ディレクトリプレフィックスを持つS3バケットを使用したAmazon AWS Route 53ログソースの設定
Amazon S3 バケット内の 1 つのアカウントとリージョンから AWS Route 53 Resolver クエリ ログを収集できます。Amazon AWS Route 53 がディレクトリプレフィックスを持つ Amazon AWS S3 REST API プロトコルを使用して JSA と通信できるように、JSA コンソールにログソースを追加します。
始める前に
複数のリージョンから S3 バケットにログソースがある場合、または複数のアカウントを使用している場合は、 SQS キュー手順で S3 バケットを使用する Amazon AWS Route 53 ログソースの設定を使用 します。
ディレクトリ プレフィックスを使用するログ ソースは、1 つのリージョンと 1 つのアカウントからデータを取得できます。リージョンとアカウントごとに異なるログ ソースを使用します。ログ ソースを構成する際に、 ディレクトリ プレフィックス パラメーター値のファイル パスにリージョン フォルダー名を含めます。
- リゾルバークエリログを設定します。クエリ ログの宛先パラメーターを構成する場合は、値に対して S3 バケットを選択します。
- Amazon AWS Route 53 の S3 バケット名とディレクトリ プレフィックスを検索します。
- Amazon AWS アイデンティティおよびアクセス管理(IAM)ユーザーを作成し、AmazonS3ReadOnlyAccess ポリシーを適用します。
- AWS ユーザーアカウントのセキュリティ認証情報を設定します。
- ディレクトリプレフィックスを使用する場合、Amazon AWS S3 REST API の Amazon AWS Route 53 のソースパラメーターをログに記録します。
リゾルバークエリロギングの設定
JSA でログ ソースを追加する前に、AWS マネジメント コンソールで Resolver クエリ ログを設定する必要があります。
S3バケット名とディレクトリプレフィックスの検索
JSA にログ ソースを追加する前に、Amazon 管理者がユーザーを作成してから、AWS 管理コンソールで AmazonS3ReadOnlyAccess ポリシーを適用する必要があります。
始める前に
または、バケットにきめ細かいアクセス許可を割り当てることもできます。最低限必要な権限は 、s3:listBucket と s3:getObject です。
バケット操作に関連するアクセス許可の詳細については、 AWS のドキュメントを参照してください。
- 管理者として AWS 管理コンソールにログインします。
- [サービス] をクリックします。
- リストから、ルート 53 を選択します。
- ルート 53 ナビゲーション メニューから、[クエリ ログ] を選択します。
- [宛先 ARN] フィールドの S3 バケット名に注意してください。JSA でログ ソースを設定する場合、この値が必要です。S3バケット名のロケーションパスが利用可能な場合は、同様に注意してください。
AWS 管理コンソールで ID およびアクセス管理(IAM)ユーザーを作成する
Amazon 管理者はユーザーを作成し、AWS マネジメントコンソールで s3:listBucket および s3:getObject 権限をそのユーザーに適用する必要があります。その後、JSA ユーザーは JSA にログ ソースを作成できます。
最低限必要な権限は 、s3:listBucket と s3:getObject です。必要に応じて、ユーザーに他の権限を割り当てることができます。
ポリシーの例:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::<bucket_name>",
"arn:aws:s3:::<bucket_name>/AWSLogs/<AWS_account_number>/<DSM_name>/us-east-1/*"
]
}
]
}
バケット操作に関連するアクセス許可の詳細については、 AWS ドキュメントの Web サイトを参照してください。
- 管理者として AWS 管理コンソールにログインします。
- [サービス] をクリックします。
- リストから IAM を選択します。
- [ユーザー] > [ユーザーの追加] をクリックします。
- Amazon AWS IAM ユーザーを作成し、AmazonS3ReadOnlyAccess ポリシーを適用します。
AWS ユーザーアカウントのセキュリティ認証情報の設定
JSA でログ ソースを設定するには、AWS ユーザー アカウントのアクセス キーとシークレット アクセス キーの値が必要です。
ディレクトリプレフィックスを使用する場合、Amazon AWS S3 REST APIログソースパラメーター
Amazon S3 バケットの 1 つのアカウントとリージョンから AWS Route 53 Resolver クエリ ログを収集する場合は、ディレクトリプレフィックスを含む Amazon AWS S3 REST API プロトコルを使用する JSA コンソールにログソースを追加します。
ディレクトリプレフィックスで Amazon AWS S3 REST API プロトコルを使用する場合、設定する必要がある特定のパラメーターがあります。
次の表では、Amazon AWS Route 53 から Amazon AWS S3 REST API イベントを収集するために特定の値を必要とするパラメーターについて説明します。
| パラメーター |
値 |
|---|---|
| ログ ソース タイプ |
Amazon AWS Route 53 |
| プロトコル設定 |
Amazon AWS S3 REST API |
| ログ ソース識別子 |
ログ ソースの一意の名前を入力します。 ログ ソース識別子は任意の有効な値であり、特定のサーバーを参照する必要はありません。ログ ソース識別子は、ログ ソース名と同じ値を使用できます。複数の Amazon AWS Route 53 ログソースが設定されている場合、最初のログソースを 、 2 番目のログソースawsroute53-1を 、 として、3 番目のログソースawsroute53-2を としてawsroute53-3識別することができます。 |
| 認証方法 |
アクセスキーID/秘密鍵 どこからでも使用できる標準的な認証。 セキュリティ認証情報の設定の詳細については、「 AWS ユーザーアカウントのセキュリティ認証情報の設定」を参照してください。 IAM ロールを想定する キーで認証し、一時的にアクセスの役割を引き受けます。このオプションは、SQS イベント通知の収集方法を使用する場合にのみ使用できます。 IAM ユーザーの作成とロールの割り当ての詳細については、 AWS 管理コンソールでの ID およびアクセス管理 (IAM) ユーザーの作成を参照してください。 EC2 インスタンスの IAM ロール マネージドホストが AWS EC2 インスタンスで実行されている場合、このオプションを選択すると、認証用にインスタンスに割り当てられたインスタンスメタデータから IAM ロールが使用されます。キーは不要です。このメソッドは、AWS EC2 コンテナ内で実行されているマネージドホストでのみ機能します。 |
| アクセスキーID |
[認証方法] で [アクセス キー ID/ 秘密鍵] を選択した場合は、アクセス キー ID パラメーターが表示されます。 AWS ユーザー アカウントのセキュリティ認証情報を設定したときに生成された アクセス キー ID 。この値は、AWS S3 バケットへのアクセスに使用されるアクセス キー ID でもあります。 |
| 秘密鍵 |
[認証方法] で [アクセス キー ID/ 秘密鍵] を選択した場合は、シークレット キー ID パラメーターが表示されます。 AWS ユーザーアカウントのセキュリティ認証情報を設定したときに生成された 秘密鍵 。この値は、AWS S3 バケットへのアクセスに使用される Decret Key ID でもあります。 |
| イベント形式 |
[ AWS Cloud Trail JSON] を選択します。ログソースは、JSON でフォーマットされたイベントを取得します。 |
| S3 収集方法 |
[ 特定のプレフィックスを使用する] を選択します。 |
| バケット名 |
ログファイルが保存される AWS S3 バケットの名前。 |
| ディレクトリプレフィックス |
リゾルバーログが取得される AWS S3 バケットのルートディレクトリの場所。たとえば、 AWSLogs/<AccountNumber>/Resolver/<RegionName>/ バケットのルートディレクトリからファイルをプルするには、 ディレクトリプレフィックス ファイルパスにフォワードスラッシュ(/)を使用する必要があります。
メモ:
|
| 地域名 |
SQS キューまたは AWS S3 バケットがあるリージョン。 例: us-east-1, eu-west-1, ap-northeast-3 |
| ゲートウェイ ログ ソースとして使用 |
収集されたイベントが JSA トラフィック分析エンジンを通過する場合と、1 つ以上のログ ソースを自動的に検出する JSA の場合は、このオプションを選択します。 |
| ログ ソース識別子パターン |
このオプションは、「 ゲートウェイ・ログ・ソースとして使用 」が「はい」に設定されている場合に使用できます。 処理中のイベントに対してカスタムのログ ソース識別子を定義する場合は、このオプションを使用します。このフィールドは、カスタムログソース識別子を定義するキー値のペアを受け入れます。キーは識別子形式文字列で、値は関連する正規表現パターンです。新しい行にパターンを入力することで、複数のキー値ペアを定義できます。複数のパターンを使用する場合、一致するものが見つかり、カスタムのログ ソース識別子が返されるまで、複数のパターンが順番に評価されます。 |
| 詳細オプションを表示 |
イベント データをカスタマイズする場合は、このオプションを選択します。 |
| ファイル パターン |
このオプションは、[ 高度なオプションを表示 ] を [はい] に設定した場合に使用できます。 プルするファイルと一致するファイルパターンの正規表現を入力します。例えば。*。\.json\.gz |
| ローカル ディレクトリ |
このオプションは、[ 高度なオプションを表示 ] を [はい] に設定した場合に使用できます。 ターゲット イベント コレクターのローカル ディレクトリ。このディレクトリは、AWS S3 REST API PROTOCOL がイベントの取得を試みる前に存在している必要があります。 |
| S3 エンドポイント URL |
このオプションは、[ 高度なオプションを表示 ] を [はい] に設定した場合に使用できます。 AWS S3 REST API のクエリーに使用されるエンドポイント URL。 エンドポイントの URL がデフォルトと異なる場合は、エンドポイント URL を入力します。デフォルトは https://s3.amazonaws.com。 |
| S3 パススタイル アクセスを使用する |
S3 リクエストにパススタイルのアクセスを強制します。 この方法は AWS では非推奨です。ただし、他のS3対応APIを使用する場合は必須となる場合があります。たとえば、バケット名にピリオド(.)が含まれている場合、https://s3.region.amazonaws.com/bucket-name/key-name パススタイルが自動的に使用されます。そのため、このオプションは必須ではありませんが、使用できます。 |
| プロキシの使用 |
JSA がプロキシを使用して Amazon Web Service にアクセスする場合は、[ プロキシの使用] を有効にします。 プロキシが認証を必要とする場合は、 プロキシサーバー、プロキシポート、プロキシユーザー名、 プロキシパスワード のフィールドを設定します。 プロキシに認証が必要ない場合は、[ プロキシIPまたはホスト名 ]フィールドを設定します。 |
| 再発 |
新しいデータをスキャンするポーリングが行われる頻度。 SQS イベント収集方法を使用する場合、 SQS イベント通知 の最小値は 10 (秒) です。SQS キューのポーリングは頻繁に行われることがあるため、より低い値を使用できます。 ディレクトリ プレフィックス イベント収集方法を使用する場合、 特定のプレフィックスを使用 するの最小値は 60(秒)または 1M です。AWS S3 バケットに対するすべての listBucket リクエストはバケットを所有するアカウントにコストが発生するため、繰り返し値が小さいとコストが増加します。 新しいデータに対してポーリングを行う頻度を決定する時間の間隔を入力します。時間間隔には、時間(H)、分(M)、または日(D)の値を含めることができます。たとえば、2H = 2 時間、15M = 15 分、30 = 秒です。 |
| EPS スロットル |
フロー パイプラインに送信される 1 秒あたりの最大イベント数。デフォルトは5000です。 EPS スロットル値が受信レートよりも高いか、データ処理が遅れる可能性があることを確認します。 |
Amazon AWS S3 REST API プロトコルの詳細については、「 Amazon AWS S3 REST API Protocol Configuration Options」を参照してください。