翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CloudWatch Logs を使用してモデル呼び出しをモニタリングする
モデル呼び出しログ記録を使用して、 内のすべての呼び出しの呼び出しログ、モデル入力データ、モデル出力データを収集できます。 AWS アカウント Amazon Bedrock で使用されます。
呼び出しのログ記録を使用すると、アカウントで実行したすべての呼び出しに関連する完全なリクエストデータ、応答データ、およびメタデータを収集できます。ログ記録は、ログデータが公開される送信先リソースを出力するように設定できます。サポートされている送信先には、Amazon CloudWatch Logs と Amazon Simple Storage Service (Amazon S3) が含まれます。同じアカウントとリージョンの送信先のみがサポートされます。
モデル呼び出しのログ記録はデフォルトで無効になっています。
次のオペレーションでは、モデルの呼び出しをログに記録できます。
Converse を使用する場合API、渡されたイメージまたはドキュメントデータは Amazon S3 に記録されます (Amazon Amazon S3で配信とイメージのログ記録を有効にしている場合)。
呼び出しログ記録を有効にする前に、Amazon S3 または CloudWatch Logs の送信先を設定する必要があります。呼び出しログ記録は、 コンソールまたは から有効にできますAPI。
Amazon S3 送信先をセットアップする
Amazon Bedrock にログインするために S3 送信先をセットアップするには、以下の手順に従います。
-
ログが配信される S3 バケットを作成します。
-
バケットポリシーを以下のバケットポリシーのように追加します ( の値を置き換えます。
accountId,region,bucketName、およびオプションprefix):注記
アクセス許可
S3:GetBucketPolicyとS3:PutBucketPolicyを使用してログ記録を設定すると、ユーザーに代わって自動的にバケットポリシーがバケットに追加されます。{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonBedrockLogsWrite", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucketName/prefix/AWSLogs/accountId/BedrockModelInvocationLogs/*" ], "Condition": { "StringEquals": { "aws:SourceAccount": "accountId" }, "ArnLike": { "aws:SourceArn": "arn:aws:bedrock:region:accountId:*" } } } ] } -
(オプション) バケットで SSE-KMS を設定する場合は、KMSキーに以下のポリシーを追加します。
{ "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "kms:GenerateDataKey", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "accountId" }, "ArnLike": { "aws:SourceArn": "arn:aws:bedrock:region:accountId:*" } } }
S3 SSE-KMS 設定の詳細については、KMS「暗号化の指定」を参照してください。
注記
バケットポリシーを有効にするには、バケットを無効にするACL必要があります。詳細については、「すべての新しいバケットACLsの無効化」および「オブジェクト所有権の強制」を参照してください。
Logs CloudWatch 送信先を設定する
Amazon Bedrock にログインするための Amazon CloudWatch Logs の送信先は、次の手順で設定できます。
-
CloudWatch ログが公開されるロググループを作成します。
-
Logs に対して次のアクセス許可を持つ CloudWatch IAMロールを作成します。
信頼されたエンティティ:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "accountId" }, "ArnLike": { "aws:SourceArn": "arn:aws:bedrock:region:accountId:*" } } } ] }ロールポリシー:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:region:accountId:log-group:logGroupName:log-stream:aws/bedrock/modelinvocations" } ] }
CloudWatch ログSSEの設定の詳細については、「 を使用して CloudWatch ログデータを暗号化する」を参照してください。 AWS Key Management Service.
コンソールを使用したモデル呼び出しログ記録
モデル呼び出しのログ記録を有効にするには、[設定] ページの [ログ記録] トグルスイッチの横にあるスライダーボタンをドラッグします。ログ記録用の追加構成設定がパネルに表示されます。
ログに公開するデータリクエストとレスポンスを選択します。以下の出力オプションの任意の組み合わせを選択することもできます。
-
テキスト
-
イメージ
-
埋め込み
ログを公開する場所を選択します。
-
Amazon S3 のみ
-
CloudWatch ログのみ
-
Amazon S3 と CloudWatch ログの両方
Amazon S3 および CloudWatch Logs の送信先は、呼び出しログと小さな入出力データでサポートされています。大量の入出力データやバイナリイメージ出力には、Amazon S3 のみが対応しています。以下の詳細は、ターゲット送信先でのデータの表示方法をまとめたものです。
-
S3 送信先 — それぞれに呼び出しログレコードのバッチが含まれている Gzipped JSON ファイルは、指定された S3 バケットに配信されます。 CloudWatch Logs イベントと同様に、各レコードには呼び出しメタデータと、最大 JSON 100 KB のサイズの入出力本文が含まれます。100 JSON KB を超えるバイナリデータまたは本文は、データプレフィックスの下にある指定された Amazon S3 バケット内の個々のオブジェクトとしてアップロードされます。データは Amazon S3 Select と Amazon Athena を使用してクエリでき、 ETLを使用してカタログ化できます。 AWS Glue。 データは OpenSearch サービスにロードすることも、Amazon EventBridge ターゲットで処理することもできます。
-
CloudWatch ログの送信先 — JSON 呼び出しログイベントは、 CloudWatch Logs の指定されたロググループに配信されます。ログイベントには、呼び出しメタデータと、最大 JSON 100 KB のサイズの入出力本文が含まれます。大規模なデータ配信用の Amazon S3 の場所を指定すると、代わりに 100 KB を超えるバイナリデータまたはJSON本文がデータプレフィックスの Amazon S3 バケットにアップロードされます。 データは CloudWatch Logs Insights を使用してクエリでき、 CloudWatch Logs を使用してさまざまなサービスにリアルタイムでさらにストリーミングできます。
を使用したモデル呼び出しログ記録 API
モデル呼び出しのログ記録は、次の を使用して設定できますAPIs。
