Sumo Logic に AWS Config のログを送信してみた

やってみる

本投稿内容は基本的に Sumo Logic の公式ドキュメントを基に検証しています。

AWS Config の設定

まず、AWS Config の有効化と設定変更時に設定変更内容を SNS Topic に送る設定を行います。

AWS 管理コンソールにログインして、Config の有効化します。（私のアカウントでは既に有効化してあったので、Config の設定で SNS Topic の作成から行っていきます。）

これで SNS でトピックが作られます。

Sumo Logic でソースの設定

次に、Sumo Logic の管理コンソールから Hosted Collector に SNS のトピックを受け取るためのエンドポイントとなる HTTP Logs & Metrics のソースを作成します。

Manage Data > Collection
Add Source

ソースの名前と、ソースカテゴリーを任意の値で設定します。

Advanced Options for Logs の設定で、Message Processing の Multiline Processing がデフォルトで有効化されているので、これを無効化して、One Message Per Request にチェックを入れ、設定を保存します。

作成後に、エンドポイントとなるURLが表示されるのでコピーしておきます。

SNS の設定

再び、AWS 管理コンソールに戻って、SNS の設定をしていきます。
Config の設定で新規作成したトピックを選択してサブスクリプションの設定を行います。

サブスクリプションの設定でプロトコルを HTTPS にエンドポイントにコピーしていた値を貼り付け、設定を保存します。

その後、数分待つと Sumo Logic 側にサブスクライブの確認するためのメッセージが届いてきます。

このログが確認できたら、SubscribeURL の値をコピーしておきます。

再度、SNS の設定に戻り、サブスクリプションを選択し、サブスクリプションの確認を選択します。

SubscribeURL の貼り付け、サブスクリプションの確認を行います。

すると、ステータスが確認済みに変更することが分かります。

Sumo Logic への Config の取り込みが行われることを確認する

AWS で VPC の新規作成をしてみました。
その後、Sumo Logic 側で設定したソースを確認します。

きちんとログの取り込みが行われていることが確認できます。

これで通常想定しない設定の変更に対するログの分析であったり、Sumo Logic のビルトインのダッシュボードを展開することができますね。

まとめ

今回は、AWS Config のログを Sumo Logic への取り込みを行ってみました。本ブログが誰かの一助となれば幸いです。