AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約

CloudWatch のログまたはロググループを復元、削除できないようにする方法を教えてください。

所要時間1分
0

Amazon CloudWatch のログまたはロググループを復元、削除できないようにしたいです。

簡単な説明

デフォルトでは、CloudWatch ログは無期限に保存されます。また、デフォルトでは、ロググループは保持設定で NeverExpire を付与して作成されます。ログデータをロググループに保存する期間の保持設定を構成できます。新しいロググループの保持設定が設定されると、新しい保持設定より古いデータがロググループから削除されます。

注: 保持設定または手動削除によってログを削除した場合、そのログを復元することはできません。

解決策

CloudWatch ログが誤って削除されないようにしたり、長期保存およびバックアップ用にログをエクスポートしたりするには、以下の方法を実行してください。

CloudWatch ロググループの IAM アクセス許可を変更します

CloudWatch ログが誤って削除されないように、AWS Identity and Access Management (IAM) アクセス許可を変更してください。ログデータの削除を防ぐには、アクセス許可ポリシーでDeleteLogGroupDeleteLogStreamPutRetentionPolicy パラメーター Deny に設定します。

次の手順を実行します。

  1. IAM コンソールを開きます。
  2. 次に、ナビゲーションペインで [ユーザーまたはロール] を選択します。
  3. リストから、ポリシーを変更するユーザーまたはロールの名前を選択します。
  4. [アクセス許可] タブで [アクセス許可を追加] を選択し、[インラインポリシーを作成] を選択します。
  5. 次のポリシーステートメント、または同等のものを追加します。
    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Sid": "VisualEditor0",
          "Effect": "Deny",
          "Action": [
            "logs:DeleteLogGroup",
            "logs:DeleteLogStream",
            "logs:PutRetentionPolicy"
          ],
          "Resource": "*"
        }
      ]
    }

詳細については、「CloudWatch Logs にアイデンティティベースのポリシー (IAM ポリシー) を使用する」および「CloudWatch Logs のアクセス許可リファレンス」を参照してください。

CloudWatch ログを Amazon S3 バケットにエクスポートする

ログデータの長期保存、バックアップ、カスタム処理と分析を行うには、CloudWatch ログを Amazon S3 にエクスポートします。このデータを他のシステムにロードすることもできます。詳細については、「ログデータを Amazon S3 にエクスポートする」を参照してください。

関連情報

CloudWatch Logs の機能

AWS公式
AWS公式更新しました 9ヶ月前
コメントはありません

関連するコンテンツ