Amazon CloudWatch Logsの新機能「マネージドsyslogインジェスト」で、エージェントなしにVPC内からsyslogを直接取り込んでみた

• URL: https://dev.classmethod.jp/articles/cloudwatch-logs-syslog-ingestion
• 日付: 2026-06-25
• Tier: Tier 2
• 要旨: 2026年6月にCloudWatch Logsへマネージドsyslogインジェスト機能が追加された。従来はエージェント必須だったが、VPCエンドポイント経由でsyslogを直接取り込める。RFC 5424他のフォーマットは自動パースされ、facility・severity・hostnameなどが構造化フィールドとして抽出される。パブリック接続を避ける閉域環境での活用が想定される。

詳細

セットアップはVPC環境での新機能。Interface型VPCエンドポイント作成、セキュリティグループでTCP 1514 / UDP 514 許可、ロググループ作成、リソースポリシーで syslog.logs.amazonaws.com に権限付与、最後にSyslog Configuration作成で完成する。syslogメッセージはエンドポイント経由でPrivateLinkを通る。プロトコルは TCP TLS 6514（暗号化・コンプライアンス向け）、TCP plaintext 1514（ネットワーク分離済み）、UDP 514（ベストエフォート）から選択。RFC 5424フォーマットの場合、パース可能なタイムスタンプがあるとそれがイベントタイムスタンプになる。CloudWatch Logs Insightsで message フィールド（本文のみ）と @message（全体）を区別して参照可能。msgId・structuredDataも個別フィールドとして抽出されるが、構造化データ内のkey-valueは文字列のままで分解されない。VPCエンドポイント費用は東京 $0.014/ENI/時間（月額約$10-30程度、AZ数依存）、データ処理 $0.01/GB。従来のsyslogサーバー運用削減と監視フロー影響度をバランスして採用判断する。