メニュー
Amazon CloudWatch ログ
ユーザーガイド

クイックスタート: 既存の Amazon EC2 インスタンスに CloudWatch Logs エージェントをインストールして設定する

既存の EC2 インスタンスで CloudWatch Logs エージェントインストーラを使用して、CloudWatch Logs エージェントをインストールして設定できます。 インストールが完了すると、エージェントは開始を確認し無効にされるまで実行し続けます。

エージェントに加えて、 AWS CLI、CloudWatch Logs、SDK、または CloudWatch Logs API を使用してログデータを発行できます。 AWS CLI は、コマンドラインまたはスクリプトでのデータの発行に適しています。 CloudWatch Logs SDK は、アプリケーションから直接、または独自のログ発行アプリケーションを構築してログデータを発行する場合に適しています。

ステップ 1: IAM ロールまたは CloudWatch Logs ユーザーを設定する

CloudWatch Logs エージェントは IAM ロールとユーザーをサポートしています。インスタンスに関連付けられた IAM ロールがすでに存在する場合、その下に IAM ポリシーが含まれていることを確認してください。インスタンスに関連付けられた IAM ロールがまだ存在しない場合、次のステップで IAM 認証情報が必要になります。既存のインスタンスに IAM ロールを割り当てることはできません。新しいインスタンスを起動するときにのみロールを指定できます。

詳細については、『IAM ユーザーガイド』の「IAM ユーザーとグループ」と「IAM ポリシーの管理」を参照してください。

IAM ロールまたは CloudWatch Logs ユーザーを設定するには

  1. https://console.aws.amazon.com/iam/ で Identity and Access Management (IAM) コンソールを開きます。

  2. ナビゲーションペインで、[Roles] 、[Role Name] の順に選択して、IAM ロールを選択します。

  3. [Permissions] タブの [Inline Policies] で、[Create Role Policy] を選択します。

  4. [Set Permissions] ページで、 [Custom Policy]、[Select] を選択します。

    カスタムポリシーの作成の詳細については、『Linux インスタンス用 Amazon EC2 ユーザーガイド』の「Amazon EC2 の IAM ポリシー」を参照してください。

  5. [Review Policy] ページで、[Policy Name] にポリシーの名前を入力します。

  6. [Policy Document] に、次のポリシーをコピーして貼り付けます。

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "logs:CreateLogGroup",
            "logs:CreateLogStream",
            "logs:PutLogEvents",
            "logs:DescribeLogStreams"
        ],
          "Resource": [
            "arn:aws:logs:*:*:*"
        ]
      }
     ]
    }
  7. [Apply Policy] を選択します。

ステップ 2: 既存の Amazon EC2 インスタンスに CloudWatch Logs をインストールして設定する

CloudWatch Logs エージェントのインストール手順は、Amazon EC2 インスタンスが Amazon Linux、Ubuntu、CentOS、Red Hat のどれを実行しているかによって異なります。インスタンスの Linux のバージョンに適切な手順を使用してください。

既存の Amazon Linux インスタンスに CloudWatch Logs をインストールして設定するには

Amazon Linux AMI 2014.09 から、awslogs パッケージを使用した RPM のインストールに CloudWatch Logs エージェントが使用可能です。それ以前のバージョンの Amazon Linux は、sudo yum update -y コマンドを使用してインスタンスを更新することで awslogs パッケージにアクセスできます。CloudWatch Logs インストーラを使用する代わりに awslogs パッケージを RPM としてインストールすると、インスタンスは AWS から通常の更新とパッチのパッケージを受信します。CloudWatch Logs エージェントを手動で再インストールする必要はありません。

Caution

以前に Python スクリプトを使用してエージェントをインストールした場合は、RPM インストール方法を使用して CloudWatch Logs エージェントを更新しないでください。設定に問題が発生して CloudWatch Logs エージェントが CloudWatch にログを送信できなくなる恐れがあります。

  1. Amazon Linux インスタンスに接続します。詳細については、『Linux インスタンス用 Amazon EC2 ユーザーガイド』の「インスタンスへの接続」を参照してください。

    接続できない場合は『Linux インスタンス用 Amazon EC2 ユーザーガイド』の「インスタンスへの接続に関するトラブルシューティング」を参照してください。.

  2. Amazon Linux インスタンスを更新してパッケージリポジトリの最新の変更を取得します。

    [ec2-user ~]$ sudo yum update -y
  3. awslogs パッケージをインストールします。

    [ec2-user ~]$ sudo yum install -y awslogs
  4. /etc/awslogs/awscli.conf ファイルを編集し、[default] セクションで、ログデータを表示し認証情報を追加するリージョンを指定します。

    region = us-east-1
    aws_access_key_id = <YOUR ACCESS KEY>
    aws_secret_access_key = <YOUR SECRET KEY>

    Note

    インスタンスが IAM ロールまたは CloudWatch Logs の適切なアクセス権限を持つユーザーによって起動されている場合は、ここでの認証情報の追加はオプションです。

  5. /etc/awslogs/awslogs.conf ファイルを編集して追跡するログを設定します。 このファイルの編集方法については、「CloudWatch Logs エージェントのリファレンス」を参照してください。

  6. awslogs サービスを開始します。

    [ec2-user ~]$ sudo service awslogs start
    Starting awslogs:                                          [  OK  ]
  7. (オプション)/var/log/awslogs.log ファイルでサービス開始時に記録されたエラーがあるかどうか確認します。

  8. (オプション)システム起動時に毎回 awslogs サービスを起動する場合は、次のコマンドを実行します。

    [ec2-user ~]$ sudo chkconfig awslogs on
  9. エージェントが実行されてしばらくしたら、CloudWatch コンソールに新しく作成されたロググループとログストリームを確認してください。

    ログを表示するには、「ログデータの表示」を参照してください。

既存の Ubuntu Server、CentOS、Red Hat のインスタンスに CloudWatch Logs をインストールして設定するには

Ubuntu Server、CentOS、または Red Hat を実行する AMI を使用している場合、次の手順でインスタンスに CloudWatch Logs エージェントを手動インストールします。

  1. EC2 インスタンスに接続します。詳細については、『Linux インスタンス用 Amazon EC2 ユーザーガイド』の「インスタンスへの接続」を参照してください。

    接続できない場合は『Linux インスタンス用 Amazon EC2 ユーザーガイド』の「インスタンスへの接続に関するトラブルシューティング」を参照してください。.

  2. CloudWatch Logs エージェントインストーラを実行します。インスタンスのコマンドプロンプトを開き、次のコマンドを入力して、表示される手順に従います。

    Note

    Ubuntu では、次のコマンドを実行する前に apt-get update を実行してください。

    curl https://s3.amazonaws.com/aws-cloudwatch/downloads/latest/awslogs-agent-setup.py -O

    sudo python ./awslogs-agent-setup.py --region us-east-1

    Note

    us-east-1, us-west-1, us-west-2, ap-south-1, ap-northeast-2, ap-southeast-1, ap-southeast-2, ap-northeast-1, eu-central-1, eu-west-1, or sa-east-1 リージョンを指定することで CloudWatch Logs エージェントをインストールできます。

    CloudWatch Logs エージェントのインストーラはセットアップ時に特定の情報が必要です。開始する前に、モニタリングするログファイルとそのタイムスタンプ形式を知っておく必要があります。 また、次の情報を準備する必要があります。

    項目説明

    AWS アクセスキー ID

    IAM ロールを使用する場合は Enter キーを押します。 それ以外の場合は、AWS アクセスキー ID を入力します。

    AWS シークレットアクセスキー

    IAM ロールを使用する場合は Enter キーを押します。 それ以外の場合は、AWS シークレットアクセスキーを入力します。

    デフォルトリージョン名

    Enter キーを押します。デフォルトは us-east-1 です。us-east-1, us-west-1, us-west-2, ap-south-1, ap-northeast-2, ap-southeast-1, ap-southeast-2, ap-northeast-1, eu-central-1, eu-west-1, or sa-east-1 に設定できます。

    デフォルト出力形式

    空白にしたまま Enter キーを押します。

    アップロードするログファイルのパス

    送信するログデータを含むファイルの場所です。インストーラはパスの候補を表示します。

    送信先ロググループ名

    ロググループの名前です。インストーラはロググループ名の候補を表示します。

    送信先ログストリーム名

    デフォルトでは、ホストの名前です。インストーラはホスト名の候補を表示します。

    タイムスタンプ形式

    指定ログファイル内のタイムスタンプ形式を指定します。独自の形式を指定するには、[custom] を選択します。

    初期位置

    データをどのようにアップロードできますか データファイルのすべてをアップロードする場合は [start_of_file] に設定します。新しく付け加えられたデータのみをアップロードする場合は [end_of_file] に設定します。

    これらの手順が完了すると、インストーラは別のログファイルを設定するかどうか尋ねてきます。各ログファイルについて何回でもプロセスを実行できます。他にモニタリングするログファイルがない場合、別のログをセットアップするようにインストーラに求められた時に [N] を選択します。エージェント設定ファイルの設定の詳細については、「CloudWatch Logs エージェントのリファレンス」を参照してください。

    Note

    複数のログソースから単一のログストリームにデータを送信する設定はサポートされていません。

  3. エージェントが実行されてしばらくしたら、CloudWatch コンソールに新しく作成されたロググループとログストリームを確認してください。

    ログを表示するには、「ログデータの表示」を参照してください。

  4. オプション。後から認証情報を編集する必要がある場合は、/var/awslogs/etc/aws.conf ファイルおよび [default] セクションで、ログデータを表示し認証情報を追加するリージョンを指定します。

    region = <REGION>
    aws_access_key_id = <YOUR ACCESS KEY>
    aws_secret_access_key = <YOUR SECRET KEY>

    Note

    インスタンスが IAM ロールまたは CloudWatch Logs の適切なアクセス権限を持つユーザーによって起動されている場合は、ここでの認証情報の追加はオプションです。