# 開始方法
Amazon Bedrock AgentCore には、AgentCore モジュラーサービスのパフォーマンスをモニタリングするための組み込みメトリクス、ログ、トレースが用意されています。このデータは Amazon CloudWatch で表示できます。すべての AgentCore モジュールサービスからオブザーバビリティデータの全範囲にアクセスするには、AWS Distro for OpenTelemetry (ADOT) SDK を使用してコードを計測します。
## エージェントリソースにオブザーバビリティを追加する
開始する前に、CloudWatch トランザクション検索を有効にします。詳細については、「[トランザクション検索を有効にする](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Enable-TransactionSearch.html)」を参照してください。
### AgentCore Runtime でホストされたエージェントのオブザーバビリティを有効にする
エージェントは、動的な AI エージェントとツールのデプロイとスケーリング専用の安全なサーバーレスランタイムである AgentCore Runtime でホストできます。AgentCore Runtime は、LangGraph、CrewAI、Strands Agents、任意のプロトコル、任意のモデルなどの任意のオープンソースフレームワークをサポートします。
AgentCore Runtime でホストされたエージェントのオブザーバビリティを有効にするには、「[カスタムオブザーバビリティを設定する](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/observability-configure.html#observability-configure-custom)」を参照してください。
ステップバイステップのチュートリアルについては、「[AgentCore Runtime でホストされたエージェントのオブザーバビリティの有効化](https://aws.github.io/bedrock-agentcore-starter-toolkit/user-guide/observability/quickstart.html#enabling-observability-for-agentcore-runtime-hosted-agents)」を参照してください。
### AgentCore 以外でホストされたエージェントのオブザーバビリティを有効にする
AgentCore の外部でエージェントをホストし、オブザーバビリティデータを CloudWatch に取り込み、エンドツーエンドのモニタリングを行うことができます。
AgentCore Runtime 以外でホストされたエージェントのオブザーバビリティを有効にするには、「[サードパーティーのオブザーバビリティを設定する](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/observability-configure.html#observability-configure-3p)」を参照してください。
ステップバイステップのチュートリアルについては、「[AgentCore 以外でホストされたエージェントのオブザーバビリティの有効化](https://aws.github.io/bedrock-agentcore-starter-toolkit/user-guide/observability/quickstart.html#enabling-observability-for-non-agentcore-hosted-agents)」を参照してください。
### AgentCore Memory、ゲートウェイ、組み込みツールリソースのオブザーバビリティを有効にする
AgentCore モジュラーサービスのメトリクスとトレースを可視化できます。詳細については、「[CloudWatch のオブザーバビリティを設定する](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/observability-configure.html#observability-configure-cloudwatch)」を参照してください。
### AgentCore Evaluations を有効にする
AgentCore Evaluations を可視化できます。AgentCore Evaluations は、AI エージェントのパフォーマンス、品質、信頼性をモニタリングおよび評価する機能を提供します。AgentCore Evaluations のオブザーバビリティを有効にするには、「[AgentCore Evaluations](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/evaluations.html)」を参照してください。
# CloudWatch でオブザーバビリティデータを表示する
エージェントリソースのオブザーバビリティを有効にすると、収集されたデータを CloudWatch で表示できます。
## GenAI Observability ダッシュボードを表示する
1. CloudWatch コンソールを開きます。
1. GenAI Observability ダッシュボードで、Amazon Bedrock AgentCore のモデル呼び出しとエージェントに関連するデータを表示します。
1. Amazon Bedrock AgentCore サブメニューでは、次のビューを選択できます。
+ **エージェントビュー** – ランタイムのオンとオフの両方のすべてのエージェントを一覧表示します。エージェントを選択して、そのエージェントに固有のランタイムメトリクス、セッション、トレース、評価を表示します。
+ **セッションビュー** – エージェントに関連付けられているすべてのセッションを巡回します。
+ **トレースビュー** – エージェントのトレースとスパン情報を表示します。トレースを選択してトレースの軌道とタイムラインを調べます
## ログの表示
1. CloudWatch コンソールを開きます。
1. ナビゲーションペインで、**[ログ]** を展開してから、**[ロググループ]** を選択します。
1. エージェントのロググループを検索します。
+ 標準ログ (stdout/stderr) – `/aws/bedrock-agentcore/runtimes/-/[runtime-logs] `
+ OTEL 構造化ログ – `/aws/bedrock-agentcore/runtimes/-/runtime-logs`
## トレースとスパンを表示します
1. CloudWatch コンソールを開きます。
1. ナビゲーションペインで、**[トランザクション検索]** を選択します。
1. `/aws/spans/default` に移動します。
1. サービス名またはその他の基準でフィルタリングします。
1. トレースを選択すると、詳細な実行グラフが表示されます。
## メトリクスの表示
1. CloudWatch コンソール を開きます。
1. ナビゲーションペインで [**Metrics (メトリクス)**] を選択してください。
1. **bedrock-agentcore** 名前空間に移動します。
1. 使用可能なメトリクスを確認します。
# 機密データの保護
Amazon CloudWatch Logs は、データ保護ポリシーを使用して機密データを識別し、そのデータを保護するためのアクションを定義します。目的の機密データを選択するには、データ識別子を使用します。そうすることで、Amazon CloudWatch Logs が機械学習とパターンマッチングを使用して機密データを検出するようになります。監査およびマスキングオペレーションを定義して、機密データの検出結果をログに記録し、ログイベントを表示するときに機密データをマスクできます。
詳細については、「[機密ログデータをマスキングで保護する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-data-protection-policies.html)」を参照してください。
Amazon Bedrock AgentCore のデータ保護は、**アカウントレベル**または**ロググループレベルで**設定できます。アカウントレベルのデータ保護では、データ保護ルールがアカウントのすべてのログに適用されます。ログレベルのデータ保護では、データ保護ルールをアカウントの特定のロググループに適用できます。これにより、アカウントで PII データをマスクする方法をきめ細かく制御できます。
**アカウントレベルでデータ保護を設定するには**
1. Amazon CloudWatch コンソールを開きます。
1. ナビゲーションペインで **[設定]** を選択します。
1. [**ログ**] タブを選択します。
1. **[データ保護アカウントポリシーを設定]** を選択します。
1. データに関連するデータ識別子を指定します。
+ 事前定義されたデータ識別子を使用するには、**[マネージドデータ識別子]** ドロップダウンで、データに関連するデータ識別子を選択します。
+ カスタムデータ識別子を使用するには、**[カスタムデータ識別子を追加]** を選択してから、識別子の名前と保護するデータの正規表現パターンを指定します。
1. (*オプション*) 監査の検出結果の送信先を選択します。
+ 監査の検出結果を CloudWatch ログに送信するには、**[Amazon CloudWatch Logs]** を選択してから、送信先のロググループを選択します。
+ 監査の検出結果を Firehose ストリームに送信するには、**[Amazon Data Firehose]** を選択してから、送信先の Firehose ストリームを選択します。
+ 監査の検出結果を Amazon S3 バケットに送信するには、**[Amazon S3]** を選択してから、送信先の Amazon S3 バケットを選択します。
1. **[Activate data protection]** (データ保護をアクティブにする) を選択します。
**ロググループレベルでデータ保護を設定するには**
1. Amazon CloudWatch コンソールを開きます。
1. ナビゲーションパネルで、**[ログ]**、**[ログ管理]** の順に選択します。
1. **[ロググループ]** タブを選択し、データ保護を有効にするロググループを選択してから、**[データ保護ポリシーを作成]** を選択します。
1. データに関連するデータ識別子を指定します。
+ 事前定義されたデータ識別子を使用するには、**[マネージドデータ識別子]** ドロップダウンで、データに関連するデータ識別子を選択します。
+ カスタムデータ識別子を使用するには、**[カスタムデータ識別子を追加]** を選択してから、識別子の名前と保護するデータの正規表現パターンを指定します。
1. (*オプション*) 監査の検出結果の送信先を選択します。
+ 監査の検出結果を CloudWatch ログに送信するには、**[Amazon CloudWatch Logs]** を選択してから、送信先のロググループを選択します。
+ 監査の検出結果を Firehose ストリームに送信するには、**[Amazon Data Firehose]** を選択してから、送信先の Firehose ストリームを選択します。
+ 監査の検出結果を Amazon S3 バケットに送信するには、**[Amazon S3]** を選択してから、送信先の Amazon S3 バケットを選択します。
1. **[Activate data protection]** (データ保護をアクティブにする) を選択します。