CloudWatch Logs ログストリーム上に特定文字列を検知した際にSlackに通知する方法

はじめに

クラウドインテグレーション事業部の三木です。
既知の原因により継続的にALBで5xxエラーが発生している状況がありました。
5xxエラー発生時に、CloudWatch Logs ログストリーム上に特定の文字列が出力されていないか、随時確認を行っていました。
毎回ログストリームを確認するのが手間に感じたため、特定の文字列を検知した際に特定の文字列を含むログをSlack通知できる様にしました。

構成

以下の様に、EC2へインストールしているApacheのアクセスログをCloudWatch Logs へ出力していました。

今回Terraformで以下のAWSリソースを作成します。

CloudWatch Logs ロググループ
CloudWatch Logs ログストリーム
CloudWatch Logs サブスクリプションフィルター
Lambda
IAM Role
IAM Policy

TerraformでAWSリソースを作成した後の構成は以下の様になります。
赤で囲っている部分がTerraformで作成するAWSリソースとなります。

準備

Terraformに必要なファイルの作成

ディレクトリ構造

miki1:Downloads miki$ tree
.
├── backend.tf
├── functions
│   └── lambda_function.py
├── main.tf
└── variable.tf

1 directory, 4 files
miki1:Downloads miki$

backend.tfの内容

backend.tfでは「プロバイダー情報」を記載しています。

miki1:Downloads miki$ cat backend.tf
terraform {
  required_providers {
    aws = {
      source  = "hashicorp/aws"
      version = "~> 3.44.0"
    }
  }

  required_version = "~> 1.3.1"
}

provider "aws" {
  region     = "ap-northeast-1"
  access_key = var.aws_access_key
  secret_key = var.aws_secret_key
}
miki1:Downloads miki$

variable.tfの内容

variable.tfでは他のファイルで利用している変数定義を記載しています。

miki1:Downloads miki$ cat variable.tf
variable "aws_access_key" {}
variable "aws_secret_key" {}
miki1:Downloads miki$

lambda_function.pyの内容

Webhook URLは以下リンク先より作成できます。[1]

https://slack.com/signin?redir=%2Fservices%2Fnew%2Fincoming-webhook

miki1:Downloads miki$ cat functions/lambda_function.py
import logging
import json
import urllib.request
import base64
import gzip

logger = logging.getLogger()
logger.setLevel(logging.INFO)

def post_slack(argStr):
    message = argStr

    send_data = {
    <span class="loom_code_cs_string">"username"</span>: <span class="loom_code_cs_string">"alert_not<span class="loom_code_cs_reserved">if</span>ication"</span>,
    <span class="loom_code_cs_string">"icon_emoji"</span>: <span class="loom_code_cs_string">":bell:"</span>,
    <span class="loom_code_cs_string">"text"</span>: message,
    }

    send_text = <span class="loom_code_cs_string">"payload="</span> + json.dumps(send_data)

    # URLにはご自分のWebhook URLを入力してください
    request = urllib.request.Request(
    <span class="loom_code_cs_string">"https:<span class="loom_code_cs_linecomment">//hooks.slack.com/services<span class="loom_code_cs_blockcomment">/*********/</span>***********/************************"</span>,</span>
    data=send_text.encode(<span class="loom_code_cs_string">"utf-8"</span>),
    method=<span class="loom_code_cs_string">"POST"</span>
    )

    with urllib.request.urlopen(request) <span class="loom_code_cs_reserved">as </span>response:
        response_body = response.read().decode(<span class="loom_code_cs_string">"utf-8"</span>)

def lambda_handler(event, context):

    # CloudWatch Logsからのデータはbase64エンコードされているのでデコード
    decoded_data = base64.b64decode(event['awslogs']['data'])

    # バイナリに圧縮されているため展開
    json_data = json.loads(gzip.decompress(decoded_data))

    # ログデータ取得
    error_log = json_data['logEvents'][0]['message']

    post_slack(error_log)
miki1:Downloads miki$

main.tfの内容

「************」には自身のAWS アカウントIDを記載します。

miki1:Downloads miki$ cat main.tf
resource "aws_cloudwatch_log_group" "log_group" {
  name = "iret-media"
}

resource "aws_cloudwatch_log_stream" "log_stream" {
  name           = "iret-media"
  log_group_name = aws_cloudwatch_log_group.log_group.name
}

resource "aws_cloudwatch_log_subscription_filter" "logfilter" {

    distribution = "ByLogStream"
    filter_pattern = "ERROR"
    log_group_name = aws_cloudwatch_log_group.log_group.name
    name = "iret-media"
    destination_arn = aws_lambda_function.lambda.arn
}

resource "aws_lambda_function" "lambda" {
    function_name = "iret-media"
    handler = "lambda_function.lambda_handler"
    memory_size = "128"
    role = aws_iam_role.role.arn
    runtime = "python3.8"
    filename = data.archive_file.function_source.output_path
    source_code_hash = data.archive_file.function_source.output_base64sha256
    timeout = "60"
}
data "archive_file" "function_source" {
  type        = "zip"
  source_dir  = "${path.module}/functions"
  output_path = "${path.module}/archive/function.zip"
}

resource "aws_lambda_permission" "lambda_permission" {
    statement_id  = "AllowExecutionFromCloudWatch"
    action        = "lambda:InvokeFunction"
    function_name = aws_lambda_function.lambda.function_name
    principal     = "logs.amazonaws.com"
    source_account = "************"
    source_arn    = "arn:aws:logs:ap-northeast-1:************:log-group:iret-media:*"
}

resource "aws_iam_role" "role" {
  name = "iret-media"
  assume_role_policy = jsonencode({
    Version = "2012-10-17"
    Statement = [
      {
        Action = "sts:AssumeRole"
        Effect = "Allow"
        Principal = {
          Service = "lambda.amazonaws.com"
        }
      },
    ]
  })
}

resource "aws_iam_policy" "policy" {
  name        = "iret-media"

  policy = <<EOF
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "logs:CreateLogGroup",
            "Resource": "arn:aws:logs:ap-northeast-1:************:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:ap-northeast-1:************:log-group:/aws/lambda/iret-media:*",
                "arn:aws:logs:ap-northeast-1:************:log-group:/aws/lambda/iret-media:*"
            ]
        }
    ]
}
EOF
}

resource "aws_iam_role_policy_attachment" "CloudWatchLogsFullAccess" {
  role       = aws_iam_role.role.name
  policy_arn = "arn:aws:iam::aws:policy/CloudWatchLogsFullAccess"
}

resource "aws_iam_role_policy_attachment" "LambdaAccess" {
  role       = aws_iam_role.role.name
  policy_arn = aws_iam_policy.policy.arn
}
miki1:Downloads miki$

TerraformでAWSリソースの作成

main.tfがあるディレクトリ上で、terraform initを実行します。

miki1:Downloads miki$ ls
backend.tf  functions   main.tf     variable.tf
miki1:Downloads miki$

miki1:Downloads miki$ terraform init

Initializing the backend...

Initializing provider plugins...
- Finding hashicorp/aws versions matching "~> 3.44.0"...
- Finding latest version of hashicorp/archive...
.....省略
miki1:Downloads miki$

terraform applyを実行するとアクセスキー/シークレットアクセスキーが求められるので入力します。

miki1:Downloads miki$ terraform apply
var.aws_access_key
  Enter a value: 

var.aws_secret_key
  Enter a value: 

.....省略

Plan: 8 to add, 0 to change, 0 to destroy.

Do you want to perform these actions?
  Terraform will perform the actions described above.
  Only 'yes' will be accepted to approve.

  Enter a value: yes

.....省略

aws_lambda_permission.lambda_permission: Creation complete after 0s [id=****************************]

Apply complete! Resources: 8 added, 0 changed, 0 destroyed.
miki1:Downloads miki$

通知確認

CloudWatchのコンソールでキャプチャに記載している数字の順番で画面遷移を行います。

「ログイベントの作成」をクリックします。

「ERR0R」と入力します。

Webhook URLを作成する時に指定したSlack チャンネルに通知が飛ぶことを確認できます。

参考記事

[1]：https://qiita.com/vmmhypervisor/items/18c99624a84df8b31008

まとめ

CloudWatch Logs ログストリーム上に特定文字列を検知した際に、Slackに通知する方法について解説しました。
これで毎回AWSコンソールを開かないで済むので手間が省けました。

CloudWatch Logs ログストリーム上に特定文字列を検知した際にSlackに通知する方法

はじめに

構成

準備

Terraformに必要なファイルの作成

ディレクトリ構造

backend.tfの内容

variable.tfの内容

lambda_function.pyの内容

main.tfの内容

TerraformでAWSリソースの作成

通知確認

参考記事

まとめ

AWS ベストプラクティスに沿っているか？ Well-Architected IaC Analyzer を魔改造してさらに便利にしてみた

X (旧 Twitter) を複数人で安全に運用する方法

“AI部下”と共に諦めるを諦めない世界戦

Arduinoを初めて使う時のセットアップと実例集

Gen1 Amplify Hosting(CloudFront and S3)でCache-Controlを設定する

CloudWatch Logs ログストリーム上に特定文字列を検知した際にSlackに通知する方法

はじめに

構成

準備

Terraformに必要なファイルの作成

ディレクトリ構造

backend.tfの内容

variable.tfの内容

lambda_function.pyの内容

main.tfの内容

TerraformでAWSリソースの作成

通知確認

参考記事

まとめ

関連記事Related Articles

AWS Lambda で CloudWatch Logs のログ本文をSlack通知(1)

【cloudpack 大阪 BLOG】Google Apps ScriptからAmazon API Gateway経由でLambdaをコールしてSlackに投稿する

（ショロカレ 17 日目）Amazon ECS の個人的な疑問を紐解いていくメモ（3）～ ECS で Docker の CloudWatch Logs Logging Driver を利用する

AWS LambdaのログがCloudWatchLogsに出力されない（？）【cloudpack大阪BLOG】

AWS Lambda で CloudWatch Logs のログ本文をSlack通知(2)