growing hard days.

API GatewayのアクセスログをCloudWatchに記録する

2018/01/03

Amazon API GatewayのアクセスログをCloudWatchに記録できるようになっていたので設定しました。

まず、AWSアカウントのAmazon API Gateway全体にCloudWatchログへの書き込みを有効にする必要があるので、
CloudWatch Logに書き込み権限を持つIAMロールを作成して、
Amazon API Gatewayに設定します。
そして、設定対象のAPI Gatewayでロググループを設定して有効にします。

目次

AWS IAMロールの作成

IAMロールを作成して、サービスで「API Gateway」を選択して、ユースケースでは、「Allows API Gateway to push logs to
CloudWatch Logs.」を選択します。
そのままです。

すでにAmazonAPIGatewayPushToCloudWatchLogs というAWS管理ポリシーがアタッチされています。
ポリシーを見てみます。

CloudWatch Logsに対しての書き込み権限が許可されています。

ロール名を設定してIAMロールを作成します。

作成SいたIAMロールのarnを控えておきます。

アカウントのAmazon API Gateway全体にCloudWatchログへの書き込みの有効設定

API Gatewayの[設定]で、「CloudWatchログのロールARN」にIAMロールのarnを設定します。

arnは
arn:aws:iam::account_id:role/role_name
です。

※account_id と role_nameは書き換えてください。

対象のAPI Gatewayでアクセスログを有効にする

対象のAPI Gatewayのステージを選択して[ログ]タブで「アクセスログの有効化」にチェックを入れます。

CloudWatchグループには、CloudWatchのロググループをarnで指定します。
新規に作成する場合は指定したロググループ名で自動作成されます。

arnは
arn:aws:logs:region:account_id:log-group:group_name
です。

※region と account_id と group_nameは書き換えてください。

ログの形式は変数を書いて指定しますが、「入力の例」でフォーマットのボタンを押せば自動入力してくれます。
今回は[JSON]にしました。

アクセスしてみる

POSTMANでAPIにアクセスしてみます。

ログが記録されています。

失敗したこと

CloudWatchグループのarnを最初、
arn:aws:logs:region:account_id:group_name
で設定しようとしたところ、

「Access log destination must only contain characters a-z, A-Z, 0-9, ‘_’, ‘-‘, ‘/’, ‘.’: ‘group_name’」

のメッセージが出て保存出来ませんでした。

そのあと、
arn:aws:logs:region:account_id:log-group:group_name
に直して、保存したのですが、上のメッセージを消さないままで[保存]ボタンを押してたので、
保存出来ているのに、保存出来ていないように思ってしまいました。

メッセージは確認した後、次のアクションまでに消しておかなければ。
ややこしや。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS apigateway, AWS, cloudwatch

Tweet

関連記事

: ENAが有効なEC2インスタンスの帯域幅をiperf3で確認してみた

同じ Amazon VPC 内で Amazon EC2 Linux インスタンス …

: Amazon LinuxのNginx+RDS MySQLにレンタルWebサーバーからWordPressを移設する(失敗、手戻りそのまま記載版)

勉強のためブログサイトを長らくお世話になったロリポップさんから、AWSに移設する …

: AWS CodeCommit 認証情報ヘルパーをmacOSに設定しました

AWS CLI 認証情報ヘルパーを使用して Linux, macOS, or U …

: AWS Lambda(Python)からZoom投票作成

以前、Zoomの投票(アンケート)をAPI経由で作成するというブログで書きました …

: WordPress(EC2)の画像のS3へのオフロードをMedia Cloudで

タイトル通りですが、画像をwebサーバー(EC2)からではなく、S3バケットから …

: AWSセルフマネージドAD環境にリモートデスクトップで接続

AWSクイックスタートのActive Directory Domain Serv …

: AWS Expert Online at JAWS-UG首都圏エリアに参加して「Amazon EC2 スポットインスタンス再入門」を聞いてきた

AWS Expert Onlineという勉強会がありまして、AWS ソリューショ …

: cfn-signalの認証とネットワーク

AWS CloudFormationヘルパースクリプトのcfn-signalがC …

: T2.microからT3.nanoに変更(メモリエラーも対応)

このブログのEC2インスタンスをT2.micro 1インスタンスからT3.nan …

: Cloud9環境を共有した際の環境認証

Cloud9を環境を構築したIAMユーザー以外に共有したとき、その環境から実行す …

PREV: AWS Lambda KMSを使って環境変数を暗号化、復号化する(Python)
NEXT: PyCharmにAWS CloudFormationプラグインをインストールして入力補完してみる