AWS Trusted Advisor メトリクスをモニタリングする Amazon CloudWatch アラームを作成する - AWS Support

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Trusted Advisor メトリクスをモニタリングする Amazon CloudWatch アラームを作成する

AWS Trusted Advisor がチェックを更新すると、Trusted Advisor は、チェック結果に関するメトリクスを CloudWatch に公開します。CloudWatch コンソールでメトリクスを表示できます。Trusted Advisor チェックのステータスの変化、リソースのステータスの変化、およびサービスクォータ使用量 (以前の名称は制限) を検出するアラームを作成することもできます。例えば、サービスの制限カテゴリのチェックのスタータスの変化を追跡するアラームを作成できます。その場合、AWSアカウントのサービスクォータに達するか、サービスクォータを超えたときにアラームが通知されます。

特定の Trusted Advisor メトリクスの CloudWatch アラームを作成するには、次の手順に従います。

前提条件

Trusted Advisor メトリクスの CloudWatch アラームを作成する前に、次の情報をレビューします。

  • CloudWatch がどのようにメトリクスとアラームを使用するかを理解します。詳細については、Amazon CloudWatch ユーザーガイドの「Amazon CloudWatch の仕組み」を参照してください。

  • Trusted Advisor コンソールまたは AWS Support API を使用してチェックを更新し、最新のチェック結果を取得します。詳細については、「チェック結果の更新」を参照してください。

Trusted Advisor メトリクスの CloudWatch アラームを作成するには
  1. CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/) を開きます。

  2. リージョンの選択ツールを使用して [米国東部(バージニア北部] AWS リージョンを選択します。

  3. ナビゲーションペインで、[Alarms] (アラーム) を選択します。

  4. [アラームの作成] を選択します。

  5. [Select metric] (メトリクスの選択) を選択します。

  6. [メトリクス] にディメンション値を入力してメトリクスリストをフィルターします。例えば、メトリクス名 ServiceLimitUsage またはディメンション (Trusted Advisor チェック名) を入力できます。

    ヒント
  7. 結果の表で、目的のメトリクスのチェックボックスを選択します。

    次の例では、チェック名は IAM アクセスキーの更新で、メトリクス名は YellowResources です。

    CloudWatch コンソールの Trusted Advisor の IAM パスワードポリシーチェック名のスクリーンショット。
  8. [Select metric] (メトリクスの選択) を選択します。

  9. [メトリクスと条件の指定] ページで、選択したメトリクス名チェック名 がページに表示されていることを確認します。

  10. [期間] では、チェックのステータスが変化したときにアラームを開始する期間 (5 分など) を指定できます。

  11. [条件] で [静的] を選択し、アラームを開始するアラーム条件を指定します。

    例えば、[以上 >= しきい値] を選択し、しきい値に「1」と入力すると、過去 90 日間に更新されていない IAM アクセスキーが Trusted Advisor で検出されたときにアラームが開始します。

    メモ
    • GreenChecksRedChecksYellowChecksRedResources、および YellowResources の各メトリクスで、0 以上の任意の整数であるしきい値を指定できます。

    • Trusted Advisor は、Trusted Advisor が問題を検出していないリソースである GreenResources のメトリクスは送信しません。

  12. [Next] (次へ) をクリックします。

  13. [アクションの設定] ページの [アラーム状態トリガー] で [アラーム状態] を選択します。

  14. [SNS トピックの選択] で既存の Amazon Simple Notification Service (Amazon SNS) トピックを選択するか、トピックを新規作成します。

    CloudWatch コンソールの Trusted Advisor メトリクスをモニタリングするアラームの通知設定のスクリーンショット
  15. [Next] (次へ) をクリックします。

  16. [名前と説明] にアラームの名前と説明を入力します。

  17. [Next] (次へ) をクリックします。

  18. [プレビューと作成] ページでアラームの詳細をレビューし、[アラームの作成] を選択します。

    [IAM アクセスキーの更新] チェックのステータスが 5 分間、赤になった場合、アラームは SNS トピックに通知を送信します。

例 : CloudWatch アラームの E メール通知

次の E メールメッセージは、アラームが IAM アクセスキーの更新チェックの変化を検出したことを示します。

You are receiving this email because your Amazon CloudWatch Alarm "IAMAcessKeyRotationCheckAlarm" in the US East (N. Virginia) region has entered the ALARM state, because "Threshold Crossed: 1 out of the last 1 datapoints [9.0 (26/03/21 22:44:00)] was greater than or equal to the threshold (1.0) (minimum 1 datapoint for OK -> ALARM transition)." at "Friday 26 March, 2021 22:49:42 UTC". View this alarm in the AWS Management Console: https://us-east-1.console.aws.amazon.com/cloudwatch/home?region=us-east-1#s=Alarms&alarm=IAMAcessKeyRotationCheckAlarm Alarm Details: - Name: IAMAcessKeyRotationCheckAlarm - Description: This alarm starts when one or more AWS access keys in my AWS account have not been rotated in the last 90 days. - State Change: INSUFFICIENT_DATA -> ALARM - Reason for State Change: Threshold Crossed: 1 out of the last 1 datapoints [9.0 (26/03/21 22:44:00)] was greater than or equal to the threshold (1.0) (minimum 1 datapoint for OK -> ALARM transition). - Timestamp: Friday 26 March, 2021 22:49:42 UTC - AWS Account: 123456789012 - Alarm Arn: arn:aws:cloudwatch:us-east-1:123456789012:alarm:IAMAcessKeyRotationCheckAlarm Threshold: - The alarm is in the ALARM state when the metric is GreaterThanOrEqualToThreshold 1.0 for 300 seconds. Monitored Metric: - MetricNamespace: AWS/TrustedAdvisor - MetricName: RedResources - Dimensions: [CheckName = IAM Access Key Rotation] - Period: 300 seconds - Statistic: Average - Unit: not specified - TreatMissingData: missing State Change Actions: - OK: - ALARM: [arn:aws:sns:us-east-1:123456789012:Default_CloudWatch_Alarms_Topic] - INSUFFICIENT_DATA:

Trusted Advisor の CloudWatch メトリクス

CloudWatch コンソールまたは AWS Command Line Interface (AWS CLI) を使用して、Trusted Advisor で使用可能なメトリクスを検索します。

メトリクスを発行するすべてのサービスの名前空間、メトリクス、ディメンションのリストについては、Amazon CloudWatch ユーザーガイドの「CloudWatch メトリクスを発行する AWS のサービス」を参照してください。

Trusted Advisor メトリクスの表示 (コンソール)

CloudWatch コンソールにサインインして、Trusted Advisor で使用可能なメトリクスを表示します。

使用可能な Trusted Advisor メトリクスを表示するには (コンソール)
  1. CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/) を開きます。

  2. リージョンの選択ツールを使用して [米国東部(バージニア北部] AWS リージョンを選択します。

  3. ナビゲーションペインで [Metrics] (メトリクス) を選択します。

  4. メトリックの名前空間を入力します(TrustedAdvisor など)。

  5. メトリクスのディメンションを選択します ([Check Metrics] など)。

    利用可能なメトリクスのスクリーンショットTrusted AdvisorCloudWatch コンソールに表示されます。
  6. [すべてのメトリクス] タブには、名前空間内のそのディメンションのメトリクスがすべて表示されます。以下の操作を行うことができます。

    1. テーブルを並べ替えるには、列見出しを選択します。

    2. メトリクスをグラフ表示するには、メトリクスの横にあるチェックボックスを選択します。すべてのメトリクスを選択するには、テーブルの見出し行にあるチェックボックスを選択します。

    3. メトリクスでフィルターするには、メトリクス名を選択し、[Add to search] (検索に追加) を選択します。

    次の例は、[セキュリティグループ - 開かれたポート] チェックの結果を示しています。このチェックでは、黄色の 13 個のリソースが識別されています。Trusted Advisor では、黄色のチェックを調査することが推奨されます。

    CloudWatch コンソールの [セキュリティグループ - 開かれたポート] チェックの 2 つのリソースメトリクスを示すグラフ。
  7. (オプション) このグラフを CloudWatch ダッシュボードに追加するには、[Actions] (アクション)、[Add to dashboard] (ダッシュボードに追加) の順に選択します。

    メトリクスを表示するグラフの作成の詳細については、Amazon CloudWatch ユーザーガイドの「メトリクスのグラフ化」を参照してください。

Trusted Advisor メトリクスの表示 (CLI)

list-metrics AWS CLI コマンドを使用して、Trusted Advisor で使用可能なメトリクスを表示できます。

例 : Trusted Advisor のすべてのメトリクスの一覧表示

次の例では、Trusted Advisor のすべてのメトリクスを表示する AWS/TrustedAdvisor 名前空間を指定します。

aws cloudwatch list-metrics --namespace AWS/TrustedAdvisor

出力は次のようになります。

{ "Metrics": [ { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "ServiceName", "Value": "EBS" }, { "Name": "ServiceLimit", "Value": "Magnetic (standard) volume storage (TiB)" }, { "Name": "Region", "Value": "ap-northeast-2" } ], "MetricName": "ServiceLimitUsage" }, { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "CheckName", "Value": "Overutilized Amazon EBS Magnetic Volumes" } ], "MetricName": "YellowResources" }, { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "ServiceName", "Value": "EBS" }, { "Name": "ServiceLimit", "Value": "Provisioned IOPS" }, { "Name": "Region", "Value": "eu-west-1" } ], "MetricName": "ServiceLimitUsage" }, { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "ServiceName", "Value": "EBS" }, { "Name": "ServiceLimit", "Value": "Provisioned IOPS" }, { "Name": "Region", "Value": "ap-south-1" } ], "MetricName": "ServiceLimitUsage" }, ... ] }
例 : ディメンションのすべてのメトリクスの一覧表示

次の例では、指定した AWS リージョンで使用可能なメトリクスを表示する AWS/TrustedAdvisor 名前空間と Region ディメンションを指定します。

aws cloudwatch list-metrics --namespace AWS/TrustedAdvisor --dimensions Name=Region,Value=us-east-1

出力は次のようになります。

{ "Metrics": [ { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "ServiceName", "Value": "SES" }, { "Name": "ServiceLimit", "Value": "Daily sending quota" }, { "Name": "Region", "Value": "us-east-1" } ], "MetricName": "ServiceLimitUsage" }, { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "ServiceName", "Value": "AutoScaling" }, { "Name": "ServiceLimit", "Value": "Launch configurations" }, { "Name": "Region", "Value": "us-east-1" } ], "MetricName": "ServiceLimitUsage" }, { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "ServiceName", "Value": "CloudFormation" }, { "Name": "ServiceLimit", "Value": "Stacks" }, { "Name": "Region", "Value": "us-east-1" } ], "MetricName": "ServiceLimitUsage" }, ... ] }
例 : 特定のメトリクス名のメトリクスの一覧表示

次の例では、この指定のメトリクスの結果だけを表示する AWS/TrustedAdvisor 名前空間と RedResources メトリクス名を指定します。

aws cloudwatch list-metrics --namespace AWS/TrustedAdvisor --metric-name RedResources

出力は次のようになります。

{ "Metrics": [ { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "CheckName", "Value": "Amazon RDS Security Group Access Risk" } ], "MetricName": "RedResources" }, { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "CheckName", "Value": "Exposed Access Keys" } ], "MetricName": "RedResources" }, { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "CheckName", "Value": "Large Number of Rules in an EC2 Security Group" } ], "MetricName": "RedResources" }, { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "CheckName", "Value": "Auto Scaling Group Health Check" } ], "MetricName": "RedResources" }, ... ] }

Trusted Advisor のメトリクスとディメンション

CloudWatch アラームとグラフで使用できる Trusted Advisor メトリクスおよびディメンションについては、次の表を参照してください。

Trusted Advisor チェックレベルメトリクス

Trusted Advisor チェックの次のメトリクスを使用できます。

メトリクス 説明
RedResources

赤色の状態のリソースの数 (アクションが推奨されます)。

YellowResources

黄色の状態のリソースの数 (調査が推奨されます)。

Trusted Advisor カテゴリレベルメトリクス

Trusted Advisor カテゴリの次のメトリクスを使用できます。

メトリクス 説明
GreenChecks

緑色の状態の Trusted Advisor チェックの数 (問題は検出されていません)。

RedChecks

赤色の状態の Trusted Advisor チェックの数 (アクションが推奨されます)。

YellowChecks

黄色の状態の Trusted Advisor チェックの数 (調査が推奨されます)。

Trusted Advisor サービスクォータレベルメトリクス

AWS のサービス Quotas の次のメトリクスを使用できます。

メトリクス 説明
ServiceLimitUsage

サービスクォータ (以前の名称は制限) に対するリソース使用状況の割合。

チェックレベルメトリクスのディメンション

Trusted Advisor チェックの次のディメンションを使用できます。

ディメンション 説明
CheckName

Trusted Advisor チェックの名前。

すべてのチェック名は、Trusted Advisor コンソールまたは AWS Trusted Advisor チェックリファレンス に表示されます。

カテゴリレベルメトリクスのディメンション

Trusted Advisor チェックカテゴリの次のディメンションを使用できます。

ディメンション 説明
Category

Trusted Advisor チェックカテゴリの名前。

すべてのチェックカテゴリは、Trusted Advisor コンソールまたは [チェックカテゴリの表示] ページに表示されます。

サービスクォータメトリクスのディメンション

Trusted Advisor サービスクォータメトリクスの次のメトリクスを使用できます。

ディメンション 説明
Region

Service Quotas の AWS リージョン。

ServiceName

AWS のサービス の名前。

ServiceLimit

サービスクォータの名前。

Service Quotas の詳細については、「AWS 全般のリファレンス」の「AWS のサービス クォータ」を参照してください。