「Amazon CloudWatch」と「AWS CloudTrail」でできるAWS運用監視の違いとは?:AWSの「CloudWatch」「CloudTrail」を比較【前編】
「Amazon CloudWatch」と「AWS CloudTrail」は、AWSサービスのログを記録してトラブルシューティングを支援する点で共通する。しかし両者の役割や機能は異なる。それぞれの違いと機能を解説する。
Amazon Web Services(AWS)の「Amazon CloudWatch」(以下、CloudWatch)と「AWS CloudTrail」(以下、CloudTrail)は、AWS管理者にとって不可欠なツールだ。CloudWatchは、AWSインフラの予測監視やログ管理、アラート設定を実行するクラウド監視サービス。CloudTrailは、AWSアカウント内での設定変更履歴や、管理イベントの記録を提供するログ監視サービスだ。
CloudWatchとCloudTrailの役割は異なるが、両者を組み合わせることで運用管理におけるさまざまな利点を引き出せる。2つのツールの違いと、何ができるのかを押さえておこう。
「Amazon CloudWatch」と「AWS CloudTrail」の違い
AWSインフラ管理のポイント
CloudWatchとは
CloudWatchは、AWSインフラの稼働状況の傾向を特定したり、予測したりするのに使えるツールだ。AWSインフラの稼働状況を把握し、問題発生の予兆を事前に警告する。
イベント(システムにおける状態の変化や変更)に応じてコードを実行する「AWS Lambda」の仮想CPU(vCPU)使用率や、仮想マシン(VM)サービス「Amazon Elastic Compute Cloud」(Amazon EC2)で利用中のVMのメモリ使用量など、実行時のメトリクス(システムのパフォーマンスに関するデータ)を監視し、設定したしきい値を超えるとアラームを出す。この仕組みで、管理者はインフラの可用性に影響する問題が発生する前に、問題の原因に対処できる。
CloudTrailとは
CloudTrailは、AWSインフラに対して「誰が、いつ、何をしたか」を管理者が把握できるようにするツールだ。
CloudTrailはCloudWatchとは異なり、実行時のメトリクスを扱わない。特定のユーザーやロール(役割)、AWSサービスが、AWSサービスに加えた設定変更の全てを記録する。CloudTrailのこの機能は、ユーザーの行動の追跡やシステムの問題解決に役立つ。
コンサルティング会社Xennial Innovationsのフルスタック開発者のイーウェイ・シェン氏は、CloudTrailの利用例を次のように説明する。「AWSのコードデプロイ自動化サービス『AWS CodeDeploy』が突然中断したら、CloudTrailのログから、デプロイグループの情報を記録している『UpdateDeploymentGroup』の変更履歴を参照できる。誰がいつデプロイグループを更新したかを知ることで、トラブルシューティングを大幅に簡素化できる」
「CloudWatch」と「CloudTrail」の比較
CloudWatchは実行中のシステムのメトリクスをリアルタイムで積極的に監視し分析するのに対し、CloudTrailはAWSのAPI(アプリケーションプログラミングインタフェース)を通じて発生した設定変更や状態の変化を受動的に記録する。
CloudWatchでは、リアルタイムのメトリクス追跡やイベント履歴の管理、時系列データに基づく傾向のグラフ化が可能だ。これにより、AWSのインフラにおける将来の使用パターンを予測できる。管理者はその結果を基に、ボトルネックやパフォーマンスの問題が発生する前に追加でリソースを割り当てることができる。
CloudTrailは特定のAWSアカウントで生じたリソース変更を追跡し、「Chain of Custody」(証拠保全)に必要なデジタル証跡を提供する。AWSアカウントで実行された全てのAPIコールを記録し、AWSの設定や管理、やりとりに関するアクションを可視化する。CloudTrailはこれらのイベントの履歴を、ストレージサービス「Amazon Simple Storage Service」(Amazon S3)で作成したバケット(データ保存の基本単位)に保存する。
CloudTrailは監査やガバナンス、コンプライアンス(法令順守)のための機能に特化している。リソースの更新に起因するトラブルシューティングにも役立つ。監査の他、インフラの設定ミスの根本原因の分析を実施するときに、CloudTrailは以下の情報を提供する。
- 実行されたアクション(操作や処理の総称)
- 以前に実行されたアクション
- アクションを実行したユーザーやアカウント
- アクションの発生時刻
CloudTrailは、過去のアクションの履歴に関する洞察を提供する。一方でAWSリソースの管理サービス「AWS Config」と異なり、悪意のある設定変更やAWSインフラの異常な活動に対してアラートを出すことはできない。
AWSのクラウドエンジニアであるヴァイシュナヴ・ジョイス氏は、S3におけるバケットの消失や、EC2インスタンスが意図せずオンライン状態になった際にCloudTrailを使って原因を特定している。「CloudTrailは、私のお気に入りのAWSサービスだ。重要なタイミングでどのユーザーやサービスがリソースを削除したり、作成したりしたかを特定することは、デバッグ時に非常に価値がある」。ジョイス氏はそう語る。
CloudWatchはCloudTrailが追跡するアクションやイベントの履歴を取り込み、AWSインフラに異常な動きがあった際にアラームを出せる。後編はCloudWatchの詳しい機能と、両者を組み合わせて利用する方法を説明する。
TechTarget発 先取りITトレンド
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.