Amazon CloudWatch Logs ハンズオン手順書

Amazon CloudWatch Logs とは

Amazon CloudWatch Logs は、EC2・Lambda・ECS などのログをリアルタイムで収集・保存・検索できるマネージドサービスです。ログデータを一元管理し、障害調査や監査、パフォーマンス分析に活用できます。

コンポーネント	説明
ロググループ	ログの論理的なグループ。保存期間をここで設定する
ログストリーム	同一ソース（EC2 インスタンス等）からのログの流れ
CloudWatch Agent	EC2 にインストールして OS・アプリログを CWL へ転送するエージェント
Logs Insights	専用クエリ言語でログを検索・集計・可視化する機能
メトリクスフィルター	ログのパターンを検出してメトリクスに変換し、アラームを設定できる

CloudWatch Agent とは

EC2 にインストールするデーモンプロセスです。/var/log/nginx/access.log などの任意のファイルをリアルタイムに監視し、CloudWatch Logs へ転送します。SSM Parameter Store に設定を保存して複数サーバーに一括適用することも可能です。

今回構築するアーキテクチャ

EC2 インスタンス
Nginx をインストール済み（または起動済み）

↓ CloudWatch Agent

CloudWatch Logs
/nginx/access | /nginx/error | /var/log/messages

↓ 分析

Logs Insights
クエリでログ分析

メトリクスフィルター
エラー検知 → アラーム

作成するリソース

リソース	名前 / 値	備考
EC2 インスタンス	既存またはハンズオン用に新規作成	Amazon Linux 2023 推奨
IAM ロール	`handson-cwl-ec2-role`	CloudWatch Agent 実行用
ロググループ	`/handson/nginx/access` など	保存期間 7 日
メトリクスフィルター	`NginxError5xx`	HTTP 5xx をカウント
CloudWatch アラーム	`handson-nginx-5xx-alarm`	5 分で 3 件以上で警告

事前準備

前提条件

Amazon Linux 2023 の EC2 インスタンスが起動済みであること
EC2 に Session Manager または SSH でログイン可能なこと
Nginx がインストール・起動済みであること（後述の手順でインストール可）

Step 1: IAM ロールの作成

CloudWatch Agent が CloudWatch Logs にログを書き込むための IAM ロールを作成します。

IAM コンソール → ロールを作成

IAM コンソール → ロール → 「ロールを作成」

信頼されたエンティティタイプ: AWS のサービス → EC2 を選択 → 次へ

以下のポリシーを検索してチェックを入れます。

CloudWatchAgentServerPolicy — CloudWatch Logs への書き込み権限
AmazonSSMManagedInstanceCore — Session Manager 接続用（SSH 不要にする場合）

ロール名handson-cwl-ec2-role

→ 「ロールを作成」

Step 2: EC2 インスタンスに IAM ロールをアタッチ

EC2 コンソール → インスタンスにロールをアタッチ

EC2 コンソール → インスタンス → 対象インスタンスを選択

アクション → セキュリティ → 「IAM ロールを変更」

handson-cwl-ec2-role を選択 → 「IAM ロールを更新」

Step 3: Nginx のインストール（未インストールの場合）

EC2 内で Nginx をインストール・起動

sudo dnf install -y nginx sudo systemctl enable nginx sudo systemctl start nginx sudo systemctl status nginx

ハンズオン①: CloudWatch Agent のインストール

Step 1: CloudWatch Agent をインストール

EC2 に接続して Agent をインストール

sudo dnf install -y amazon-cloudwatch-agent

Amazon Linux 2023 では dnf で直接インストールできます。

Step 2: インストールの確認

バージョン確認

/opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -a status

確認ポイント

status: stopped と表示されれば正常にインストールされています（まだ設定前なので stopped は正常）。

ハンズオン②: ログ収集設定

Step 1: CloudWatch Agent 設定ファイルを作成

以下の設定ファイルを EC2 上に作成します。Nginx のアクセスログ・エラーログと OS のシステムログを収集します。

設定ファイルを作成

sudo tee /opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.json <<'EOF' { "logs": { "logs_collected": { "files": { "collect_list": [ { "file_path": "/var/log/nginx/access.log", "log_group_name": "/handson/nginx/access", "log_stream_name": "{instance_id}", "retention_in_days": 7 }, { "file_path": "/var/log/nginx/error.log", "log_group_name": "/handson/nginx/error", "log_stream_name": "{instance_id}", "retention_in_days": 7 }, { "file_path": "/var/log/messages", "log_group_name": "/handson/system/messages", "log_stream_name": "{instance_id}", "retention_in_days": 7 } ] } } } } EOF

Step 2: CloudWatch Agent を起動

設定を読み込んで起動

sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl \ -a fetch-config \ -m ec2 \ -c file:/opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.json \ -s

起動状態の確認

sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -a status

status: running になれば起動成功です。

Step 3: テスト用アクセスを発生させる

Nginx にリクエストを送信してログを生成

for i in $(seq 1 20); do curl -s http://localhost/ > /dev/null; done # 存在しないパスへのアクセス（404 ログ生成） for i in $(seq 1 5); do curl -s http://localhost/notfound > /dev/null; done

ハンズオン③: CloudWatch Logs でログを確認

Step 1: ロググループを確認

CloudWatch コンソールでロググループを確認

マネコン検索で CloudWatch → 左メニュー 「ログ」 → 「ロググループ」

/handson/nginx/access、/handson/nginx/error、/handson/system/messages の 3 つが作成されていることを確認

/handson/nginx/access をクリック → ログストリーム（インスタンス ID）をクリック → ログイベントを確認

確認ポイント

Nginx のアクセスログ（IP アドレス・リクエスト・ステータスコードなど）がリアルタイムで表示されていれば成功です。

ログが表示されない場合のチェックポイント

CloudWatch Agent のステータスが running か確認（-a status）
IAM ロールが EC2 にアタッチされているか確認
ログファイルのパスが正しいか確認（ls /var/log/nginx/）
Agent のエラーログを確認: sudo cat /opt/aws/amazon-cloudwatch-agent/logs/amazon-cloudwatch-agent.log

ハンズオン④: Logs Insights でクエリ分析

CloudWatch Logs Insights は、専用のクエリ言語でログを検索・集計・可視化できます。

Step 1: Logs Insights を開く

Logs Insights に移動

CloudWatch コンソール → 左メニュー 「ログ」 → 「Logs Insights」

ロググループの選択 で /handson/nginx/access を選択

Step 2: 基本クエリ — 最新ログを表示

最新 20 件のログを表示

fields @timestamp, @message
| sort @timestamp desc
| limit 20

右上の 「クエリの実行」 をクリックして実行します。

Step 3: ステータスコード別の集計

HTTP ステータスコードの分布を確認

fields @timestamp, @message
| parse @message '"* * HTTP/*" * *' as method, path, status, size
| stats count(*) as count by status
| sort count desc

Step 4: エラーリクエスト（4xx/5xx）の抽出

4xx・5xx エラーのみ抽出

fields @timestamp, @message
| filter @message like / [45][0-9][0-9] /
| sort @timestamp desc
| limit 50

Step 5: 時系列グラフ — リクエスト数の推移

5 分ごとのリクエスト数推移

fields @timestamp
| stats count() as requests by bin(5m)
| sort @timestamp asc

クエリ実行後、「可視化」タブ をクリックすると棒グラフで表示されます。

Logs Insights クエリの主要コマンド

コマンド	説明	例
`fields`	表示するフィールドを指定	`fields @timestamp, @message`
`filter`	条件でフィルタリング	`filter @message like /ERROR/`
`parse`	ログから値を抽出	`parse @message "* * *" as a,b,c`
`stats`	集計	`stats count(*) by status`
`sort`	ソート	`sort @timestamp desc`
`limit`	件数制限	`limit 100`

ハンズオン⑤: メトリクスフィルターとアラーム設定

ログに HTTP 5xx エラーが出現したらアラームを発火させる設定を行います。

Step 1: メトリクスフィルターを作成

CloudWatch Logs → ロググループ → メトリクスフィルター作成

CloudWatch → ロググループ → /handson/nginx/access をクリック

「メトリクスフィルター」タブ → 「メトリクスフィルターを作成」

フィルターパターン に以下を入力:

[host, ident, authuser, date, request, status=5*, size]

「パターンのテスト」 をクリックして 5xx が検出されることを確認 → 次へ

メトリクスの詳細を設定:

フィルター名NginxError5xx

メトリクス名前空間HandsonMetrics

メトリクス名Nginx5xxCount

メトリクス値1

→ 「メトリクスフィルターを作成」

Step 2: アラームを作成

CloudWatch → アラーム → アラームの作成

CloudWatch → 「アラーム」 → 「アラームの作成」

「メトリクスの選択」 → HandsonMetrics → Nginx5xxCount を選択

条件を設定:

統計Sum

期間5 分

アラーム条件以上 ≥ 3

通知設定はスキップ（またはメールアドレスを設定）→ アラーム名: handson-nginx-5xx-alarm → 「アラームの作成」

ハンズオン完了！

EC2 の Nginx ログを CloudWatch Logs にリアルタイム収集
Logs Insights でクエリ分析（集計・フィルタ・可視化）
メトリクスフィルター + アラームで 5xx エラーを自動検知

後片付け

作業終了後はリソースを削除してください

削除順序

CloudWatch アラーム: handson-nginx-5xx-alarm を削除
メトリクスフィルター: NginxError5xx を削除
ロググループ: /handson/nginx/access・/handson/nginx/error・/handson/system/messages を削除
EC2 内で Agent を停止: sudo systemctl stop amazon-cloudwatch-agent
IAM ロール: handson-cwl-ec2-role を削除（EC2 からデタッチ後）

次のステップ

さらに学ぶには

VPC Flow Logs — ネットワークトラフィックをログに記録して分析
Lambda のログ — 自動で CloudWatch Logs に送信される仕組みを学ぶ
Container Insights — ECS/EKS のコンテナログをより詳細に可視化
CloudWatch Contributor Insights — 上位 N 件の寄与者を自動特定