本文へスキップ

インストール

WhaTapモニタリングサービスを使用するには、会員登録後にプロジェクトを作成し、対象サーバーにエージェントをインストールする必要があります。会員登録に関する詳細については、次の文書を参照してください。

注意

権限

インストールするには、プロジェクトの修正権限が必要です。

インストール過程は、次の動画ガイドを参照してください。

事前確認

AWS Logを収集するには、追加のリソースが必要です。ユーザーのAWS環境で出力されるログ情報を受信した後、WhaTap収集サーバーに送信するため、WhaTapはAWS Lambda Functionを使用してWhaTap Forwarderを提供します。AWS Cloud Formationを使用してWhaTap ForwarderをユーザーのAWS環境で実行します。

WhaTap Forwarderは、AWS Lambda FunctionのLifecycleに依存します。 制御要素を使用すると、同時実行の制約を克服できます。 ユーザー環境で生成されるログ量に応じて、次の制御要素を調整します。

  • ReservedConcurrency: 同時実行数です。
  • Timeout:Lambda Functionにログ流入がない場合の保持時間です。
  • Memory:Lambda Functionに割り当てられるメモリです。
  • ConnectionTimeout:WhaTap収集サーバーにログを送信する時のタイムアウトです。
AWS LogがサポートするAWS Resource Log

CloudWatch Log Group

  • WAF
  • API Gateway:ロググループ名をapi-gateway/gateway resourceに設定することで、正常なログ収集が可能です。
  • RDS
  • DocumentDB
  • REDIS
  • EKS
  • ECS

S3

  • VPC:Logが収集されるS3 Bucket名をVPC resourceとして設定することで正常な収集が可能です。
  • CloudFront:Log設定時の接頭辞は、cloudfrontが既定値です。パラメータ設定時に変更可能です。
  • ELB

プロジェクト作成

エージェントをインストールする前にプロジェクトを作成してください。

  1. WhaTapモニタリングサービスに移動し、ログインします。

  2. プロジェクトを作成するには、画面左サイドメニューからプロジェクト全体 > + Projectボタンを選択してください。

  3. 商品選択 画面でプロジェクトにインストールする製品を選択してください。

  4. プロジェクト名, データサーバーリージョン, プロジェクトタイムゾーン項目を順番に設定してください。

    プロジェクトの生成

  5. 通知言語の設定で、警告通知メッセージの言語を選択してください。

  6. すべての設定を完了した後は プロジェクトを作成する ボタンを選択してください。

ノート

  • データサーバーリージョンは、リージョン(クラウドサービスを提供するためにインストールしたデータセンターのグループ)を意味します。特定のリージョンを選択すると、そのリージョンに所属するデータセンターにユーザーのデータが保存されます。

  • プロジェクトタイムゾーンは通知とレポートを生成する基準時間です。

  • 複数のプロジェクトをグループで管理する場合は、プロジェクトグループからグループを選択するか、グループを追加してください。 グループの詳細については、次の文書を参照してください。

  • 組織を選択してプロジェクトを追加する場合は、組織下位のグループを必須に設定する必要があります。

プロジェクトアクセスキーの確認

プロジェクトアクセスキーは、WhaTapサービスを有効にするための固有IDです。

インストール手順セクションでプロジェクトアクセスキーの発行ボタンをクリックします。プロジェクトアクセスキーが自動的に発行されると、次の手順に進みます。

Tips

プロジェクトを作成すると、自動的にエージェントインストールページに移動します。エージェントインストールページが表示されない場合は、左側のメニューから全プロジェクトを選択し、新しく作成したプロジェクトを選択します。

ノート

プロジェクトアクセスキー

すでにプロジェクトアクセスキーを発行している場合、ボタンの代わりに発行されたキーが表示されます。

WhaTap Forwarderインストール

ログ送信用のWhaTap ForwarderをAWS Lambda Functionとしてインストールします。 AWS Cloud Formationでインストールを行います。 WhaTapエージェントのインストール > インストール手順セクションのWhaTap Forwarderインストールタブを参照してください。 次のインストール入力情報が必要です。

  • AWS Region

    WhaTap ForwarderをインストールするAWS Regionを選択してください。収集対象リソースと同じRegionである必要があります。

  • CloudFormation Stack Name

    WhaTap Forwarderのインストール及び削除に使用されるCloudFormation Stack名前を指定します。

  • ConnectionTimeOut Second

    既定値10

    WhaTap ForwarderがWhaTap収集サーバーに接続するときのタイムアウト時間(秒)を指定します。

  • MemorySize Int

    既定値 1024

    WhaTap Forwarderのメモリ割り当てサイズ(MB)を指定します。

  • Timeout Second

    既定値150

    WhaTap Forwarderの休止期間(秒)を指定します。ログの送信リクエストがない場合に、Lambda Functionが削除されるまでの時間を指定します。

  • UseReservedConcurrency Boolean

    既定値false

    ログを安定して送信するために、WhaTap Forwarderに割り当てる最大Functionの数の指定可否を設定します。

  • ReservedConcurrency Second

    既定値10

    UseReservedConcurrencyの値がtrueである場合、WhaTap Forwarderに割り当てるFunctionの数を指定します。AWSアカウントごとにデフォルトで割り当てられるFunctionの数は1,000です。ユーザーが使用できるFunctionの総数はアカウントあたりの総割り当てFunction数(1,000)でReservedConcurrencyの設定の値を引いたものに制限されます。

  • cloudfrontPrefix String

    既定値cloudfront

    CloudFrontからS3へLogを送信する際に設定する接頭辞の値を意味します。

CloudFormation Stackインストール

WhaTap Forwarder

WhaTap Forwarder create stack

  1. インストール手順セクションのnumber 1 WhaTap Forwarderインストールタブでnumber 2 AWS Regionを選択してください。

  2. number 3 WhaTap Forwarderインストールページ ボタンを選択し、CloudFormation実行ページに移動してください。

  3. CloudFormation実行ページでインストールオプションを指定してください。 デフォルトのパラメータは入力されています。

  4. 下段からnumber 4承認をチェックした後、number 5 Create stackボタンを選択してください。 インストールには約2分かかります。

WhaTap ForwarderのARN取得

WhaTap Forwarder arn1

  1. 上段右側のnumber 1更新ボタンをクリックしてスタック作成の進行状況を確認してください。

    ノート

    スタックをインストールする最後のステップであるWhaTapAWSLogの作成が進行中の場合、WhaTapForwarderARNを取得することができます。

  2. Logical IDがWhaTapAWSLOGとして指定されたリソースのnumber 2Pyhsical IDを選択し、WhaTap Forwarderの詳細画面に移動してください。

  3. 詳細画面の右側にあるDescription領域でnumber 3Function ARN(WhaTap Forwarder ARN)を確認することができます。

  4. 次のステップのためにコピーします。

インストール失敗時のチェックリスト

権限設定

次のようなエラーメッセージが発生した場合、権限付与の有無を確認してください。

User {user name} is not authorized to perform

  • 必要権限

    • CloudFormationインストールに関するポリシー
    • AWS Logコードをインポートするためのポリシー
    • AWS Logを作成し、必要な権限を付与するためのポリシー
    • AWS LogにPolicyを作成するためのポリシー
    AWS Log Required roles
    {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Sid": "VisualEditor0",
              "Effect": "Allow",
              "Action": [
                  "iam:GetRole",
                  "iam:GetRolePolicy",
                  "iam:CreateRole",
                  "iam:PutRolePolicy",
                  "iam:PassRole",
                  "iam:AttachRolePolicy",
                  "cloudformation:ListStacks",
                  "cloudformation:DescribeStackResource",
                  "cloudformation:GetTemplateSummary",
                  "cloudformation:DescribeStacks",
                  "cloudformation:DescribeStackEvents",
                  "cloudformation:CreateStack",
                  "cloudformation:GetTemplate",
                  "cloudformation:ValidateTemplate",
                  "lambda:CreateFunction",
                  "lambda:InvokeFunction",
                  "lambda:GetFunction",
                  "lambda:AddPermission",
                  "s3:CreateBucket",
                  "s3:GetObject"
              ],
              "Resource": "*"
          }
      ]
    }

スタック名

次のエラーメッセージが表示された場合は、Cloud Formationスタック名を変更してください。

Stack {stack name} already exists

AWS IAMポリシーとロール作成

WhaTap ForwarderがユーザーのAWS環境リソースログを受信するには、IAMポリシーIAMロールが必要です。WhaTap Forwarderを設定するためのIAMポリシーとIAMロールを作成したことがない場合は、新規作成してください。

IAMポリシーの作成

アクセス対象のリソースに対する許可または拒否を指定します。WhaTapエージェントインストール > インストール案内セクションのAWS IAMポリシー作成タブを参照して進めてください。欠落したポリシーがある場合、設定は正常に行われません。

IAMポリシー作成

  1. AWS Management Consoleにログインしてから、IAMコンソールを開きてください。

  2. IAMコンソールでPolicyタブを選択してください。

  3. Create Policyボタンを選択し、次のポリシーをコピーしてから、number 1 JSONタブに貼り付けてください。

    IAM policy
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "VisualEditor0",
                "Effect": "Allow",
                "Action": [
                    "s3:List*",
                    "s3:PutBucketNotification",
                    "s3:GetBucketNotification",
                    "logs:PutSubscriptionFilter",
                    "logs:DescribeLogGroups",
                    "lambda:ListFunctions",
                    "logs:DescribeSubscriptionFilters",
                    "s3:GetBucketNotification"
                ],
                "Resource": "*"
            },
            {
                "Effect": "Allow",
                "Action": "lambda:UpdateFunctionCode",
                "Resource": "*",
                "Condition": {
                    "ForAllValues:StringEquals": {
                        "aws:TagKeys": "WhaTapForwarder"
                    }
                }
            },
            {
                "Effect": "Allow",
                "Action": "s3:GetObject",
                "Resource": [
                    "arn:aws:s3:::whatapforwarder",
                    "arn:aws:s3:::whatapforwarder/whatap.zip"
                ]
            }
        ]
    }

  4. 下段のnumber 2 Review Policyボタンをクリックしてください。

  5. number 3ポリシー名を指定してください。

  6. 下段のnumber 4Create Policyボタンを選択してください。

ノート

IAMポリシー内の権限

IAMポリシーは、次の権限を割り当てます。

  • S3保存リストの照会権限
  • S3バケットにオブジェクトをマウントする時に通知を取得するアクセス権限
  • CloudWatch Logサブスクリプションフィルターのアクセス権限
  • CloudWatch Logグループの参照権限

IAMロールの作成

作成したリソースのアクセス権限をどのAWSアカウントに許可するかを指定し、直前に作成したIAMポリシーをマッピングします。 WhaTapエージェントインストール > インストールガイドセクションのAWS IAMロールの作成タブを参照してください。

  1. AWS Management Consoleにログインしてから、IAMコンソールを開きてください。

  2. コンソールのナナビゲーションウィンドウでRolesを選択し、number 1Create roleボタンを選択してください。

    IAM Role 1

  3. Select type of trusted entityからnumber 2 AWS accountを選択し、number 3 Account IDにWhaTapアカウント(911937781722)を入力してください。

    IAM Role 2

  4. 下段のNextボタンを選択してください。

  5. 既存のステップから作成したnumber 4 IAMポリシーを選択してください。

    IAM Role 3

  6. 下段のNextボタンを選択してください。

  7. IAMロールのnumber 5名前を入力してください。

    IAM Role 4

  8. Create Roleボタンを選択してください。

  9. 情報タブで作成されたnumber 6 IAM Role ARNが確認できます。

    IAM Role 5

  10. 次のステップのため、IAM Role ARNをコピーしてください。

AWS Logのサブスクリプション

ノート

CloudWatch LogとS3にマウントされたArchive Logを購読することができます。

AWS CloudWatch Logの参照およびサブスクリプション

WhaTapエージェント設定>インストール手順セクションのAWS Resource Log表示およびサブスクリプションタブで上部のAWS CloudWatch Log Groupを選択してください。

AWS CloudWatch Logの参照およびサブスクリプション

  1. AWS Logがインストールされnumber 1 AWS Regionを選択してください。

  2. 既存のステップから入手したWhaTap Forwarder ARNをコピーしてnumber 2 AWS IAM Role ARNに貼り付けてください。

  3. number 3 参照ボタンを選択して、サブスククリプション可能なAWSリソースを表示します。

  4. 表示されたリソースの中でnumber 4サブスクリプションする対象を選択してください。

  5. number 5 登録ボタンをクリックしてください。

ノート

検索およびサブスクリプションに失敗した場合

  • IAM Role Policyに不足しているポリシーがないことを確認してください。
  • IAM Role作成過程で信頼ポリシーを正しく設定したことを確認してください。

AWS S3 Bucketのサブスクリプション

WhaTapエージェント設定>インストール手順セクションのAWS Resource Log検索およびサブスクリプションタブで上部のAWS S3 Bucketを選択してください。

AWS S3 Bucketの参照およびサブスクリプション

  1. AWS Logがインストールされnumber 1 AWS Regionを選択してください。

  2. 既存のステップから取得したWhaTap Forwarder ARNをコピーしnumber 2 AWS IAM Role ARNに貼り付けてください。

  3. number 3 参照ボタンを選択して、サブスククリプション可能なAWSリソースを表示します。

  4. 表示されたリソースの中でnumber 4サブスクリプションする対象を選択してください。

  5. number 5 登録ボタンをクリックしてください。

モニタリングの開始

AWS Logモニタリングの開始

インストールを完了した後、管理 > ログ設定メニューに移動してください。 ログモニタリングの開始セクションでログモニタリングサービスのアクティブ化トグルボタンをクリックし、AWS Logモニタリングを開始してください。

  • アイコントグルボタンをオンにすると、ログモニタリンがアクティブになります。
  • アイコントグル ボタンをオフにするとログモニタリンが無効になります。ログは保存されなくなります。

モニタリングを有効にすると、ダッシュボード>ライブテールメニューからログの出力を確認することができます。

ノート

プロジェクトの修正権限がある場合に限り、ログモニタリングをアクティブにすることができます。権限の詳細については、次の文書を参照してください。