Lambda 関数の高度なログ記録コントロールの設定
関数のログのキャプチャ、処理、使用方法をより細かく制御できるように、Lambda には以下のログ記録設定オプションが用意されています。
-
ログの形式 - 関数のログをプレーンテキスト形式と構造化された JSON 形式から選択します
-
ログレベル - JSON 構造化ログの場合、Lambda が CloudWatch に送信するログの詳細レベル (ERROR、DEBUG、INFO など) を選択します
-
ロググループ - 関数がログを送信する CloudWatch ロググループを選択します
高度なログ記録コントロールの設定の詳細については、以下のセクションを参照してください。
JSON とプレーンテキストのログフォーマットの設定
ログ出力を JSON キー値のペアとしてキャプチャすると、関数のデバッグ時の検索やフィルタリングが容易になります。JSON 形式のログでは、タグやコンテキスト情報をログに追加することもできます。これにより、大量のログデータを自動的に分析するのに役立ちます。開発ワークフローがプレーンテキストで Lambda ログを使用する既存のツールに依存している場合を除き、ログ形式には JSON を選択することをお勧めします。
すべての Lambda マネージドランタイムについて、関数のシステムログを CloudWatch Logs に非構造化プレーンテキストで送信するか、JSON 形式で送信するかを選択できます。システムログは Lambda が生成するログで、プラットフォームイベントログと呼ばれることもあります。
サポートされているランタイムでは、サポートされている組み込みログ記録メソッドのいずれかを使用すると、Lambda は関数のアプリケーションログ (関数コードが生成するログ) を構造化された JSON 形式で出力することもできます。これらのランタイムに対して関数のログ形式を設定すると、選択した設定がシステムログとアプリケーションログの両方に適用されます。
サポートされているランタイムでは、関数がサポートされているログ記録ライブラリまたはメソッドを使用している場合は、Lambda が構造化された JSON でログをキャプチャするために既存のコードを変更する必要はありません。
注記
JSON ログフォーマットを使用すると、メタデータが追加され、一連のキー値のペアを含む JSON オブジェクトとしてログメッセージがエンコードされます。そのため、関数のログメッセージのサイズが大きくなる可能性があります。
サポートされているランタイムとログ記録メソッド
Lambda は現在、以下のランタイムの JSON 構造化アプリケーションログを出力するオプションをサポートしています。
ランタイム | サポートバージョン |
---|---|
Java | Amazon Linux 1 上の Java 8 を除くすべての Java ランタイム |
Node.js | Node.js 16 およびそれ以降 |
Python | Python 3.8 以降 |
Lambda が関数のアプリケーションログを構造化された JSON 形式で CloudWatch に送信するには、関数が以下の組み込みログ記録ツールを使用してログを出力する必要があります。
-
Java -
LambdaLogger
ロガーまたは Log4j2。 -
Node.js - コンソールメソッド
console.trace
、console.debug
、console.log
、console.info
、console.error
およびconsole.warn
-
Python - 標準の Python
logging
ライブラリ
サポートされているランタイムで高度なログ記録コントロールを使用する方法の詳細については、「Java Lambda 関数のログ記録とモニタリング」、「Node.js Lambda 関数のログ記録とモニタリング」および「Python Lambda 関数のログ記録とモニタリング」を参照してください。
他のマネージド Lambda ランタイムについては、現在、Lambda は構造化された JSON 形式でのシステムログのキャプチャのみをネイティブでサポートしています。ただし、Powertools for AWS Lambda などのログ記録ツールを使用して JSON 形式のログを出力することで、どのランタイムでも構造化 JSON 形式のアプリケーションログをキャプチャできます。
既定のログ形式
現在、すべての Lambda ランタイムのデフォルトのログ形式はプレーンテキストです。
既に Powertools for AWS Lambda などのログ記録ライブラリを使用して JSON 構造化形式で関数ログを生成している場合は、JSON ログ形式を選択すればコードを変更する必要はありません。Lambda は既に JSON でエンコードされたログを二重にエンコードしないため、関数のアプリケーションログは以前と同様にキャプチャされます。
システムログの JSON 形式
関数のログ形式を JSON として設定すると、各システムログ項目 (プラットフォームイベント) は、以下のキーを含むキー値のペアを含む JSON オブジェクトとしてキャプチャされます。
-
"time"
- ログメッセージが生成された時刻 -
"type"
- 記録されるイベントのタイプ -
"record"
- ログ出力の内容
"record"
値の形式は、記録されるイベントのタイプによって異なります。詳細については、「Telemetry API Event オブジェクトタイプ」を参照してください。システムログイベントに割り当てられるログレベルの詳細については、「システムログレベルのイベントマッピング」を参照してください。
比較のため、以下の 2 つの例は、プレーンテキスト形式と構造化された JSON 形式の両方で同じログ出力を示しています。ほとんどの場合、システムログイベントには、プレーンテキストで出力される場合よりも JSON 形式で出力される方が多くの情報が含まれることに注意してください。
例 プレーンテキスト:
2023-03-13 18:56:24.046000 fbe8c1 INIT_START Runtime Version: python:3.9.v18 Runtime Version ARN: arn:aws:lambda:eu-west-1::runtime:edb5a058bfa782cb9cedc6d534ac8b8c193bc28e9a9879d9f5ebaaf619cd0fc0
例 構造化された JSON:
{
"time": "2023-03-13T18:56:24.046Z",
"type": "platform.initStart",
"record": {
"initializationType": "on-demand",
"phase": "init",
"runtimeVersion": "python:3.9.v18",
"runtimeVersionArn": "arn:aws:lambda:eu-west-1::runtime:edb5a058bfa782cb9cedc6d534ac8b8c193bc28e9a9879d9f5ebaaf619cd0fc0"
}
}
注記
Telemetry API を使用して拡張機能のリアルタイムテレメトリデータにアクセスする は常に JSON 形式で START
や REPORT
などのプラットフォームイベントを送信します。Lambda が CloudWatch に送信するシステムログの形式を設定しても、Lambda Telemetry API の動作には影響しません。
アプリケーションログの JSON 形式
関数のログ形式を JSON として設定すると、サポートされているログ記録ライブラリとメソッドを使用して書き込まれたアプリケーションログ出力は、以下のキーを持つキー値のペアを含む JSON オブジェクトとしてキャプチャされます。
-
"timestamp"
- ログメッセージが生成された時刻 -
"level"
- メッセージに割り当てられたログレベル -
"message"
- ログメッセージの内容 -
"requestId"
(Python および Node.js) または"AWSrequestId"
(Java) - 関数呼び出しの一意のリクエスト ID
関数が使用するランタイムとログ記録方法によっては、この JSON オブジェクトには追加のキーペアが含まれる場合もあります。例えば、Node.js では、関数が console
メソッドを使用して複数の引数を使用しているエラーオブジェクトをログに記録する場合、JSON オブジェクトには、errorMessage
、errorType
、stackTrace
というキーを含む追加のキーと値のペアが含まれます。さまざまな Lambda ランタイムの JSON 形式のログの詳細については、「Python Lambda 関数のログ記録とモニタリング、Node.js Lambda 関数のログ記録とモニタリング、Java Lambda 関数のログ記録とモニタリング」を参照してください。
注記
Lambda がタイムスタンプ値に使用するキーは、システムログとアプリケーションログでは異なります。システムログの場合、Lambda はキー "time"
を使用して Telemetry API との一貫性を維持します。アプリケーションログについては、Lambda はサポートされているランタイムの規則に従い、"timestamp"
を使用します。
比較のため、以下の 2 つの例は、プレーンテキスト形式と構造化された JSON 形式の両方で同じログ出力を示しています。
例 プレーンテキスト:
2023-10-27T19:17:45.586Z 79b4f56e-95b1-4643-9700-2807f4e68189 INFO some log message
例 構造化された JSON:
{
"timestamp":"2023-10-27T19:17:45.586Z",
"level":"INFO",
"message":"some log message",
"requestId":"79b4f56e-95b1-4643-9700-2807f4e68189"
}
関数のログ形式の設定
関数のログ形式を設定するには、Lambda コンソールまたは AWS Command Line Interface (AWS CLI) を使用できます。CreateFunction と UpdateFunctionConfiguration Lambda API コマンド、AWS Serverless Application Model (AWS SAM) AWS::Serverless::Function リソース、および AWS CloudFormation AWS::Lambda::Function リソースを使用して、関数のログ形式を設定することもできます。
関数のログ形式を変更しても、CloudWatch Logs に保存されている既存のログには影響しません。新しいログのみが更新された形式を使用します。
関数のログ形式を JSON に変更し、ログレベルを設定しない場合、Lambda は関数のアプリケーションログレベルとシステムログレベルを自動的に INFO に設定します。つまり、Lambda はレベル INFO 以下のログ出力のみを CloudWatch Logs に送信します。アプリケーションおよびシステムログレベルのフィルタリングの詳細については、ログレベルのフィルタリング を参照してください。
注記
Python ランタイムでは、関数のログ形式がプレーンテキストに設定されている場合、デフォルトのログレベル設定は WARN です。つまり、Lambda は WARN 以下のレベルのログ出力のみを CloudWatch Logs に送信します。関数のログ形式を JSON に変更すると、このデフォルト動作が変わります。Python におけるログ記録の詳細については、「Python Lambda 関数のログ記録とモニタリング」を参照してください。
埋め込みメトリックフォーマット (EMF、Embedded Metric Format) ログを生成する Node.js 関数の場合、関数のログ形式を JSON に変更すると、CloudWatch がメトリクスを認識できなくなる可能性があります。
重要
関数が Powertools for AWS Lambda (TypeScript) またはオープンソースの EMF クライアントライブラリを使用して EMF ログを生成する場合は、Powertools
関数のログ形式を設定するには (コンソール)
Lambda コンソールの [関数ページ]
を開きます。 -
関数を選択します。
-
関数設定ページで、[モニタリングおよび運用ツール] を選択します。
-
[ログ記録設定] ペインで、[編集] を選択します。
-
[ログの内容] の [ログ形式] で [テキスト] または [JSON] を選択します。
-
[Save] を選択します。
既存の関数 (AWS CLI) のログ形式を変更するには
-
既存の関数のログ形式を変更するには、
update-function-configuration
コマンドを使用します。LoggingConfig
のLogFormat
オプションをJSON
またはText
に設定します。aws lambda update-function-configuration \ --function-name myFunction --logging-config LogFormat=JSON
関数の作成時にログ形式を設定するには (AWS CLI)
-
新しい関数を作成するときにログ形式を設定するには、
create-function
コマンドの--logging-config
オプションを使用します。LogFormat
をJSON
またはText
に設定します。以下のコマンド例は、Node.js 18 ランタイムを使用して構造化 JSON でログを出力する関数を作成します。関数の作成時にログ形式を指定しない場合、Lambda は選択したランタイムバージョンのデフォルトのログ形式を使用します。デフォルトのログ記録形式の詳細については、「既定のログ形式」を参照してください。
aws lambda create-function --function-name myFunction --runtime nodejs18.x \ --handler index.handler --zip-file fileb://function.zip \ --role arn:aws:iam::123456789012:role/LambdaRole --logging-config LogFormat=JSON
ログレベルのフィルタリング
Lambda は関数のログをフィルタリングして、特定の詳細レベル以下のログのみが CloudWatch Logs に送信されるようにすることができます。関数のシステムログ (Lambda が生成するログ) とアプリケーションログ (関数コードが生成するログ) には、ログレベルのフィルタリングを個別に設定できます。
サポートされているランタイムとログ記録メソッド では、Lambda が関数のアプリケーションログをフィルタリングするために、関数コードに変更を加える必要はありません。
その他のすべてのランタイムとログ記録メソッドでは、関数コードはキー "level"
とキー値のペアを含む JSON 形式のオブジェクトとして stdout
または stderr
にログイベントを出力する必要があります。例えば、Lambda は以下の stdout
への出力を DEBUG レベルのログとして解釈します。
print('{"level": "debug", "msg": "my debug log", "timestamp": "2023-11-02T16:51:31.587199Z"}')
"level"
値フィールドが無効または欠落している場合、Lambda はログ出力にレベル INFO を割り当てます。Lambda がタイムスタンプフィールドを使用するには、有効な RFC 3339
タイムスタンプキーに名前を付ける場合は、使用しているランタイムの規則に従ってください。Lambda は、マネージドランタイムで使用されるほとんどの一般的な命名規則をサポートしています。例えば、.NET ランタイムを使用する関数では、Lambda はキー "Timestamp"
を認識します。
注記
ログレベルのフィルタリングを使用するには、JSON ログ形式を使用するように関数を設定する必要があります。現在、すべての Lambda マネージドランタイムのデフォルトのログ形式はプレーンテキストです。関数のログ形式を JSON に設定する方法については、「関数のログ形式の設定」を参照してください。
アプリケーションログ (関数コードによって生成されるログ) については、以下のログレベルから選択できます。
ログレベル | 標準的な使用状況 |
---|---|
TRACE (最も詳細) | コードの実行パスを追跡するために使用される最も詳細な情報 |
DEBUG | システムデバッグの詳細情報 |
INFO | 関数の通常の動作を記録するメッセージ |
WARN | 対処しないと予期しない動作を引き起こす可能性がある潜在的なエラーに関するメッセージ |
ERROR | コードが期待どおりに動作しなくなる問題に関するメッセージ |
FATAL (詳細度が最も低い) | アプリケーションの機能停止を引き起こす重大なエラーに関するメッセージ |
ログレベルを選択すると、Lambda はそのレベル以下のログを CloudWatch Logs に送信します。例えば、関数のアプリケーションログレベルを WARN に設定した場合、Lambda は INFO レベルと DEBUG レベルでログ出力を送信しません。ログフィルタリングのデフォルトのアプリケーションログレベルは INFO です。
Lambda が関数のアプリケーションログをフィルタリングすると、レベルのないログメッセージにはログレベル INFO が割り当てられます。
システムログ (Lambda サービスによって生成されるログ) については、以下のログレベルから選択できます。
ログレベル | 使用方法 |
---|---|
DEBUG (詳細度が最も高い) | システムデバッグの詳細情報 |
INFO | 関数の通常の動作を記録するメッセージ |
WARN (詳細度が最も低い) | 対処しないと予期しない動作を引き起こす可能性がある潜在的なエラーに関するメッセージ |
ログレベルを選択すると、Lambda はそのレベル以下のログを送信します。例えば、関数のシステムログレベルを INFO に設定した場合、Lambda は DEBUG レベルでログ出力を送信しません。
デフォルトでは、Lambda はシステムログレベルを INFO に設定します。この設定では、Lambda は自動的に CloudWatch に "start"
および "report"
ログメッセージを送信します。詳細度がより高いシステムログまたは詳細度がより低いシステムログを受信するには、ログレベルを DEBUG または WARN に変更します。Lambda がさまざまなシステムログイベントをマッピングするログレベルのリストを確認するには、「システムログレベルのイベントマッピング」を参照してください。
ログレベルフィルタリングの設定
関数にアプリケーションとシステムログレベルのフィルタリングを設定するには、Lambda コンソールまたは AWS Command Line Interface (AWS CLI) を使用できます。CreateFunction と UpdateFunctionConfiguration Lambda API コマンド、AWS Serverless Application Model (AWS SAM) AWS::Serverless::Function リソース、および AWS CloudFormation AWS::Lambda::Function リソースを使用して、関数のログレベルを設定することもできます。
関数のログレベルをコード内で設定した場合、この設定は他のログレベル設定よりも優先されることに注意してください。例えば、Python logging
setLevel()
メソッドを使用して関数のログレベルを INFO に設定した場合、この設定は Lambda コンソールを使用して設定した WARN の設定よりも優先されます。
既存の関数のアプリケーションまたはシステムログレベルを設定するには (コンソール)
Lambda コンソールの [関数ページ]
を開きます。 -
関数を選択します。
-
関数設定ページで、[モニタリングおよび運用ツール] を選択します。
-
[ログ記録設定] ペインで、[編集] を選択します。
-
[ログの内容] の [ログ形式] で [JSON] が選択されていることを確認します。
-
ラジオボタンを使用して、関数に必要な [アプリケーションログレベル] と [システムログレベル] を選択します。
-
[Save] を選択します。
既存の関数のアプリケーションまたはシステムログレベルを設定するには (AWS CLI)
-
既存の関数のアプリケーションログレベルまたはシステムログレベルを変更するには、
update-function-configuration
コマンドを使用します。--system-log-level
をDEBUG
、INFO
、またはWARN
のいずれかに設定します。--application-log-level
をDEBUG
、INFO
、WARN
、ERROR
、またはFATAL
のいずれかに設定します。aws lambda update-function-configuration \ --function-name myFunction --system-log-level WARN \ --application-log-level ERROR
関数の作成時にログレベルのフィルタリングを設定するには
-
新しい関数を作成するときにログレベルのフィルタリングを設定するには、create-function コマンドの
--system-log-level
および--application-log-level
オプションを使用します。--system-log-level
をDEBUG
、INFO
、またはWARN
のいずれかに設定します。--application-log-level
をDEBUG
、INFO
、WARN
、WARN
、またはFATAL
のいずれかに設定します。aws lambda create-function --function-name myFunction --runtime nodejs18.x \ --handler index.handler --zip-file fileb://function.zip \ --role arn:aws:iam::123456789012:role/LambdaRole --system-log-level WARN \ --application-log-level ERROR
システムログレベルのイベントマッピング
Lambda によって生成されるシステムレベルのログイベントについて、以下の表は各イベントに割り当てられるログレベルを定義しています。表に記載されているイベントの詳細については、「Lambda Telemetry API Event スキーマリファレンス」を参照してください。
イベント名 | 条件 | 割り当てられたログレベル |
---|---|---|
initStart | runtimeVersion が設定されている | INFO |
initStart | runtimeVersion が設定されていない | DEBUG |
initRuntimeDone | status=success | DEBUG |
initRuntimeDone | status!=success | WARN |
initReport | initializationType=snapstart | INFO |
initReport | initializationType!=snapstart | DEBUG |
initReport | status!=success | WARN |
restoreStart | runtimeVersion が設定されている | INFO |
restoreStart | runtimeVersion が設定されていない | DEBUG |
restoreRuntimeDone | status=success | DEBUG |
restoreRuntimeDone | status!=success | WARN |
restoreReport | status=success | INFO |
restoreReport | status!=success | WARN |
start | - | INFO |
runtimeDone | status=success | DEBUG |
runtimeDone | status!=success | WARN |
レポート | status=success | INFO |
レポート | status!=success | WARN |
拡張子 | state=success | INFO |
拡張子 | state!=success | WARN |
logSubscription | - | INFO |
telemetrySubscription | - | INFO |
logsDropped | - | WARN |
注記
Telemetry API を使用して拡張機能のリアルタイムテレメトリデータにアクセスする は常にプラットフォームイベントの完全なセットを出力します。Lambda が CloudWatch に送信するシステムログのレベルを設定しても、Lambda Telemetry API の動作には影響しません。
カスタムランタイムによるアプリケーションログレベルのフィルタリング
関数にアプリケーションログレベルのフィルタリングを設定すると、バックグラウンドで Lambda は AWS_LAMBDA_LOG_LEVEL
環境変数を使用してランタイムのアプリケーションログレベルを設定します。また、Lambda は AWS_LAMBDA_LOG_FORMAT
環境変数を使用して関数のログ形式を設定します。これらの変数を使用して、Lambda の高度なログ記録コントロールをカスタムランタイムに統合できます。
Lambda コンソール、AWS CLI、および Lambda API でカスタムランタイムを使用して関数のログ記録設定を設定できるようにするには、これらの環境変数の値をチェックするようにカスタムランタイムを設定します。その後、選択したログ形式とログレベルに従ってランタイムのロガーを設定できます。
CloudWatch ロググループの設定
デフォルトでは、CloudWatch は関数が最初に呼び出されたときに /aws/lambda/<function name>
という名前のロググループを自動的に作成します。既存のロググループにログを送信するように関数を設定したり、関数の新しいロググループを作成したりするには、Lambda コンソールまたは AWS CLI を使用できます。CreateFunction および UpdateFunctionConfiguration Lambda API コマンドと AWS Serverless Application Model (AWS SAM) AWS::Serverless::Function リソースを使用してカスタムロググループを設定することもできます。
同じ CloudWatch ロググループにログを送信するように、複数の Lambda 関数を設定できます。例えば、1 つのロググループを使用して、特定のアプリケーションを構成するすべての Lambda 関数のログを保存できます。Lambda 関数にカスタムロググループを使用する場合、Lambda が作成するログストリームには関数名と関数バージョンが含まれます。これにより、同じロググループを複数の関数に使用しても、ログメッセージと関数の間のマッピングは保持されます。
カスタムロググループのログストリーム命名形式は以下の規則に従います。
YYYY/MM/DD/<function_name>[<function_version>][<execution_environment_GUID>]
カスタムロググループを設定する場合、ロググループに選択する名前は CloudWatch Logs の命名規則に従う必要があることに注意してください。また、カスタムロググループ名には文字列 aws/
で始まるものを使用できません。aws/
で始まるカスタムロググループを作成すると、Lambda はロググループを作成できなくなります。この結果、関数のログは CloudWatch に送信されなくなります。
関数のロググループを変更するには (コンソール)
-
Lambda コンソールの [関数ページ]
を開きます。 -
関数を選択します。
-
関数設定ページで、[モニタリングおよび運用ツール] を選択します。
-
[ログ記録設定] ペインで、[編集] を選択します。
-
[ログ記録グループ] ペインの [CloudWatch ロググループ] で、[カスタム] を選択します。
-
[カスタムロググループ] に、関数からのログの送信先にする CloudWatch ロググループの名前を入力します。既存のロググループの名前を入力すると、関数はそのグループを使用します。入力した名前のロググループが存在しない場合、Lambda はその名前で関数の新しいロググループを作成します。
関数のロググループを変更するには (AWS CLI)
-
既存の関数のロググループを変更するには、
update-function-configuration
コマンドを使用します。既存のロググループの名前を指定すると、関数はそのグループを使用します。指定した名前のロググループが存在しない場合、Lambda はその名前で関数の新しいロググループを作成します。aws lambda update-function-configuration \ --function-name myFunction --log-group myLogGroup
関数の作成時にカスタムロググループを指定するには (AWS CLI)
-
AWS CLI を使用して新しい Lambda 関数を作成するときにカスタムロググループを指定するには、
--log-group
オプションを使用します。既存のロググループの名前を指定すると、関数はそのグループを使用します。指定した名前のロググループが存在しない場合、Lambda はその名前で関数の新しいロググループを作成します。以下のコマンド例では、
myLogGroup
という名前のロググループにログを送信する Node.js Lambda 関数を作成します。aws lambda create-function --function-name myFunction --runtime nodejs18.x \ --handler index.handler --zip-file fileb://function.zip \ --role arn:aws:iam::123456789012:role/LambdaRole --log-group myLogGroup
実行ロールのアクセス許可
関数が CloudWatch Logs にログを送信するには、その関数に logs:PutLogEvents
アクセス許可が必要です。Lambda コンソールを使用して関数のロググループを設定するときに、関数にこのアクセス許可がない場合、Lambda はデフォルトでそれを関数の実行ロールに追加します。Lambda がこのアクセス許可を追加すると、任意の CloudWatch Logs ロググループにログを送信するアクセス許可が関数に付与されます。
Lambda が関数の実行ロールを自動的に更新しないようにして、代わりに手動で関数の実行ロールを編集するには、[アクセス許可] を展開し、[必要なアクセス許可を追加] のチェックを外します。
AWS CLI を使用して関数のロググループを設定しても、Lambda は logs:PutLogEvents
アクセス許可を自動的に追加しません。まだアクセス許可がない場合は、関数の実行ロールにアクセス許可を追加します。このアクセス許可は、AWSLambdaBasicExecutionRole