ども、初老丸です。
tl;dr
Windows Server 上のイベントログや IIS のログって CloudWatch Logs にどうやって送るのかしらと思って調べて試したメモ。
参考
- http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/WindowsGuide/ec2-configuration-cwl.html
- http://iga-ninja.hatenablog.com/entry/2014/10/22/205350
メモ
構成図
ざっくり手順
- 適切なポリシーを EC2 にアタッチ済みの IAM role にアタッチする(既に IAM role がアタッチされている前提)
- EC2Config サービスにて CloudWatch Logs integration を有効にする
- AWS.EC2.Windows.CloudWatch.json を修正
- EC2Config サービスの再起動
以下のようなポリシーを EC2 にアタッチ済みの IAM role にアタッチする
- AmazonEC2RoleforSSM
- CloudWatch Logs に対する以下のポリシー(Managed Policy の CloudWatchFullAccess でも良いと思う)
{ "Version": "2012-10-17", "Statement": [[f:id:inokara:20160210231534p:plain] { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:*:*:*" ] } ] }
EC2Config サービスの設定変更
スタートメニューから All apps に遷移して EC2ConfigService Setting を起動する。
起動したら Enable CloudWatch Logs integration をチェックする。
チェックして Apply 又は OK でウィンドウを閉じる。
AWS.EC2.Windows.CloudWatch.json の修正
C:\Program Files\Amazon\Ec2ConfigService\Settings\AWS.EC2.Windows.CloudWatch.json を適当なエディタで開いて修正する。今回の要件を改めて整理すると...
この要件を満たす設定は以下の通り。(ポイントは //
でコメントを付ける)
(snip) // IIS の Log の転送定義 // // - TimestampFormat を IIS のログに合わせて定義する // - Encoding を定義する // { "Id": "IISLog", "FullName": "AWS.EC2.Windows.CloudWatch.IisLog.IisLogInputComponent,AWS.EC2.Windows.CloudWatch", "Parameters": { "LogDirectoryPath": "C:\\inetpub\\logs\\LogFiles\\W3SVC1", "TimestampFormat": "yyyy-MM-dd HH:mm:ss", "Encoding": "UTF-8" } }, (snip) // 転送先定義 // // - IAM role が適用されていなければ AccessKey や SecretKey を適宜設定する // - CloudWatch Logs の Region を定義 // - LogGroup と Log Stream を定義する // { "Id": "CloudWatchLogs", "FullName": "AWS.EC2.Windows.CloudWatch.CloudWatchLogsOutput,AWS.EC2.Windows.CloudWatch", "Parameters": { "AccessKey": "", "SecretKey": "", "Region": "ap-northeast-1", "LogGroup": "Default-Log-Group", "LogStream": "{instance_id}" } }, // 転送先定義 // // - IAM role が適用されていなければ AccessKey や SecretKey を適宜設定する // - CloudWatch Logs の Region を定義 // - LogGroup と Log Stream を定義する // { "Id": "CloudWatchLogs02", "FullName": "AWS.EC2.Windows.CloudWatch.CloudWatchLogsOutput,AWS.EC2.Windows.CloudWatch", "Parameters": { "AccessKey": "", "SecretKey": "", "Region": "ap-northeast-1", "LogGroup": "Default-Log-Group", "LogStream": "{instance_id}-02" } }, (snip)
そして... このエージェントが収集したログをどこに(LogGroup / LogStream)転送するかを以下のように Flow セクションで定義する。 Flow セクション自体は CloudWatch Logs だけではなく CloudWatch でも収集したパフォーマンスカウンタのメトリクスをどこの Namespace に転送するかも定義する。
"Flows": { "Flows": [ "IISLog, (CloudWatchLogs, CloudWatchLogs02)" ] }
上記の定義だと、ID: IISLog
に定義されたログは ID: CloudWatchLogs
と ID: CloudWatchLogs02
に定義された転送先に転送するということ。
少しわかりづらいので図示。
うむ...これでもわかり辛い。
EC2Config サービスの再起動
そして、EC2Config サービスを再起動する。
# # 一旦、サービスを確認 # C:\Users\Administrator>sc query | find "DISP" (snip) DISPLAY_NAME: Diagnostic Policy Service DISPLAY_NAME: Ec2Config DISPLAY_NAME: Windows Event Log (snip) DISPLAY_NAME: Windows Remote Management (WS-Management) C:\Users\Administrator> # # Ec2Config を停止 # C:\Users\Administrator>sc stop Ec2Config SERVICE_NAME: Ec2Config TYPE : 10 WIN32_OWN_PROCESS STATE : 3 STOP_PENDING (STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0 # # Ec2Config を開始 # C:\Users\Administrator>sc start Ec2Config SERVICE_NAME: Ec2Config TYPE : 10 WIN32_OWN_PROCESS STATE : 2 START_PENDING (NOT_STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x7d0 PID : 3888 FLAGS : C:\Users\Administrator>
ちなみに、上記の操作はコマンドプロンプトにて実施すること。
適当にアクセスすると...
以下のように適当にアクセスして IIS にログを吐かせる。
$ curl -s -I win01-xxxxxxxxxx.ap-northeast-1.elb.amazonaws.com
しばらくすると...
ふむ。
ひとまずは目的達成。
以上
Windows Server 上の各種ログを CloudWatch Logs に転送する雰囲気はつかめた気がする。気がするだけかも。