Amazon Web Services (AWS) の監視

Checkmk では、監視対象のすべてのオブジェクトは、ホストとサービスの階層構造に整理されています。 クラウドベースのサービスには、ホストの概念は存在しません。 しかし、Checkmk のシンプルさと一貫性を維持するため、 AWS オブジェクトは、ホスト/サービススキーマに従ってマッピングされています。

その仕組みは、例で説明するとよくわかります。1 つのリージョンに複数の EC2 インスタンスが設定されています。EC2 は通常、EBS に割り当てられます。この 構成は、Checkmk では次のように表示されます。

AWS は、監視データも利用可能な HTTP ベースの API を提供しています。 Checkmk は、Checkmkエージェントの代わりとなるagent_aws スペシャルエージェントを介してこの API にアクセスしますが、このエージェントは Checkmk サーバー上でローカルに実行されます。

Checkmk による監視を有効にするには、ルートアカウントの下に特別な AWS ユーザーを作成することをお勧めします。 ルートユーザーとして AWSにログインし、All services でSecurity, Identity, & Compliance > IAM (Identity and Access Management) に移動します。Users に移動し、Add user で新しいユーザーを作成します。 ユーザー名には、たとえばcheck-mk を選択します。Select AWS credential type のAccess key - Programmatic access を選択することが重要です。

作成したユーザーは、Checkmk による監視にのみ使用し、AWS への読み取り専用アクセス権のみを付与してください。 このユーザーには、ReadOnlyAccess ポリシーを割り当てることをお勧めします。 このポリシーを見つけるには、まず「Attach existing policies directly 」をクリックし、検索ボックスに「readonlyaccess 」と入力します。 検索フィールドの下のリストでは、この文字列を含むポリシーが多数あるため、かなり下にスクロールする必要があります。

ユーザーの作成が完了すると、アクセスキーが自動的に生成されます。 重要：キーの秘密は、作成直後に 1 回だけ表示されます。 そのため、必ずキーをコピーして、たとえば Checkmk パスワードストアに保存してください。 または、ルールとしてプレーンテキストで指定してください（以下を参照）。 Checkmk では、秘密に加えて、Access key ID も必要です。 ユーザー名（この例ではcheck-mk ）はここでは関係ありません。

何らかの理由でシークレットを失った場合は、ユーザー用の新しいアクセスキーを作成し、新しいシークレットを取得することができます。

Checkmk に請求情報への読み取りアクセス権を付与したい場合（Costs and Usage グローバルチェックを実行するため）、 AWS ユーザーに別のポリシーが必要です。このポリシーは、ユーザー自身が最初に定義する必要があります。

Security, Identity, & Compliance > IAM > Policies で、Create Policy ボタンを選択します。Select a Service > Service > Choose a Service から、Billing サービスを選択します。Actions で、Read チェックボックスをオンにします。 追加の許可を設定する必要があります。Add additional permissions ボタンで追加します。Select a Service > Service > Choose a Service から、Cost Explorer Service サービスを選択します。Actions で、Read チェックボックスを再びオンにします。

Review をクリックして、ステップ 2 に進みます。Name に「BillingViewAccess 」を設定し、Create policy ボタンで保存します。

この新しいポリシーをユーザーに追加する必要があります。Security, Identity, & Compliance > IAM > Policiesに戻り、Filter Policies 検索ボックスでBillingViewAccess を探し、 左側の円をクリックして選択し、Policy actions > Attach に移動します。 ここで、check-mk ユーザーを見つけ、これを選択し、Attach policy で確定します。

次に、Checkmk で AWS を監視するためのホストを作成します。 ホスト名は任意で指定できます。 重要：AWS はサービスとして IP アドレスや DNS 名を持たないため（アクセスはスペシャルエージェント自体によって許可されます）、IP address family をNo IP に設定する必要があります。

AWS は通常の Checkmk エージェントではクエリできないため、次に AWSスペシャルエージェントを設定します。 そのためには、Setup > Agents > VM, cloud, container > Amazon Web Services (AWS) に、 条件が先ほど作成した AWS ホストにのみ適用されるルールを追加します。

ルールの実際のコンテンツでは、まずログインに関する情報を見つけます。 ここに、新しく作成した AWS ユーザーcheck-mk の「アクセスキー ID」を入力します。 また、データを取得するためにプロキシが必要かどうか、および監視するグローバルデータ（ つまり、リージョンに依存しないデータ）もここで選択します。 現在、これはコストに関するデータのみです。

上の画像には、「Use STS AssumeRole to assume a different IAM role 」というオプションも表示されています。 AWS で複数のアカウントを使用している場合は、1 つの監視ユーザーを使用して他のアカウントも監視することができます。

しかし、本当に重要なデータは地域に割り当てられています。 そのため、ここでAWSの地域を選択してください：

Services by region to monitor で、これらの地域から取得する情報を指定します。 デフォルトでは、すべての AWS サービスとその制限の監視が有効になっています。 次の画像では、概要をわかりやすくするために、1 つを除くすべてが無効になっています。

これで、Restrict monitoring services by one of these AWS tags で、web サービスごとに、またはグローバルに取得データを制限することができます。 web サービスで制限を設定すると、グローバルな制限は上書きされます。 また、AWS タグで制限するだけでなく、明示的な名前を指定するオプションもあります。

Conditions > Explicit hosts にホスト名を入力して、以前に作成したホストにスペシャルエージェントを割り当てることを忘れないでください。

次に、Checkmk で新しく作成した AWS ホストのサービスディスカバリーに切り替えます。ここで、Checkmk は複数のサービスを見つけるはずです。 サービスを追加し、変更をアクティブにすると、監視画面は次のようになります。

EC2 インスタンスに割り当てられたサービスは、AWS ホストには割り当てられず、いわゆるピギーバックホストに割り当てられます。 これは、AWS ホストから取得したデータが、独自の監視エージェントなしで動作するこれらのピギーバックホストに分散されるという仕組みです。 ピギーバックホストは、各 EC2 インスタンスに割り当てられます。

これらのピギーバックホストの命名については、スペシャルエージェントの設定時に 2 つのスキームから選択できます。 1 つは、ホストのプライベート IP DNS 名に従ってホストに名前を付ける方法です。もう 1 つは、IP、リージョン、インスタンス ID に基づいて、やや長くなりますが、一意の命名を行う方法です。 後者の方法は、Checkmk2.2.0 以降のデフォルト設定です。 地域およびインスタンス ID を含まない方法は、互換性の理由から引き続き提供されています。 このようなピギーバックホストには、たとえば「172.23.1.123-ap-northeast-2-i-0b16121900a32960c 」という名前が付けられます。 これらのホストは、手動で作成するか、可能であればダイナミックホストマネージメントに任せてください。

ELB のサービスもピギーバックホストに割り当てられます。 名前は DNS 名に対応しています。

Checkmk では、各 S3 バケットのトラフィックを監視することができます。 Checkmk では、Simple Storage Service (S3) の下にあるRequest metrics オプションを有効にするだけです。

AWS では、もう少し作業が必要です。 ここでは、監視するバケットに対して、これらのリクエストメトリックを設定する必要があります。 AWS では、その方法の詳細を「バケット内のすべてのオブジェクトに対する CloudWatch メトリック構成の作成」という記事で説明しています。 AWS のセットアップ中に、フィルタの作成を求められます。 このフィルタには、Checkmk で認識されるように「EntireBucket 」という名前を付ける必要があります。 この名前以外のフィルタは、Checkmk によって無視されます。 したがって、Checkmk の機能に影響を与えることなく、このバケットに他のフィルタを自由に定義することができます。

AWS で、いわゆる (フィルタ) 「Scope 」をどのように選択するかは、ユーザー次第です。 ただし、ほとんどの場合、バケット内のすべてのオブジェクトをフィルタに含めるのが妥当です。

リクエストメトリックを設定した後、メトリックが実際に保存されるまで数分かかります。 AWS はこの時間を 15 分と指定しています。

重要：S3 コンソール内のグラフがまだ空の状態である限り、スペシャルエージェントを介して Checkmk に何も届きません。 メトリックが記録されて初めて、Checkmk は対応するサービスを作成できます。 必要に応じて、AWS ホストでサービスディスカバリーを再度実行してください。

AWS の web サービスの中には制限があり、Checkmk はそれらを監視することができます。 以下に例を挙げます。

このようなチェックプラグインがサービスを作成し、後でチェックすると、スペシャルエージェントは常に web サービスのすべてのエレメントを取得します。 この方法でのみ、Checkmk はこれらの制限における現在のワークロードを合理的に計算し、閾値をチェックすることができます。 これは、設定でタグや名前によって取得データを制限した場合も同様です。

制限のチェックは、監視対象の web サービスごとにデフォルトで有効になっています。 転送データ量を制限するために、スペシャルエージェントのルールで取得データを制限したい場合は 制限もオフにする必要があります。

AWS のその他の web サービスは、次のように割り当てられています。