Amazon GuardDuty が Amazon CloudWatch に使用状況メトリクスを発行するようになっていました
こんにちは。テクサポの大森です。
娘が最近ポケモン GO にハマりました。
おかげで私の携帯の充電がすぐになくなります。
はじめに
GuardDuty で使用状況を確認できるメトリクスが取得されるようになりました。*1
私が把握できていなかっただけですが、こちらはどうやら 2025/11 に公開されているようです。*2
今までは コストと使用状況レポートや Cost Explorer でしか使用量を把握できなかったと思うのですが、こちらで指定した期間に GuardDuty でどれだけの分析があったかを把握することができます。
使用状況メトリクス
使用状況が確認できるメトリクスは以下の通りです。
| 保護プラン | データソース | メトリクス名 | 単位 | 説明 |
|---|---|---|---|---|
| 基本的な脅威の検出 | CloudTrailEvents | AnalyzedCount | カウント | 分析された CloudTrail 管理イベントの数 |
| 基本的な脅威の検出 | VPCFlowLogDNSLogEvents | AnalyzedBytes | バイト | 分析された VPC フローログと DNS ログの量 |
| EKS Protection | KubernetesAuditLogs | AnalyzedCount | カウント | 分析された Amazon EKS 監査ログイベントの数 |
| S3 Protection | S3DataEvents | AnalyzedCount | カウント | 分析された S3 データイベントの数 |
| Runtime Monitoring | RuntimeMonitoringEC2 | MonitoredVcpuHours | カウント (vCPU-時間) | Runtime Monitoring でモニタリングされる EC2 vCPU 時間 |
| Runtime Monitoring | RuntimeMonitoringEKS | MonitoredVcpuHours | カウント (vCPU-時間) | Runtime Monitoring によってモニタリングされる Amazon EKS vCPU 時間 |
| Runtime Monitoring | RuntimeMonitoringFargate | MonitoredVcpuHours | カウント (vCPU-時間) | Runtime Monitoring によってモニタリングされる Fargate vCPU 時間 |
| Malware Protection for EC2 | OnDemandEBSSnapshot | ScannedBytes | バイト | スキャンされたオンデマンド EBS スナップショットデータの量 |
| Malware Protection for EC2 | OnDemandEBSVolume | ScannedBytes | バイト | スキャンされたオンデマンド EBS ボリュームデータの量 |
| Malware Protection for EC2 | MalwareProtectionEBS | ScannedBytes | バイト | Malware Protection によってスキャンされた EBS データの量 |
| RDS Protection | RDS | MonitoredAcuHours | カウント (ACU 時間) | モニタリングされる Amazon RDS Aurora キャパシティーユニット |
| RDS Protection | RDSLimitless | MonitoredAcuHours | カウント (ACU 時間) | Amazon RDS Aurora Limitless ACU のモニタリング時間 |
| RDS Protection | AuroraScaleout | MonitoredAcuHours | カウント (ACU 時間) | モニタリングされる Aurora スケールアウト ACU 時間 |
| RDS Protection | RDS | MonitoredVcpuHours | カウント (vCPU-時間) | Amazon RDS vCPU のモニタリング時間 |
| Lambda Protection | LambdaNetworkLogs | AnalyzedBytes | バイト | 分析された Lambda ネットワークログの量 |
GuardDuty コンソールのナビゲーションペインの「使用状況」画面では上記メトリクスが一画面で確認できます。
S3 向けのマルウェア防御 使用状況メトリクス
こちらは GuardDuty コンソールに表示されていないので、 CloudWatch コンソールで確認する必要があるようです。
| メトリクス名 | 単位 | 説明 |
|---|---|---|
| CompletedScanCount | カウント | 特定の時間枠で完了した S3 オブジェクトマルウェアスキャンの数。 |
| FailedScanCount | カウント | 特定の時間枠で失敗した S3 オブジェクトマルウェアスキャンの数。 |
| SkippedScanCount | カウント | 特定の時間枠でスキップされた S3 オブジェクトマルウェアスキャンの数。 |
| InfectedScanCount | カウント | 特定の時間枠で悪意の可能性があるオブジェクトを検出した S3 オブジェクトマルウェアスキャンの数。 |
| CompletedScanBytes | カウント | 特定の時間枠でスキャンされた S3 オブジェクトバイトの数。 |
特定期間の分析された CloudTrail 管理イベント数を確認してみた
ブログ「CloudWatch ダッシュボードで指定した期間のデータ量の合計の表示方法と Metric Math を使用した表示方法の紹介」を元に対象期間のメトリクスの全量を取得してみました。
私の検証環境では 2026/03 に分析された CloudTrail 管理イベント数は 35,657 でした。
※キャプチャでは「35.7 K」と表示されていますが、コンソールの右上のアクションボタンから csv ファイルを取得し、AnalyzedCount の数値:35657 が確認できました。
■メトリクスの指定条件
-
対象期間(2026/03/01 09:00:00~2026/04/01 08:59:59)を指定
※1か月の使用量が UTC 時間で集計されることを考慮し対象期間を設定しています。
最初から UTC 時間で対象期間を指定すれば効率が良いです。。 -
グラフ化したメトリクスタブで統計:合計を選択
-
オプションタブのウィジェットタイプ「数値」で値「時間範囲の値は、全時間範囲からの値を示しています。」を選択
こちらは Cost Explorer の 使用タイプ「APN1-PaidEventsAnalyzed (Events)」の使用量「35,657.00 Events」 と一致します。
メトリクスが公開されたことで可能となったこと
-
24時間以内に公開されるとあるので Cost Explorer へ反映される前に使用状況について時系列で把握することができる
※ Cost Explorer の公式ドキュメントでは前日までのデータが反映されるとあります -
GuardDuty の使用状況メトリクスに対してアラームを設定することができる
-
集計した使用量を元に料金ドキュメントからコストを計算できる
最後に
使用状況メトリクスが公開されたことで時間の経過に伴う実際の使用状況を追跡することが可能になりました。
また Cost Explorer に反映される前にコストを算出することが可能です。
上記の内容がどなたかのお役に立てますと幸いです。
参考
1.GuardDuty の使用状況のモニタリングとコストの見積もり
クラスメソッドオペレーションズ株式会社について
クラスメソッドグループのオペレーション企業です。
運用・保守開発・サポート・情シス・バックオフィスの専門チームが、IT・AIをフル活用した「しくみ」を通じて、お客様の業務代行から課題解決や高付加価値サービスまでを提供するエキスパート集団です。
当社は様々な職種でメンバーを募集しています。
「オペレーション・エクセレンス」と「らしく働く、らしく生きる」を共に実現するカルチャー・しくみ・働き方にご興味がある方は、クラスメソッドオペレーションズ株式会社 採用サイト をぜひご覧ください。
※2026年1月 アノテーション㈱から社名変更しました
