Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
re:Invent期間に発表されたCloudWatch Logsのアップデートを金融エンジニア...
Search
Naoki Yoshitake
January 11, 2024
Technology
1
730
re:Invent期間に発表されたCloudWatch Logsのアップデートを金融エンジニアの目線で試してみる
『Fin-JAWS 第34回 re:Invent 金融re:Cap』のLT資料です
https://fin-jaws.connpass.com/event/306771/
Naoki Yoshitake
January 11, 2024
Tweet
Share
More Decks by Naoki Yoshitake
See All by Naoki Yoshitake
re:Invent 2024 Keynoteに対する所感と考察 | My Take on the Keynote
ny7760
0
49
来年もre:Invent2024 に行きたいあなたへ - “集中”と“つながり”で楽しむ -
ny7760
1
970
ロングコンテキストLLMにリポジトリを読み込ませてみる
ny7760
0
510
The Twelve-Factor App とクラウドアプリケーションのコスト
ny7760
4
540
Other Decks in Technology
See All in Technology
Amazon Kendra GenAI Index 登場でどう変わる? 評価から学ぶ最適なRAG構成
naoki_0531
0
110
どちらを使う?GitHub or Azure DevOps Ver. 24H2
kkamegawa
0
770
GitHub Copilot のテクニック集/GitHub Copilot Techniques
rayuron
36
13k
5分でわかるDuckDB
chanyou0311
10
3.2k
How to be an AWS Community Builder | 君もAWS Community Builderになろう!〜2024 冬 CB募集直前対策編?!〜
coosuke
PRO
2
2.8k
TSKaigi 2024 の登壇から広がったコミュニティ活動について
tsukuha
0
160
OpenAIの蒸留機能(Model Distillation)を使用して運用中のLLMのコストを削減する取り組み
pharma_x_tech
4
560
podman_update_2024-12
orimanabu
1
270
サービスでLLMを採用したばっかりに振り回され続けたこの一年のあれやこれや
segavvy
2
420
Wvlet: A New Flow-Style Query Language For Functional Data Modeling and Interactive Data Analysis - Trino Summit 2024
xerial
1
120
開発生産性向上! 育成を「改善」と捉えるエンジニア育成戦略
shoota
2
350
第3回Snowflake女子会_LT登壇資料(合成データ)_Taro_CCCMK
tarotaro0129
0
190
Featured
See All Featured
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
Designing on Purpose - Digital PM Summit 2013
jponch
116
7k
StorybookのUI Testing Handbookを読んだ
zakiyama
27
5.3k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.2k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Producing Creativity
orderedlist
PRO
341
39k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5.1k
Optimising Largest Contentful Paint
csswizardry
33
3k
Site-Speed That Sticks
csswizardry
2
190
Gamification - CAS2011
davidbonilla
80
5.1k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
32
2.7k
Transcript
CONFIDENTIAL 1 © 2024 Japan Digital Design, Inc. re:Invent期間に発表された CloudWatch
Logsのアップデートを 金融エンジニアの目線で試してみる Japan Digital Design Technology & Development Div Naoki Yoshitake 2024.01.10
2 CONFIDENTIAL © 2024 Japan Digital Design, Inc. 吉竹 直樹
Technical Project Manager Japan Digital Design • 2022 APN AWS Top Engineer • 『AWS認定資格試験テキスト AWS認定SysOpsアドミニス トレーター – アソシエイト』の執筆に参加 プロフィール この写真は犬カフェのもので飼い犬ではありません。かわいいけど 資格等 • 2023/11からJDDでTechnical Project Manager として活動 • 前職のSIerでは、アプリケーションエンジニアとして活動 • 業界:銀行/資産運用/クレジット/生保…等 • システム:オンプレミスの業務系〜AWSのコンテナアプリ…等
3 CONFIDENTIAL © 2024 Japan Digital Design, Inc. Japan Digital
Design株式会社 2017年10月2日 代表取締役 CEO 浜根 吉男 85名(2023年9月末時点) 株式会社三菱UFJフィナンシャル・グループ 株式会社三菱総合研究所 三菱UFJリサーチ&コンサルティング株式会社 社名 設立 代表者 従業員数 株主構成 会社概要
4 CONFIDENTIAL © 2024 Japan Digital Design, Inc. re:Invent この時のモチベーションでAWSを深く学ぶようになった。
⇛Top Engineer や執筆の活動へ繋がることに 2019年のre:Inventは現地参加 re:Invent 皆さん現地参加しましたか? 私はオンラインです
5 CONFIDENTIAL © 2024 Japan Digital Design, Inc. CloudWatch Logs
注目したアップデート AWSの重要事項である2つの要素に関するアップデートがあった • コスト • re:Invent 2023での Amazon CTO Werner 氏による基調講演 『倹約なアーキテクト(THE FRUGAL ARCHITECT) 』 • セキュリティ • 『AWSクラウドセキュリティは最優先事項です (“Cloud security at AWS is the highest priority.”)』 注目した理由 出典:https://docs.aws.amazon.com/ja_jp/whitepapers/latest/aws-overview/security-and-compliance.html
6 CONFIDENTIAL © 2024 Japan Digital Design, Inc. 01 低頻度アクセス
ログクラス
7 CONFIDENTIAL © 2024 Japan Digital Design, Inc. 低頻度アクセスログクラス CloudWatch
Logs のコスト 気になりませんか? • Logs はログ取込(収集)に それなりのコストがかかる。 • もしLogsが高いと感じている場 合、まず取込量を見直すべき。 Logs 以下のようなケースでコストが大変なことになります… • パフォーマンステストで出力された大量のログを全てLogsに取り込んでいる • 不要なデバッグログが大量に出力されている 取込で特にコストを気にするケース EC2 agent 取込のコストに注意 保存にもコストがかかる
8 CONFIDENTIAL © 2024 Japan Digital Design, Inc. 低頻度アクセスログクラス re:Invent期間に
低頻度アクセス ログクラスが発表 出典:[AWS Black Belt Online Seminar] AWS re:Invent 2023速報 https://aws.amazon.com/jp/blogs/news/2023-12-reinvent2023-aws-blackbelt/
9 CONFIDENTIAL © 2024 Japan Digital Design, Inc. 低頻度アクセスログクラス 低頻度アクセスログクラスを
試してみる 1/2 1. ログクラスに”Infrequent Access”を指定してロググルー プを作成 2. 作成したロググループを出力先 として設定 (画像はECS タスク定義の例)
10 CONFIDENTIAL © 2024 Japan Digital Design, Inc. 低頻度アクセスログクラス 低頻度アクセスログクラスを
試してみる 2/2 3. ログストリームをクリックする と、インサイトの画面に飛ぶ。 ログを参照するには、 CloudWatch Logs Insights を 利用する必要あり
11 CONFIDENTIAL © 2024 Japan Digital Design, Inc. コスト •
標準のログクラスに比べて 「収集」のコストが半額に • Logs Insights を使うことにな るため、参照にもコストがか かる。以下のような使い方は コスト超過のおそれあり • 頻繁なログへのアクセス • 大量のログデータをスキャン 出典:https://aws.amazon.com/jp/cloudwatch/pricing/ スキャンしたデータ 1 GB あたり 0.0076 USD 低頻度アクセスログクラス CloudWatch Logs のコスト(東京リージョン)
12 CONFIDENTIAL © 2024 Japan Digital Design, Inc. 低頻度アクセスログクラス 制約事項
• サブスクリプションフィル ターや, Live Tail などの機能が 利用不可 出典:https://aws.amazon.com/jp/blogs/news/new-amazon-cloudwatch-log-class-for-infrequent-access-logs-at-a-reduced-price/ 低頻度アクセスログクラスと標準ログクラスの比較
13 CONFIDENTIAL © 2024 Japan Digital Design, Inc. 低頻度アクセスログクラス 使い所を考えてみる
• AWSブログでは「フォレンジッ ク分析」「コンプライアンス」 が例として記載されている • 金融システムでも、ログの長期 保存や監査が要件になることが ある 上記以外での使い所 • 対象ログの参照頻度が低く、コスト重視で割り切れるケース • 障害調査が少ない、障害が発生しても緊急度が低い • 但し、対象のログを障害のアラート等には使っていない (サブスクリプションフィルタが使えないため) • 開発環境で参照頻度の低いログの出力先 分析・長期保存での使い所 • 対象のログを Insights で分析するケース • Insights の機能で要件を満たす分析が可能 • 低頻度アクセスはエクスポートができないため、他サービスでログを使うことが難しい
14 CONFIDENTIAL © 2024 Japan Digital Design, Inc. 低頻度アクセスログクラス 懸念事項
• 制約事項が多く、本番システム で利用するにはハードルが高く 感じる 長期保存や分析用途なら標準クラス+S3のほうが無難に思える Logs S3 • 従来のアーキテクチャ例 • ログをCloudWatch LogsとS3にそれぞれ保存 • 2週間以内はLogsで参照、2週間経過したらLogsから削除する。 以降はS3からログを取得 • Logs の保存コストを節約可能 • エクスポート機能等を使った分析も可能 後からアーキテクチャの変更をしづらい点が懸念 • エクスポートやサブスクリプションフィルタ等の便利機能が使えない • 一度作ったログクラスを変更できない ⇛ 後から「やっぱり標準クラスが良い」となると困る
15 CONFIDENTIAL © 2024 Japan Digital Design, Inc. 低頻度アクセスログクラス 公式ブログを読み返すと…
• 「ログタイプごとに異なるソリューション を選択したりして、さまざまなロギングソ リューションを管理するのが複雑になり、 非効率になるお客様もいます。 〜(略)〜こ れらの回避策はアプリケーションのオブ ザーバビリティに影響を与える可能性があ ります。なぜなら、顧客はログを確認する ために複数のソリューション間を移動する 必要があるからです。 」 • 「すべてのログを 1 か所にまとめ〜(略)〜 CloudWatch を使用して包括的なオブザー バビリティソリューションを構築」 ログを1つのサービスで見られる点 に重点を置いている 低コスト化よりも Observability 向上のアップデートと捉えられる • 複数のログ管理サービスを扱うことの煩雑さの解消や、それの伴うコストの削減 • 近年の CloudWatch は Observability に関する機能の進化が著しいので、 将来的には「ログはLogs にまとめれば十分」と言えるようになるかもしれない 出典:AWS Summit Online 2022「AWS の Observability(可観測性)の全体像〜 Amazon CloudWatch とオープンソースの活⽤〜」
16 CONFIDENTIAL © 2024 Japan Digital Design, Inc. 02 カスタムデータ識別子のデータ保護
17 CONFIDENTIAL © 2024 Japan Digital Design, Inc. カスタムデータ識別子のデータ保護 ログのセキュリティ
気にしてますか? • そもそも、ログに機密情報を 出力すべきではない • OWASP Logging Cheat Sheet • 但し、従来はOKだった情報も 法改正等により個人情報として 扱われる可能性も • システムのユーザーIDも「照合容 易性(*1)」を満たすと社内では個 人情報の扱いになるケースがある クラウドではログのセキュリティへの意識も求められるように • ログのセキュリティは後回しにされがち(かもしれない) • ログはアプリケーションの全機能に関わる。修正コストが膨大 • ユーザーへの直接的な価値に繋がらない(システム上は非常に重要だが) • ログの設計指針が無い時代にシステムが作られた • OWASPのログのチートシートも6年前(?)が初版 • そもそもクラウドになることを想定していなかった • クラウドでは本番環境とログの参照でアクセス権限が異なるケースがある • ログを外部のSaaSへ送信して利用 • コンソールでLogsを参照 ※各社の設計次第です ※オンプレでも障害アラートのメールにログの情報を出力している みたいなケースはあったと思われます Logs EC2 SSHは本番アクセス統制 ログやメトリクスの 参照は別権限 (*1) 社内において、IDだけで特定の個人を 「いつでも簡単に照合できるようなケース」
18 CONFIDENTIAL © 2024 Japan Digital Design, Inc. カスタムデータ識別子のデータ保護 CloudWatch
Logs データ保護で カスタムデータ識別 子のサポートを開始 出典:https://aws.amazon.com/jp/about-aws/whats-new/2023/12/amazon-cloudwatch-logs-data-protection-data-identifiers/ 微妙にre:Invent期間からズレてますがご了承ください 2022年のre:Inventで発表された機密 データ保護の機能が強化
19 CONFIDENTIAL © 2024 Japan Digital Design, Inc. カスタムデータ識別子のデータ保護 データ保護を試してみる
1/2 1. ロググループの「データ保護」 タブからポリシーを作成 2. “Custom Data Identifier Configuration”を追加する こちらが今回のアップデート マネージドは従来から存在
20 CONFIDENTIAL © 2024 Japan Digital Design, Inc. カスタムデータ識別子のデータ保護 低頻度アクセスログクラスを
試してみる 2/2 3. 正規表現でマスクしたいデータ を表現する 4. 設定後に出力されるログでマス クされるようになる • Logs上の見え方が変わるだけで ログデータが失われているわけで はない userIDがUUIDだった時の例 IDがマスクされている emailがマスクされているのは マネージドも設定したため
21 CONFIDENTIAL © 2024 Japan Digital Design, Inc. コスト •
検出のためにスキャンした データ量に対して課金 • 取り込んだ全量をスキャン対象 とした場合16%弱のコスト増加 • 0.76 + 0.12 = 0.88 USD • 結構お高い… • 対象とするロググループは 選定した方が良い • ロググループを分けられるような アプリケーションの作りにしてお くことが重要 出典:https://aws.amazon.com/jp/cloudwatch/pricing/ スキャンされたデータ 1 GB あたり 0.12 USD カスタムデータ識別子のデータ保護 CloudWatch Logs のコスト(東京リージョン)
22 CONFIDENTIAL © 2024 Japan Digital Design, Inc. カスタムデータ識別子のデータ保護 試してみて気になった点
1/2 • 主に正規表現の使い方 正規表現次第では、JSON出力が崩れる場合がある • アプリケーション側でログをJSON出力すると、Insights でフィールドの選択や 集計など便利に使うことができる • 正規表現の設定次第では、テキストに戻って出力されてしまう
23 CONFIDENTIAL © 2024 Japan Digital Design, Inc. カスタムデータ識別子のデータ保護 試してみて気になった点
2/2 • 主に正規表現の使い方 同一体系のIDが一緒にマスクされる • ID体系に対する正規表現なので、別フィールドがマスクされる可能性がある • 「“id”フィールドの後のUUID(正規表現)」のような指定ができるとありがたい ヘッダーに設定したリクエスト 識別用のIDもマスクされた
24 CONFIDENTIAL © 2024 Japan Digital Design, Inc. 03 終わりに
25 CONFIDENTIAL © 2024 Japan Digital Design, Inc. • 低頻度アクセスログクラス
• Logsでコスト要因になりがちな「取込」のコストを半額に • 機能制約が多く、上手く使うには検討が要りそう • CloudWatch の Observability 機能のさらなる進化に期待 • カスタムデータ識別子へのデータ保護 • ログのセキュリティを見直す良い機会に • 設定も簡単で便利だが、コストには注意 • 生成系AIも良いけど、実運用に役立つアップデートは嬉しい サマリ 終わりに
26 CONFIDENTIAL © 2024 Japan Digital Design, Inc. • ASCII.jp:倹約的なアーキテクトとは?
AmazonボーガスCTOが今一番気になるコストとAIを語る • https://ascii.jp/elem/000/004/173/4173943/ • Amazon S3とCloudWatch Logsのログ保存料金とサイズを見てみた | DevelopersIO • https://dev.classmethod.jp/articles/compare-archive-cost-cloudwatchlogs-s3/ • モニタリングとオブザーバビリティ|AWSを題材にしたケーススタディ|ブログ|NRIセキュア • https://www.nri-secure.co.jp/blog/aws-monitoring-observability • O'Reilly Japan Blog - スタートアップ企業向けインフラ運用入門(2):ログ・メトリクスの収集 • https://www.oreilly.co.jp/blog/2012/08/infrastructure-management-for-startups-log-metrics.html • OWASP / Logging Cheat Sheet • https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Logging_Cheat_Sheet.md • 個人情報保護法の知識<第5版> • https://bookplus.nikkei.com/atcl/catalog/2021/9784532114251/ • Amazon CloudWatch Logs内の機密データをマスキングする方法 (CloudWatch Logs の機密データ保護機能) - サーバーワークスエンジニアブログ • https://blog.serverworks.co.jp/cloud-watch-logs-protect-sensitive-data その他参考文献 終わりに
Thank you. 27 CONFIDENTIAL © 2024 Japan Digital Design, Inc.