AWS/Azure

AWS EC2のCPUクレジットとは、無くなる前にLSCで監視して気づこう

この記事は投稿日から1年以上経過しています。

当記事では、AWS EC2のCPUクレジットとは何か、LogStare CollectorにおけるCPUクレジット監視方法について記載します。

CPUクレジットとは

Amazon EC2のT系インスタンスでは、ベースラインという一定のCPU使用率が決められています。
CPU使用率がベースラインを超えている際、CPUクレジットを消費して、ベースライン以上のCPUを使用することができます(これをバーストと言います)。
反対に、CPU使用率がベースラインを下回っているとCPUクレジットは蓄積されていきます。

クレジット仕様がStandardに設定されている場合、CPUクレジットが無くなると、CPU使用率がベースライン以下まで制限されます。
クレジット仕様がUnlimitedの場合は、追加料金が発生する場合があります。

このようなことが発生する前に、LogStare CollectorでCPUクレジットを監視してみましょう。

AWS側の設定

初めにポリシーを作成します。
その後の手順は、LogStare CollectorがEC2インスタンス上にある場合と、EC2インスタンス外にある場合で異なります。

ポリシーの作成

  • IAMにてCloudWatch監視用のポリシーを作成します。
    1. 「ポリシー」→「ポリシーを作成」を押下し作成画面へ行きます。
    2. 以下の設定を変更し、ポリシーを作成します。
      • 「サービス」:CloudWatchを選択します。
      • 「アクション」:「リスト」から「ListMetrics」、「読み込み」から「GetMetricStatistics」を選択します。

CloudWatch監視に必要な権限につきまして、詳しくは以下の記事を参照してください。
CloudWatch監視に必要な権限について

LSCがEC2インスタンス上にある場合

インスタンスに必要な権限を付与したIAMロールを設定していきます。

  1. IAMにてロールを作成します。
    1. 「ロール」→「ロールを作成」を押下し、ロール作成画面へ行きます。
    2. 「EC2」を選択し、「次へ」を押下します。
    3. 先ほど作成したCloudWatch用ポリシーを許可し、「次へ」を押下します。
    4. 最後にロール名やタグ等を設定し、「ロールを作成」を押下します。
  2. ロール作成が終了したら、インスタンスにIAMロールを設定します。
    1. EC2の「インスタンス」より、LSCがインストールされているインスタンスを選択します。
    2. 画面右の「アクション」から「セキュリティ」、「IAMロールを変更」押下します。
    3. 「IAMロールを選択」から、先ほど作成したロールを選択し、「IAMロールの更新」を押下します。

LSCがEC2インスタンス外にある場合

  1. IAMにてCloudWatch監視に必要な権限を持ったユーザを作成します。
    1. 「ユーザ」→「ユーザを追加」を押下します。
    2. ユーザ名を設定後、「許可を設定」の画面に行きます。
    3. 「ポリシーを直接アタッチする」を選択し、先ほど作成したCloudWatch監視用ポリシーを許可し、「次へ」を押下します。
    4. 最後に、タグを設定しユーザを作成します。
  2. IAMにてアクセスキーを作成します。
    1. 作成したユーザを選択し、「セキュリティ認証情報」→「アクセスキーを作成」を押下し、アクセスキーを作成してください。
    2. 作成されたアクセスキー・シークレットキーをダウンロードします。

LogStare Collector側の設定

当記事では、LogStare Collector 2.3.4 BuildNumber:230220を使用しています。

AWS CLIのインストール

visudoの設定変更

  • visudoにてsecure_pathに/usr/local/binを追記します。
    # visudo


    変更前:secure_path = /sbin:/bin:/usr/sbin:/usr/bin
    変更後:secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin

アクセスキー、シークレットキーの登録       ※LSCがEC2インスタンス外にある場合のみ

  • aws configureを実行し、アクセスキーやシークレットキーの設定を行います。
    # aws configure

    • 「AWS Access Key ID」:取得したアクセスキーを入力します。
    • 「AWS Secret Access Key」:取得したシークレットキーを入力します。
    • 「Default region name」:利用しているリージョンを入力します。
    • 「Default output format」:jsonを入力します。

デバイスの追加

  • LogStare Collectorを起動し、デバイスの追加を行います。
    1. 左のタブより「監視・ログ収集設定」の「デバイス・グループ」を押下します。
    2. デバイスを登録するグループを選択後、画面右の「+」を押下します。
    3. デバイス追加設定を行います。
    4. 以下の設定項目を変更後「追加」を押下します。
      • 「デバイス名」:任意の名前を設定してくだい。
      • 「IPアドレス」:入力必須の項目ですが、CloudWatch監視ではIPアドレスを問わないので、当記事では「127.0.0.1」とします。
      • 「監視間隔」:今回は300秒を設定します。

CloudWatch監視設定

  • CloudWatch監視の設定を行います。
    1. 左のタブより「監視・ログ収集設定」の「監視・収集」を押下します。
    2. 画面右の「+」を押下します。
    3. 監視設定を行います。

    4. 以下の設定項目を変更後、「追加」を押下します。
      • 「監視・収集」:「CloudWatch監視」を選択します。
      • 「監視・収集項目」:「EC2_CPUクレジットメトリクス」を選択します。
      • 「メトリクス名」:蓄積クレジット数を確認するため、「CPUCreditBalance」を選択します。
      • 「ディメンション」:監視対象のインスタンスと同じIDのものを選択します。
      • 「取得値タイプ」:「Average」を選択します。

CloudWatch監視設定の詳細につきましては以下の記事を参照してください。
CloudWatch監視の設定

取得したログ

  • 取得したログは「検索・ダウンロード」にて確認することができます。
    Valueの値が現在蓄積されているCPUクレジットになります。
  • 「監視・モニタリング」→「ダッシュボード」で、ウィジェット設定をすると、視覚的にわかりやすく確認できます。
  • 監視設定の「閾値設定」を変更すると、指定した値を下回ったときにアラートを出すこともできます。
    閾値設定の詳細につきましては以下の記事を参照してください。
    取得エラー判定回数と閾値の監視設定について

以上でLogStare CollectorにおけるCPUクレジット監視方法についての説明を終了します。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

FortiGate 取得するべきSNMPトラップの種類と監視方法前のページ

【FortiGate】CLIコンソールでのログの表示方法次のページ

ピックアップ記事

  1. ログフォワーダー「okurun.jar」について
  2. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  3. IoT機器「Raspberry pi」とLogStare Collectorで温…
  4. Zabbixヒストリデータのレポート生成について

関連記事

  1. AWS/Azure

    NATGateway関連メトリクス一覧

    当記事では、CloudWatch監視にて対応しているNATGatewa…

  2. NW機器

    【2021/12/29更新】Log4jの脆弱性(CVE-2021-44228)に対する各UTM/IP…

    ※本記事の内容は、2021年12月13日現在の公開情報をもとに記載して…

  3. AWS/Azure

    AWS Network Firewallにおけるログの出力方法

    当記事では、AWS Network Firewallにおけるログの出力…

  4. AWS/Azure

    RDS関連メトリクス一覧

    当記事では、CloudWatch監視にて対応しているRDS関連メトリク…

  5. AWS/Azure

    EBS関連メトリクス一覧

    当記事では、CloudWatch監視にて対応しているEBS関連メトリク…

月額200円でM356の監査ログの運用レベルUP LogStare M365

AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  2. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  3. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  4. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  5. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
PAGE TOP