Amazon CloudWatch Logsがエージェントを介さずSyslogプロトコルで直接ログを取り込めるようになったのでYamahaルーターのログを取り込んでみました

• URL: https://dev.classmethod.jp/articles/cloudwatch-logs-support-syslog-protocol
• 日付: 2026-06-25
• Tier: Tier 2
• 要旨: CloudWatch Logs が Syslog プロトコルの直接取り込みに対応しました。これまでエージェント導入が難しいネットワーク機器からのログ取り込みに仲介コンポーネントが必須でしたが、VPC エンドポイント経由の Syslog 受信で不要になります。著者は Yamaha RTX 830 ルーターの Syslog をVPC 内エンドポイント経由で取り込み、VPN 接続と設定変更で正常にログ収集できることを確認しました。

詳細

CloudWatch Logs の Syslog 直接取り込みは VPC エンドポイント経由に限定されるため、オンプレミス機器からの送信には VPN や Direct Connect で接続が必要です。AWS 側設定では VPC エンドポイント（syslog-logs）を作成し、ロググループを用意して Syslog 設定で結びつけます。エンドポイントはUDP ポート 514、TCP ポート 1514、TLS ポート 6514 に対応しており、セキュリティグループで送信元 IP を制限できます。ロググループのリソースベースポリシーで logs:PutLogEvents と logs:CreateLogStream を許可設定します。Yamaha ルーター側は、GUI から VPC エンドポイント IP を Syslog 宛先に指定し、RFC 3164 フォーマット対応（RTX 830 Rev.15.02.31 以降）にファームウェアアップデートしました。ただしYamaha 独自形式はそのまま保存され、CloudWatch Logs Insights で自動フィールド抽出されます。ログストリームはVPC エンドポイント単位で自動作成される（VPCE_ID_Syslog_Region 形式）ため、複数送信元の場合は別エンドポイント分割やサブスクリプションフィルタでの転送が必要になります。Insights でのホスト名検索はフルスキャンになるため、物量が多い場合は事前分割を検討すべきです。