分析と検索

Amazon OpenSearch Service で構築するログ分析基盤 - インデックス設計とダッシュボード構築

ログ分析基盤を構築し、インデックスライフサイクル管理でコストを最適化する。OpenSearch Dashboards と Serverless モードの活用を紹介します。

約 1 分で読めます

OpenSearch Service の概要と Serverless

OpenSearch Service は Elasticsearch 互換の検索・分析エンジンのマネージドサービスで、ペタバイト規模のデータに対してミリ秒単位の検索レスポンスを提供します。ログ分析、全文検索、アプリケーションモニタリング、セキュリティ分析に広く使用されています。プロビジョンドドメインではインスタンスタイプとノード数を指定してクラスタを構成しますが、OpenSearch Serverless ではクラスタ管理が完全に不要です。Serverless はコレクション (インデックスのグループ) を作成するだけで、キャパシティが自動スケールします。ログ分析のように取り込み量が変動するワークロードに特に適しています。

ログ収集とインデックス設計

ログの収集は Kinesis Data Firehose 経由が標準的なパターンで、1 秒あたり最大 1,000 レコードのバッチ書き込みに対応します。CloudWatch Logs のサブスクリプションフィルターで Firehose にログを送信し、Firehose が OpenSearch にバッチで書き込みます。インデックスは日次 (logs-2026-04-03) で作成し、検索範囲を日付で限定することでクエリ性能を維持します。マッピング (スキーマ) はインデックステンプレートで事前定義し、フィールドの型 (keyword、text、date、ip) を明示的に指定します。text 型は全文検索に、keyword 型は完全一致とアグリゲーションに使用します。ログの構造が不定の場合は dynamic mapping を活用しますが、フィールド数の爆発 (mapping explosion) に注意が必要です。

ライフサイクル管理とコスト最適化

ISM ポリシーでインデックスのライフサイクルを自動管理します。典型的な設計として、作成後 7 日間はホットノード (高速 SSD) で保持し、 7-30 日は UltraWarm (S3 ベースの低コストストレージ) に移行し、 30-90 日は Cold Storage に移行し、 90 日後に削除するポリシーが挙げられます。 UltraWarm は Hot と比較して最大 90% のコスト削減が可能で、検索性能は若干低下しますが、過去ログの調査には十分です。 OpenSearch Dashboards で Discover (ログの検索)、 Visualize (グラフの作成)、 Dashboard (複数グラフの統合) を使用し、リアルタイムのログ監視ダッシュボードを構築します。 OpenSearch の設計パターンを網羅的に学ぶなら、技術書 (Amazon)を参照してください。

まとめ

OpenSearch Service はログ分析基盤の標準的な選択肢です。Serverless でクラスタ管理を排除し、ISM ポリシーでストレージコストを最適化し、Dashboards でリアルタイム監視を実現します。Kinesis Data Firehose との統合で、AWS サービスのログを自動的に収集・分析する基盤を構築できます。

関連するサービス

Amazon OpenSearch Serviceログ分析や全文検索を手軽に実現できるマネージド検索・分析サービスAmazon Kinesisリアルタイムストリーミングデータの収集・処理・分析を行うサービスAmazon CloudWatchAWS リソースとアプリケーションの監視・ログ管理・アラームを提供するサービス

関連する記事

Amazon Redshift で構築するクラウドデータウェアハウス - Serverless と RA3 の使い分けServerless と RA3 プロビジョンドの選定基準を明確にし、データ共有と Spectrum によるデータレイク連携でサイロ化を防ぐ手法を紹介します。Amazon Managed Grafana で構築する統合オブザーバビリティダッシュボードCloudWatch・Prometheus・OpenSearch のデータソースを統合し、マルチソースのオブザーバビリティダッシュボードを構築する手法を紹介します。AWS Auto Scaling で実現する需要追従型インフラ - スケーリングポリシーの設計と最適化ターゲット追跡・予測・スケジュールドの 3 種類のポリシーを使い分け、混合インスタンスポリシーでスポットを活用したコスト最適化を実現する手法を紹介します。

同じテーマの記事

Amazon Quick の実践活用 - 部門別ユースケースとワークフロー自動化の設計パターン営業・IT・財務など部門ごとの活用シナリオと、Quick Flows による通知・承認・多段階ワークフローの設計パターンを具体的に紹介します。BI ダッシュボード可視化 - Amazon QuickSight で実現するデータドリブンな意思決定基盤Amazon QuickSight によるインタラクティブな BI ダッシュボードの構築と、Athena との連携によるサーバーレスデータ分析基盤を解説します。SPICE エンジンによる高速可視化と組織全体へのインサイト共有の実践手法を紹介します。ブロックチェーンネットワーク構築 - Amazon Managed Blockchain と QLDB による分散台帳の活用Amazon Managed Blockchain によるブロックチェーンネットワークの構築と、Amazon QLDB による検証可能な台帳データベースの活用方法を解説します。サプライチェーン管理や金融取引の透明性確保など、実践的なユースケースを紹介します。AWS Clean Rooms で実現するプライバシー保護型データコラボレーションデータを共有・コピーせずに複数企業間で共同分析を実行する。集計ルールによる個人特定防止と Cryptographic Computing による暗号化分析を紹介します。顧客 ID 統合 - AWS Entity Resolution で分散した顧客データを名寄せするAWS Entity Resolution を使った顧客データの名寄せ (エンティティ解決) を解説。ML ベースのマッチング、ルールベースのマッチング、プライバシー保護、Clean Rooms との統合を紹介します。AWS Data Exchange で活用するサードパーティデータ - データ調達とサブスクリプション管理サードパーティのデータ製品を Marketplace 経由で調達し、S3 への自動配信パイプラインを構築する。自社データの製品化と収益化の手法も紹介します。Amazon S3 と Lake Formation で構築するデータレイク - 設計パターンとガバナンスS3 をストレージ基盤とし Lake Formation できめ細かいアクセス制御を実現するデータレイクの設計パターンを紹介。ETL パイプラインとコスト最適化も解説します。データレイクガバナンス - AWS Lake Formation による一元的なアクセス制御AWS Lake Formation を使ったデータレイクの構築・アクセス制御・ガバナンスを解説。S3 ベースのデータレイクに対する列レベル・行レベルのきめ細かな権限管理と Glue ・ Athena との統合を紹介します。

内容が近い記事・サービス

Amazon OpenSearch ServiceElasticsearch 互換のマネージド検索・分析エンジンで、全文検索、ログ分析、リアルタイムダッシュボードなど多様なユースケースに対応する。データ検索と分析の実践 - OpenSearch による全文検索と可視化基盤の構築Amazon OpenSearch Service を活用したデータ検索と分析の設計手法を解説し、全文検索、ログ分析、ダッシュボード可視化による分析基盤の構築方法を紹介します。Amazon OpenSearch Serverless の実践ガイド - OCU 設計とコレクションタイプ別の最適化戦略Amazon OpenSearch Serverless は、クラスターの運用管理を不要にしながら検索・分析ワークロードを自動スケーリングで処理するフルマネージドサービスです。OCU の課金モデルとコレクションタイプの選定基準、インデックス設計のベストプラクティスを実務視点で解説します。リアルタイムデータストリーミング - Amazon Kinesis で実現する即時データ処理Kinesis Data Streams と Data Firehose を組み合わせたリアルタイムデータパイプラインの設計パターンを解説。シャード設計、バッファリング、Lambda 変換、S3・Redshift・OpenSearch への配信を紹介します。