Amazon CloudWatchの新機能「Log Analytics」を試してみた
はじめに
2026年6月15日、Amazon CloudWatchに Log Analytics(ログ分析)が提供開始されました。
これまで個別の画面に分かれていたLogs Insights、Live Tail、Contributor Insightsが1つのコンソールに統合されています。タブ切り替えだけでクエリ・リアルタイム監視・トップコントリビューター分析を行き来できるようになりました。
以下は旧コンソールとの主な違いです。
| 観点 | 旧(個別コンソール) | 新(Log Analytics) |
|---|---|---|
| アクセス | Logs Insights / Live Tail / Contributor Insights が個別メニュー | Logs → ログ分析 に統合 |
| タブ | 単一クエリ | マルチタブで複数クエリを保持・切替 |
| ファセット | なし | 上部バーでフィールド値の分布を可視化・フィルタ |
| AIアシスト | なし | 自然言語でクエリ生成→diff表示→承諾でクエリエディタに反映 |
| クエリ言語 | Logs Insights画面内で選択 | QL / OpenSearch PPL / OpenSearch SQL をクエリエディタ上で切替可能 |
| Contributor Insights | 別画面でルール作成・確認 | Top NタブでContributor Insightsルールの結果を確認 |
| Live Tail | 別画面 | ライブテールタブでシームレスに利用 |
| 追加料金 | — | なし(従来の各機能の料金体系がそのまま適用) |
本記事では、VPCフローログを使ってLog Analyticsの各機能を操作してみました。
Log Analytics へのアクセス
CloudWatchコンソールの左ペインで ログ → ログ分析 を選択します。「新規」バッジが付いており、これがデフォルトのログ分析エクスペリエンスになっています。
初期画面からマルチタブのクエリエディタ、ファセットバー、AIアシスト入力欄が確認でき、各機能の操作を以降のセクションで見ていきます。
Logs Insights でクエリ実行
VPCフローログ(/vpc/flow-logs/test-filter-log-events)を対象に、送信元IP別の通信量を集計するクエリを実行しました。
parse @message "* * * * * * * * * * * * * *" as version, accountId, interfaceId,
srcAddr, dstAddr, srcPort, dstPort, protocol, packets, bytes, startTime,
endTime, action, logStatus
| filter action = "ACCEPT"
| stats count(*) as flowCount, sum(bytes) as totalBytes by srcAddr
| sort totalBytes desc
| limit 10
クエリ結果画面では、上部に時系列の棒グラフ、下部にテーブルが表示されます。「データを表示」タブでテーブルとグラフを同時に確認できました。
結果から 192.168.9.134 が通信量で突出していることが一目で分かります。
可視化の切り替え
今回の stats クエリ結果では、折れ線グラフ・棒グラフ・円グラフなど複数の可視化形式に切り替えられました。
円グラフではflowCountまたはtotalBytesを選択して、特定IPへの偏りを素早く判断できました。
Live Tail でリアルタイム監視
クエリエディタ右上の 「ライブテール」 タブに切り替えると、選択したロググループのログをリアルタイムでストリーミングできます。
VPCフローログを対象にしたLive Tailでは、CloudWatch Logsに取り込まれたフローレコードが継続的に表示される様子を確認できました。画面上部にはイベント/秒のメーターとフィルタ入力欄があり、特定パターンのログだけをリアルタイムで絞り込むことも可能です。
機能面は従来と同等ですが、クエリ作成中にタブ切り替えだけでリアルタイム監視に移れるようになりました。
Top N(Contributor Insights)でトップコントリビューター分析
「Top N」 タブに切り替えると、Contributor Insightsのルールを選択してトップコントリビューターを可視化できます。
今回はVPCフローログに対して送信元IPアドレス(srcAddr)をキーとするルール VPCFlowLogs-TopSrcAddr を作成し、Top Nタブで結果を確認しました。
折れ線グラフで時系列の推移が表示され、検出された送信元IPアドレスのうち上位10件がランキングされています(UIの「50人のうち上位10人の一意の寄稿者」はコンソール翻訳の表記で、集計対象のコントリビューターのうち上位10件を表示している状態です)。今回のLogs Insightsクエリでは指定期間内の合計値を確認しましたが、Contributor Insightsではコントリビューターの推移を時系列で継続的に確認できます。
AI クエリアシスト
画面最上部の入力欄に自然言語でやりたいことを記述すると、AIがクエリを生成してくれます。
「VPCフローログで送信元IP別の通信量トップ5を表示して」と入力したところ、既存のクエリとの差分がdiff形式で表示されました。
左側(赤)が現在のクエリ、右側(緑)がAI生成のクエリです。下部に「承諾」「絞り込む」「却下」のボタンがあり、承諾するとクエリエディタに反映されます。
「承諾」を選択して実行した結果がこちらです。
94,907レコード(11.1MB)を2.6秒でスキャンし、送信元IP別の通信量トップ5が表示されました。
まとめ
Log Analyticsにより、Logs Insights、Live Tail、Contributor Insightsを使ったログ分析操作が1つの画面に集約されました。クエリを書いて結果を確認し、気になるログをLive Tailで確認し、トップコントリビューターの推移を確認する。この一連の確認作業を、Log Analyticsの同一画面内でタブを切り替えながら進められます。
AIクエリアシストはクエリ構文に不慣れな場合の入り口として機能し、diff表示で生成内容を確認してからクエリエディタに反映できる点が便利でした。
参考リンク
