翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# OpenSearch Service での Amazon CloudWatch Logs データソース統合の作成
オブザーバビリティのニーズに合わせて Amazon OpenSearch Serverless を使用する場合、OpenSearch Service にデータをコピーまたは取り込まなくても Amazon CloudWatch Logs を分析できるようになりました。この機能は、OpenSearch Service から Amazon S3 のデータを分析するのと同様に、ダイレクトクエリを活用してデータをクエリします。まず、 AWS マネジメントコンソールから接続された新しいデータソースを作成します。
CloudWatch Logs で運用ログをダイレクトクエリするために、Amazon OpenSearch Serverless を構築する必要はなく、CloudWatch Logs データを分析する新しいデータソースを作成できます。これにより、OpenSearch Service の外部にあるアクセス済みの運用データを分析できます。OpenSearch Service と CloudWatch Logs をまたいでクエリを実行することで、まずは CloudWatch Logs のログの分析を開始し、ツールを切り替えることなく OpenSearch のデータソースのモニタリングに戻ることができます。
この機能を使用するには、 AWS マネジメントコンソールを使用して OpenSearch Service の CloudWatch Logs ダイレクトクエリデータソースを作成します。
**Topics**
+ [前提条件](#direct-query-cloudwatch-logs-prereq)
+ [手順](#direct-query-cloudwatch-logs-create)
+ [次の手順](#direct-query-cloudwatch-logs-next-steps)
+ [その他のリソース](#direct-query-cloudwatch-logs-additional-resources)
## 前提条件
作業を始める前に、以下の文書を確認したか確かめてください:
+ [制限事項](direct-query-cloudwatch-logs-overview.md#direct-query-cloudwatch-logs-limitations)
+ [推奨事項](direct-query-cloudwatch-logs-overview.md#direct-query-cloudwatch-logs-recommendations)
+ [クォータ](direct-query-cloudwatch-logs-overview.md#direct-query-cloudwatch-logs-quotas)
データソースを作成する前に、 に次のリソースが必要です AWS アカウント。
+ **CloudWatch ログを有効化します。**OpenSearch リソース AWS アカウント と同じ でログを収集するように CloudWatch Logs を設定します。 OpenSearch 手順については、「Amazon CloudWatch Logs ユーザーガイド」の「[Getting started with CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)」を参照してください。
+ **1 つ以上の CloudWatch ロググループ。**クエリするデータを含むロググループを指定できます。CloudWatch Logs グループの作成方法については、「Amazon CloudWatch Logs ユーザーガイド」の「[CloudWatch Logs にロググループを作成する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html)」を参照してください。
+ **(オプション) 手動で作成された IAM ロール。**このロールを使用して、データソースへのアクセスを管理できます。または、OpenSearch Service で必要なアクセス許可を持つロールを自動的に作成することも可能です。手動で作成した IAM ロールを使用する場合は、[手動で作成された IAM ロールに必要なアクセス許可](#direct-query-cloudwatch-logs-additional-resources-required-permissions) にあるガイダンスに従ってください。
## 手順
AWS マネジメントコンソールを使用してコレクションレベルのクエリデータソースを設定できます。
### を使用してコレクションレベルのデータソースを設定するには AWS マネジメントコンソール
1. Amazon OpenSearch Service コンソール ([https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/)) に移動します。
1. 左側のナビゲーションペインで、**[中央管理]** に移動し、**[接続されたデータソース]** を選択します。
1. **接続** を選択します。
1. データソースタイプとして **[CloudWatch]** を選択します。
1. **[次へ]** を選択します。
1. **[データ接続の詳細]** で、名前とオプションの説明を入力します。
1. **[IAM ロール]** で、ロググループへのアクセスを管理する方法を選択します。
1. このデータソースのロールを自動的に作成する場合は、次の手順に従います。
1. **[新しいロールを作成する]** を選択します。
1. IAM ロールの名前を入力します。
1. 1 つ以上のロググループを選択して、クエリできるデータを定義します。
1. 自分で管理している既存のロールを使用する場合は、次の手順に従います。
1. **[既存のロールを使用]** を選択します。
1. ドロップダウンメニューから既存のロールを選択します。
**注記**
独自のロールを使用する場合は、IAM コンソールから必要なポリシーをアタッチして、すべての必要なアクセス許可があることを確認する必要があります。詳細については、「[手動で作成された IAM ロールに必要なアクセス許可](#direct-query-cloudwatch-logs-additional-resources-required-permissions)」を参照してください。
1. (オプション) **アクセスポリシー**で、データソースのアクセスポリシーを設定します。アクセスポリシーは、OpenSearch Service ダイレクトクエリデータソースへのリクエストを受け入れるか拒否するかを制御します。アクセスポリシーを設定しない場合、データソース所有者のみがアクセスできます。アクセスポリシーを設定してクロスアカウントアクセスを有効にし、他の のプリンシパル AWS アカウント がデータソースにアクセスできるようにします。
アクセスポリシーを作成するには、ビジュアルエディタを使用するか、JSON ポリシードキュメントを指定します。ビジュアルエディタでは、プリンシパル AWS アカウント ID、アカウント ARN、IAM ユーザー ARN、IAM ロール ARN、ソース IP アドレス、または CIDR ブロックを指定することで、アクセスを許可または拒否できます。ビジュアルエディタは、最大 10 個の要素をサポートします。10 個を超える要素を含むポリシーを定義するには、JSON エディタを使用します。
**インポートポリシー**を選択して、別のデータソースから既存のアクセスポリシーをインポートすることもできます。
1. (オプション) **[タグ]** で、データソースにタグを追加します。
1. [**次へ**] を選択します。
1. **[OpenSearch のセットアップ]** で、OpenSearch のセットアップ方法を選択します。
1. デフォルトの設定を使用します。
1. デフォルトのリソース名とデータ保持設定を確認します。カスタム名を使用することをお勧めします。
デフォルト設定を使用すると、新しい OpenSearch アプリケーションと専用の Essentials ワークスペースが追加料金なしで作成されます。OpenSearch を使用すると、複数のデータソースを分析できます。これにはワークスペースが含まれており、一般的なユースケースに合わせてカスタマイズされたエクスペリエンスを提供します。WorkSpaces はアクセス制御に対応しているため、ユースケースに応じたプライベートスペースを作成し、共同作業者とのみ共有することができます。
1. カスタマイズされた設定を使用します:
1. **[カスタマイズ]** を選択します。
1. 必要に応じて、コレクション名とデータ保持設定を編集します。
1. 使用する OpenSearch アプリケーションとワークスペースを選択します。
1. [**次へ**] を選択します。
1. 選択内容を確認し、変更を加える必要がある場合は **[編集]** を選択します。
1. **[コネクタ]** を選択して、データソースをセットアップします。データソースの作成中は、このページにとどまってください。準備ができたら、データソースの詳細ページに移動します。
## 次の手順
### OpenSearch Dashboards にアクセスする
データソースを作成すると、OpenSearch Service は OpenSearch Dashboards URL を提供します。これを使用して、アクセス制御の設定、テーブルの定義、一般的なログタイプ用のログタイプベースのダッシュボードの設定、および SQL や PPL を使用したデータのクエリを実行できます。
詳細については、「[OpenSearch Dashboards での CloudWatch Logs データソースの設定およびクエリ](direct-query-cloudwatch-logs-configure.md)」を参照してください。
## その他のリソース
### 手動で作成された IAM ロールに必要なアクセス許可
データソースを作成するときは、データへのアクセスを管理する IAM ロールを選択します。これには 2 つのオプションがあります。
1. 新しい IAM ロールを自動で作成する
1. 手動で作成した既存の IAM ロールを使用する
手動で作成したロールを使用する場合は、そのロールに正しいアクセス許可をアタッチする必要があります。そのアクセス許可は、特定のデータソースへのアクセスを許可するものであり、OpenSearch Service がロールを引き継ぐことを許可する必要があります。これは、OpenSearch Service がデータに安全にアクセスして操作できるようにするために必要です。
次のサンプルポリシーは、データソースの作成と管理に必要な最小特権の許可を示しています。`logs:*` または `AdminstratorAccess` ポリシーなどのより広範な許可を持っている場合、これらの許可にはサンプルポリシーの最小特権が含まれます。
次のサンプルポリシーでは、{{placeholder text}} をユーザー自身の情報に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonOpenSearchDirectQueryAllLogsAccess",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:StartQuery",
"logs:GetLogGroupFields"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{111122223333}}"
}
},
"Resource": [
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:*"
]
}
]
}
```
------
また、ロールには、ターゲット ID を指定する次の信頼ポリシーが必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "TrustPolicyForAmazonOpenSearchDirectQueryService",
"Effect": "Allow",
"Principal": {
"Service": "directquery.opensearchservice.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:opensearch:{{us-east-1}}:{{111122223333}}:{{datasource}}/{{rolename}}"
}
}
}
]
}
```
------
ロールを作成する手順については、「[カスタム信頼ポリシーを使用したロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html)」を参照してください。
デフォルトでは、ロールは直接クエリデータソースインデックスにのみアクセスできます。データソースへのアクセスを制限または許可するようにロールを設定できますが、このロールのアクセスは調整しないことをお勧めします。**データソースを削除すると、このロールは削除されます**。これにより、他のユーザーがロールにマッピングされている場合、そのユーザーのアクセスは削除されます。
### ダイレクトクエリデータソースのサンプルアクセスポリシー
直接クエリデータソースのアクセスポリシーは、IAM ポリシー構文に従います。ポリシードキュメントは有効な JSON 形式である必要があります。次のポリシー例では、直接クエリデータソースへの特定の AWS アカウント アクセスを許可します。
次のサンプルポリシーでは、{{placeholder text}} をユーザー自身の情報に置き換えます。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{account-id}}:root"
},
"Action": [
"opensearch:StartDirectQuery",
"opensearch:GetDirectQuery",
"opensearch:CancelDirectQuery",
"opensearch:GetDirectQueryResult"
],
"Resource": "arn:aws:opensearch:{{region}}:{{account-id}}:datasource/{{data-source-name}}"
}
]
}
```
アクセスポリシーを設定しない場合、データソース所有者のみがデータソースにアクセスできます。