースベースのポリシーの使用： 特定のCloudWatchリソースへのアクセスを制御
CloudTrailの有効化： CloudWatchへのAPIコールを記録して監査

CloudWatch Logsの暗号化の有効化

aws logs associate-kms-key \
    --log-group-name my-log-group \
    --kms-key-id arn:aws:kms:us-west-2:123456789012:key/abcdef12-3456-7890-abcd-ef1234567890

Amazon CloudWatchの料金

CloudWatchの料金は、以下の要素に基づいています：

メトリクス： 基本モニタリングメトリクス（無料）、詳細モニタリングメトリクス（有料）、カスタムメトリクス（有料）
ダッシュボード： 最初の3つのダッシュボードは無料、それ以降は有料
アラーム： メトリクスアラーム、複合アラーム、異常検出アラームの料金が異なる
ログ： 収集、保存、分析されたログデータの量に基づく
イベント： カスタムイベントの数に基づく
Insights： Container Insights、Lambda Insights、Contributor Insightsの使用量に基づく
Synthetics： カナリアの実行回数と実行時間に基づく

詳細な料金情報は、Amazon CloudWatch料金ページを参照してください。

Amazon CloudWatchのユースケース

CloudWatchは以下のようなユースケースに適しています：

リソースの使用率監視： EC2インスタンス、RDSデータベース、その他のAWSリソースの使用率を監視
アプリケーションのパフォーマンス監視： アプリケーションのパフォーマンスメトリクスを収集して監視
ログ分析： アプリケーションログを収集、監視、分析
自動スケーリング： メトリクスに基づいてAuto Scalingを設定
障害検知と通知： 異常を検知し、通知を送信
コンプライアンス監査： ログを保存して監査要件を満たす
ビジネスメトリクスの追跡： カスタムメトリクスを使用してビジネスKPIを追跡
サービスレベル目標（SLO）の監視： サービスの可用性とパフォーマンスを監視

Amazon CloudWatchとの統合サービス

CloudWatchは他のAWSサービスと統合して、より強力なモニタリングと可観測性のソリューションを構築できます：

サービス	統合の利点
Amazon EC2	インスタンスのCPU使用率、ディスクI/O、ネットワークトラフィックなどを監視
Amazon RDS	データベースインスタンスのCPU使用率、空きメモリ、接続数などを監視
Amazon DynamoDB	テーブルのスループット、レイテンシー、エラーなどを監視
AWS Lambda	関数の呼び出し回数、実行時間、エラーなどを監視
Amazon SNS	アラームの通知を送信
AWS Auto Scaling	メトリクスに基づいてリソースを自動的にスケール
AWS CloudTrail	APIコールを記録して監査
Amazon EventBridge	イベントに基づいてアクションを実行
AWS X-Ray	アプリケーションのトレースデータを収集して分析

Amazon CloudWatchのベストプラクティス

適切なメトリクスの選択： 監視するリソースとアプリケーションに適したメトリクスを選択
適切なアラームしきい値の設定： 誤検知を避けるために適切なしきい値を設定
複合アラームの使用： 複数の条件に基づいてアラームをトリガー
異常検出の活用： 機械学習を使用して異常を検出
ダッシュボードの整理： 関連するメトリクスとアラームをダッシュボードにまとめる
ログの構造化： JSON形式などの構造化されたログを使用して分析を容易にする
ログの保持期間の設定： コスト最適化のために適切なログ保持期間を設定
高解像度メトリクスの選択的使用： 重要なメトリクスにのみ高解像度（1秒間隔）を使用
カスタムメトリクスの活用： アプリケーション固有のメトリクスを作成して監視
自動化の実装： CloudWatch EventsとLambdaを使用して自動修復を実装

まとめ

Amazon CloudWatchは、AWSリソースとアプリケーションのモニタリングと可観測性のための包括的なサービスです。メトリクスの収集と追跡、ログファイルの収集と監視、アラームの設定、AWSリソースの変更への自動対応など、幅広い機能を提供します。

CloudWatchの主な利点は以下の通りです：

AWSリソースとアプリケーションの統合モニタリング
リアルタイムのメトリクス収集と分析
カスタマイズ可能なダッシュボードによる可視化
柔軟なアラーム設定と通知オプション
ログの収集、保存、分析の一元管理
イベントに基づく自動アクション
Container Insights、Lambda Insightsなどの特化した分析機能
他のAWSサービスとの緊密な統合

CloudWatchを効果的に活用するには、監視するリソースとアプリケーションに適したメトリクスの選択、適切なアラームしきい値の設定、ダッシュボードの整理、ログの構造化、カスタムメトリクスの活用などのベストプラクティスを実践することが重要です。また、CloudWatch EventsとLambdaを組み合わせて自動修復を実装することで、運用効率を向上させることができます。