Amazon CloudWatch のログまたはロググループを復元、削除できないようにしたいです。
簡単な説明
デフォルトでは、CloudWatch ログは無期限に保存されます。また、デフォルトでは、ロググループは保持設定で NeverExpire を付与して作成されます。ログデータをロググループに保存する期間の保持設定を構成できます。新しいロググループの保持設定が設定されると、新しい保持設定より古いデータがロググループから削除されます。
注: 保持設定または手動削除によってログを削除した場合、そのログを復元することはできません。
解決策
CloudWatch ログが誤って削除されないようにしたり、長期保存およびバックアップ用にログをエクスポートしたりするには、以下の方法を実行してください。
CloudWatch ロググループの IAM アクセス許可を変更します
CloudWatch ログが誤って削除されないように、AWS Identity and Access Management (IAM) アクセス許可を変更してください。ログデータの削除を防ぐには、アクセス許可ポリシーでDeleteLogGroup、DeleteLogStream、PutRetentionPolicy パラメーター Deny に設定します。
次の手順を実行します。
- IAM コンソールを開きます。
- 次に、ナビゲーションペインで [ユーザーまたはロール] を選択します。
- リストから、ポリシーを変更するユーザーまたはロールの名前を選択します。
- [アクセス許可] タブで [アクセス許可を追加] を選択し、[インラインポリシーを作成] を選択します。
- 次のポリシーステートメント、または同等のものを追加します。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream",
"logs:PutRetentionPolicy"
],
"Resource": "*"
}
]
}
詳細については、「CloudWatch Logs にアイデンティティベースのポリシー (IAM ポリシー) を使用する」および「CloudWatch Logs のアクセス許可リファレンス」を参照してください。
CloudWatch ログを Amazon S3 バケットにエクスポートする
ログデータの長期保存、バックアップ、カスタム処理と分析を行うには、CloudWatch ログを Amazon S3 にエクスポートします。このデータを他のシステムにロードすることもできます。詳細については、「ログデータを Amazon S3 にエクスポートする」を参照してください。
関連情報
CloudWatch Logs の機能