サーバー使用状況のモニタリング

Amazon CloudWatch を使用して、サーバー内のアクティビティをモニタリングできます。AWS CloudTrail。詳細な分析を行うために、サーバーアクティビティを読み取り可能な、ほぼリアルタイムのメトリクスとして記録することもできます。

の有効化AWS CloudTraillogging

AWS CloudTrail を使用して AWS Transfer Family API コールをモニタリングできます。API コールをモニタリングすることで、有益なセキュリティ情報や動作情報を取得できます。CloudTrail との連携の詳細については、とAWS Transfer Family「」を参照してください。AWS Transfer Family でのログ記録とモニタリング。

後でAmazon S3 オブジェクトレベルのログ記録の有効化,RoleSessionNameリクエスタフィールドに次のように格納されます。[AWS:Role Unique Identifier]/username.sessionid@server-id。の詳細AWS Identity and Access Management(IAM) ロールの一意の識別子。を参照してください。一意の識別子のAWS Identity and Access Managementユーザーガイド。

重要

の最大長RoleSessionName64 文字です。そのファイルにRoleSessionNameより長いのは、server-idは切り詰められます。

S3 アクセスログへの Amazon S3 API コールのログ記録

後でAmazon S3 アクセスログを使用した S3 リクエストの識別ファイル転送ユーザーに代わって作成され、RoleSessionNameファイル転送を処理するために引き受けられた IAM ロールを表示するために使用されます。また、転送に使用されるユーザー名、セッション ID、サーバー ID などの追加情報も表示されます。形式は次のとおりです。[AWS:Role Unique Identifier]/username.sessionid@server-idおよびは、[リクエスタ] フィールドに含まれています。たとえば、S3 バケットにコピーされたファイルの S3 アクセスログからのサンプルリクエスタフィールドのコンテンツを次に示します。

arn:aws:sts::AWS-Account-ID:assumed-role/IamRoleName/username.sessionid@server-id

上記の [リクエスタ] フィールドには、と呼ばれる IAM ロールが表示されます。IamRoleName。IAM ロールの一意識別子の詳細については、「」を参照してください。一意の識別子のAWS Identity and Access Managementユーザーガイド。

CloudWatch によるアクティビティのログ記録

アクセスを設定するには、リソースベースの IAM ポリシーと、アクセス情報を提供する IAM ロールを作成します。

Amazon CloudWatch のログ記録を有効にするには、CloudWatch のログ記録を有効にする IAM ポリシーの作成から開始します。次に、IAM ロールを作成して、ポリシーをアタッチします。これは、その時行うことができます。サーバーを作成するにはまたは既存のサーバーの編集。CloudWatch の詳細については、「」を参照してください。Amazon CloudWatch とはおよびAmazon CloudWatch Logs とはのAmazon CloudWatch ユーザーガイド。

IAM ポリシーを作成するには

• 次のポリシー例を使用して、CloudWatch のログ記録を許可する独自の IAM ポリシーを作成します。AWS Transfer Family のポリシーの作成方法については、「IAM ロールとポリシーを作成する」を参照してください。

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Sid": "VisualEditor0",
              "Effect": "Allow",
              "Action": [
                  "logs:CreateLogStream",
                  "logs:DescribeLogStreams",
                  "logs:CreateLogGroup",
                  "logs:PutLogEvents"
              ],
              "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
          }
      ]
  }

次に、ロールを作成して、作成した CloudWatch Logs ポリシーをアタッチします。

IAM ロールを作成し、ポリシーをアタッチするには

1. ナビゲーションペインで [Roles] を選択し、続いて [Create role] を選択します。

   リポジトリの []ロールの作成ページで、AWSのサービスが選択されます。

2. 選択転送サービスリストからを選択し、次へ: アクセス許可. これにより、間の信頼関係が確立されます。AWS Transfer FamilyIAM ロール。

3. 左許可ポリシーのアタッチセクションで、先ほど作成した CloudWatch Logs ポリシーを選択し、[次へ: タグ

4. (オプション) タグのキーと値を入力し、次へ: 確認.

5. [Review (レビュー)] ページで新しいロールの名前と説明を入力し、[Create role (ロールの作成)] を選択します。

6. ログを表示するには、Server IDをクリックして、サーバ設定ページを開き、ログを表示する。ログストリームを確認できる CloudWatch コンソールにリダイレクトされます。

サーバーの CloudWatch ページで、ユーザー認証のレコード (成功と失敗) のレコード、データアップロード (PUTオペレーション)、およびデータのダウンロード (GETオペレーション)。

Transfer Family での CloudWatch メトリクスの使用

注記

ファミリーの転送コンソール自体から、Transfer Family のメトリクスを取得することもできます。詳細については、 コンソールでサーバーの使用状況を監視する を参照してください。

CloudWatch メトリクスを使用して、サーバーに関する情報を取得できます。AのメトリクスCloudWatch に発行された時系列のデータポイントのセットを表します。メトリックを使用する場合は、Transfer Family の名前空間、メトリックス名、およびディメンション。メトリクスの詳細については、「」を参照してください。のメトリクスのAmazon CloudWatch ユーザーガイド。

Transfer Family の CloudWatch メトリクスの説明を次の表に示します。これらのメトリクスは、5 分間隔で測定されます。

名前空間	メトリクス	説明
AWS/Transfer	BytesIn	サーバーに転送された総バイト数。 単位: カウント
	BytesOut	サーバーから転送された総バイト数。 単位: カウント
	FilesIn	サーバーに転送されたファイルの合計数。 単位: カウント
	FilesOut	サーバーから転送されたファイルの合計数。 単位: カウント

ファミリ寸法を転送する

ディメンションは、メトリクスのアイデンティティの一部である名前と値のペアです。ディメンションの詳細については、「」を参照してください。ディメンションのAmazon CloudWatch ユーザーガイド。

Transfer Family の CloudWatch ディメンションを次の表に示します。

ディメンション	説明
ServerId	サーバーの一意の ID。