このページは Cloud Translation API によって翻訳されました。

AWS EC2 インスタンスのログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、モニタリングと分析のために AWS EC2 インスタンスのログを Google Security Operations に構成する方法について説明します。パーサーは、インスタンス予約の JSON ログからデータを抽出し、UDM に準拠するようにフィールドを再構築して名前を変更します。ネットワークインターフェース、グループ、タグなど、さまざまなデータ型とネストされた構造を処理し、アセットの関係とメタデータも生成します。また、エラー処理と形式が正しくない JSON メッセージの削除も行います。

始める前に

Google SecOps インスタンスがあることを確認します。
AWS への特権アクセス権があることを確認します。

AWS IAM と S3 を構成する

バケットの作成のユーザーガイドに沿って、Amazon S3 バケットを作成します。
後で使用するために、バケットの名前とリージョンを保存します。
IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。
作成した [ユーザー] を選択します。
[セキュリティ認証情報] タブを選択します。
[アクセスキー] セクションで [アクセスキーを作成] をクリックします。
[ユースケース] として [サードパーティサービス] を選択します。
[次へ] をクリックします。
省略可: 説明タグを追加します。
[アクセスキーを作成] をクリックします。
[CSV ファイルをダウンロード] をクリックして、[アクセスキー] と [シークレットアクセスキー] を保存し、後で使用できるようにします。
[完了] をクリックします。
[権限] タブを選択します。
[権限ポリシー] セクションで、[権限を追加] をクリックします。
[権限を追加] を選択します。
[ポリシーを直接アタッチする] を選択します。
AmazonS3FullAccess ポリシーを検索して選択します。
[次へ] をクリックします。
[権限を追加] をクリックします。

ログを CloudWatch Logs に送信するように EC2 を構成する

SSH を使用して EC2 インスタンスに接続し、認証用の鍵ペアを指定します。
```
ssh -i your-key.pem ec2-user@your-ec2-public-ip
```
CloudWatch Logs エージェントをインストールします。
- Amazon Linux に CloudWatch Logs エージェントをインストールするには、次のコマンドを使用します。
```
sudo yum install -y awslogs
```
- Ubuntu に CloudWatch Logs エージェントをインストールするには、次のコマンドを使用します。
```
sudo apt-get install -y awslogs
```
CloudWatch Logs 構成ファイルを開きます。
```
sudo vi /etc/awslogs/awslogs.conf
```

このログインスタンスメタデータを取得してファイルに書き込むスクリプトを作成します。

#!/bin/bash
echo "Architecture: $(curl -s http://169.254.169.254/latest/meta-data/architecture)" >> /var/log/instance_metadata.log
echo "AmiLaunchIndex: $(curl -s http://169.254.169.254/latest/meta-data/ami-launch-index)" >> /var/log/instance_metadata.log
echo "BootMode: $(curl -s http://169.254.169.254/latest/meta-data/boot-mode)" >> /var/log/instance_metadata.log

スクリプトを /etc/init.d/metadata_script.sh として保存し、crontab または rc.local を使用してインスタンスの起動時に実行します。
CloudWatch Logs エージェントの構成ファイルを開きます。
```
sudo vi /etc/awslogs/awslogs.conf
```

構成ファイルに以下の内容を追加します。

[/var/log/messages]
file = /var/log/messages
log_group_name = /ec2/system/logs
log_stream_name = {instance_id}

[/var/log/secure]
file = /var/log/secure
log_group_name = /ec2/security/logs
log_stream_name = {instance_id}

[/var/log/auth.log]
file = /var/log/auth.log
log_group_name = /ec2/auth/logs
log_stream_name = {instance_id}

[/var/log/httpd/access_log]
file = /var/log/httpd/access_log
log_group_name = /ec2/application/apache/access_logs
log_stream_name = {instance_id}

[/var/log/httpd/error_log]
file = /var/log/httpd/error_log
log_group_name = /ec2/application/apache/error_logs
log_stream_name = {instance_id}

構成を保存してエディタを終了します。
CloudWatch Logs エージェントを起動します。
- Amazon Linux の場合:
```
sudo service awslogs start
```
- Ubuntu の場合:
```
sudo service awslogs start
```
エージェントが実行されていることを確認します。
```
sudo service awslogs status
```

Lambda と S3 の IAM 権限を構成する

AWS IAM コンソールで、次の権限を持つ新しい IAM ロールを作成します。
- logs:PutSubscriptionFilter
- logs:DescribeLogGroups
- logs:GetLogEvents
- s3:PutObject
このロールを、S3 にログをエクスポートする Lambda 関数にアタッチします。

ログを S3 にエクスポートするように Lambda を構成する

Lambda コンソールに移動し、新しい関数を作成します。

import boto3
import gzip
from io import BytesIO

s3 = boto3.client('s3')
logs = boto3.client('logs')

def lambda_handler(event, context):
    log_group = event['logGroup']
    log_stream = event['logStream']

    log_events = logs.get_log_events(
        logGroupName=log_group,
        logStreamName=log_stream,
        startFromHead=True
    )

    log_data = "\n".join([event['message'] for event in log_events['events']])

    # Compress and upload to S3
    compressed_data = gzip.compress(log_data.encode('utf-8'))
    s3.put_object(
        Bucket='your-s3-bucket-name',
        Key='logs/ec2-log.gz',
        Body=compressed_data
    )
  ```

your-s3-bucket-name は、S3 バケットの実際の名前に置き換えます。

前に作成した Lambda 関数に IAM ロールを関連付けます。
CloudWatch コンソールで、[ログ] セクションに移動します。
ロググループ（例: /ec2/system/logs）を選択します。
[操作] > [サブスクリプションフィルタを作成] をクリックします。
宛先を、以前に作成した Lambda 関数に設定します。

AWS EC2 インスタンスのログを取り込むように Google SecOps でフィードを構成する

[SIEM 設定] > [フィード] に移動します。
[新しく追加] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: AWS EC2 インスタンスログ）。
[ソースタイプ] として [Amazon S3] を選択します。
[ログタイプ] として [AWS EC2 インスタンス] を選択します。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- リージョン: Amazon S3 バケットが配置されているリージョン。
- S3 URI: バケット URI。
  - s3://your-log-bucket-name/
    - your-log-bucket-name は、バケットの実際の名前に置き換えます。
- URI is a: [ディレクトリ] または [サブディレクトリを含むディレクトリ] を選択します。
- Source deletion options: 必要に応じて削除オプションを選択します。
  
  注: Delete transferred files オプションまたは Delete transferred files and empty directories オプションを選択する場合は、サービスアカウントに適切な権限が付与されていることを確認してください。
- アクセスキー ID: s3 バケットにアクセスできるユーザーアクセスキー。
- シークレットアクセスキー: s3 バケットにアクセスできるユーザーのシークレットキー。
- アセットの名前空間: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`Architecture`	`entity.entity.asset.attribute.labels.key=instances_set_architecture`、`entity.entity.asset.attribute.labels.value`	この値は、未加工ログの `Instances.Architecture` フィールドから直接取得されます。
`AmiLaunchIndex`	`entity.entity.asset.attribute.labels.key=instances_set_ami_launch_index`、`entity.entity.asset.attribute.labels.value`	この値は、未加工ログの `Instances.AmiLaunchIndex` フィールドから直接取得されます。
`BlockDeviceMapping.Ebs.AttachTime`	`entity.entity.resource_ancestors.attribute.labels.key=instances_set_block_device_mapping_ebs_attach_time`、`entity.entity.resource_ancestors.attribute.labels.value`	値は `Instances.BlockDeviceMapping.Ebs.AttachTime` から取得されます。
`BlockDeviceMapping.Ebs.DeleteOnTermination`	`entity.entity.resource_ancestors.attribute.labels.key=instances_set_block_device_mapping_ebs_delete_on_termination`、`entity.entity.resource_ancestors.attribute.labels.value`	値は `Instances.BlockDeviceMapping.Ebs.DeleteOnTermination` から取得されます。
`BlockDeviceMapping.Ebs.Status`	`entity.entity.resource_ancestors.attribute.labels.key=instances_set_block_device_mapping_ebs_volume_status`、`entity.entity.resource_ancestors.attribute.labels.value`	値は `Instances.BlockDeviceMapping.Ebs.Status` から取得されます。
`BlockDeviceMapping.Ebs.VolumeID`	`entity.entity.resource_ancestors.product_object_id`、`entity.entity.resource_ancestors.resource_type=VOLUME`	値は `Instances.BlockDeviceMapping.Ebs.VolumeID` から取得されます。
`BlockDeviceMapping.Name`	`entity.entity.resource_ancestors.attribute.labels.key=instances_set_block_device_mapping_device_name`、`entity.entity.resource_ancestors.attribute.labels.value`	値は `Instances.BlockDeviceMapping.Name` から取得されます。
`BootMode`	`entity.entity.asset.attribute.labels.key=instances_set_boot_mode`、`entity.entity.asset.attribute.labels.value`	値は `Instances.BootMode` から取得されます。
`CapacityReservationID`	`entity.entity.asset.attribute.labels.key=instances_set_capacity_reservation_id`、`entity.entity.asset.attribute.labels.value`	値は `Instances.CapacityReservationID` から取得されます。
`CapacityReservationSpecification.CapacityReservationPreference`	`entity.entity.asset.attribute.labels.key=instances_set_capacity_reservation_specification_capacity_reservation_preference`、`entity.entity.asset.attribute.labels.value`	値は `Instances.CapacityReservationSpecification.CapacityReservationPreference` から取得されます。
`CapacityReservationSpecification.CapacityReservationTarget.CapacityReservationID`	`entity.entity.asset.attribute.labels.key=instances_set_capacity_reservation_specification_capacity_reservation_target_capacity_reservation_id`、`entity.entity.asset.attribute.labels.value`	値は `Instances.CapacityReservationSpecification.CapacityReservationTarget.CapacityReservationID` から取得されます。
`CapacityReservationSpecification.CapacityReservationTarget.CapacityReservationResourceGroupArn`	`entity.entity.resource_ancestors.name`、`entity.entity.resource_ancestors.resource_subtype=Capacity Reservation Arn`	値は `Instances.CapacityReservationSpecification.CapacityReservationTarget.CapacityReservationResourceGroupArn` から取得されます。
`ClientToken`	`entity.entity.asset.attribute.labels.key=instances_set_client_token`、`entity.entity.asset.attribute.labels.value`	値は `Instances.ClientToken` から取得されます。
`CPU.AmdSevSnp`	`entity.entity.asset.attribute.labels.key=instances_set_cpu_options_amd_sev_snp`、`entity.entity.asset.attribute.labels.value`	値は `Instances.CPU.AmdSevSnp` から取得されます。
`CPU.CoreCount`	`entity.entity.asset.hardware.cpu_number_cores`	値は `Instances.CPU.CoreCount` から取得されます。
`CPU.ThreadsPerCore`	`entity.entity.asset.attribute.labels.key=instances_set_cpu_options_threads_per_core`、`entity.entity.asset.attribute.labels.value`	値は `Instances.CPU.ThreadsPerCore` から取得されます。
`CurrentInstanceBootMode`	`entity.entity.asset.attribute.labels.key=instances_set_current_instance_boot_mode`、`entity.entity.asset.attribute.labels.value`	値は `Instances.CurrentInstanceBootMode` から取得されます。
`DNSName`	`entity.entity.network.dns_domain`	値は `Instances.DNSName` から取得されます。
`EbsOptimized`	`entity.entity.asset.attribute.labels.key=instances_set_ebs_optimized`、`entity.entity.asset.attribute.labels.value`	値は `Instances.EbsOptimized` から取得されます。
`ElasticGpuAssociationSet.ElasticGpuAssociationID`	`entity.entity.asset.attribute.labels.key=instances_set_elastic_gpu_association_set_elastic_gpu_association_id`、`entity.entity.asset.attribute.labels.value`	値は `Instances.ElasticGpuAssociationSet.ElasticGpuAssociationID` から取得されます。
`ElasticGpuAssociationSet.ElasticGpuAssociationState`	`entity.entity.asset.attribute.labels.key=instances_set_elastic_gpu_association_set_elastic_gpu_association_state`、`entity.entity.asset.attribute.labels.value`	値は `Instances.ElasticGpuAssociationSet.ElasticGpuAssociationState` から取得されます。
`ElasticGpuAssociationSet.ElasticGpuAssociationTime`	`entity.entity.asset.attribute.labels.key=instances_set_elastic_gpu_association_set_elastic_gpu_association_time`、`entity.entity.asset.attribute.labels.value`	値は `Instances.ElasticGpuAssociationSet.ElasticGpuAssociationTime` から取得されます。
`ElasticGpuAssociationSet.ElasticGpuID`	`entity.entity.asset.attribute.labels.key=instances_set_elastic_gpu_association_set_elastic_gpu_id`、`entity.entity.asset.attribute.labels.value`	値は `Instances.ElasticGpuAssociationSet.ElasticGpuID` から取得されます。
`ElasticInferenceAcceleratorAssociationSet.ElasticInferenceAcceleratorArn`	`entity.entity.resource_ancestors.name`、`entity.entity.resource_ancestors.resource_subtype=Elastic Interface Accelerator Arn`	値は `Instances.ElasticInferenceAcceleratorAssociationSet.ElasticInferenceAcceleratorArn` から取得されます。
`ElasticInferenceAcceleratorAssociationSet.ElasticInferenceAcceleratorAssociationID`	`entity.entity.resource_ancestors.attribute.labels.key=instances_set_elastic_inference_accelerator_association_set_elastic_inference_accelerator_association_id`、`entity.entity.resource_ancestors.attribute.labels.value`	値は `Instances.ElasticInferenceAcceleratorAssociationSet.ElasticInferenceAcceleratorAssociationID` から取得されます。
`ElasticInferenceAcceleratorAssociationSet.ElasticInferenceAcceleratorAssociationState`	`entity.entity.resource_ancestors.attribute.labels.key=instances_set_elastic_inference_accelerator_association_set_elastic_inference_accelerator_association_state`、`entity.entity.resource_ancestors.attribute.labels.value`	値は `Instances.ElasticInferenceAcceleratorAssociationSet.ElasticInferenceAcceleratorAssociationState` から取得されます。
`ElasticInferenceAcceleratorAssociationSet.ElasticInferenceAcceleratorAssociationTime`	`entity.entity.resource_ancestors.attribute.labels.key=instances_set_elastic_inference_accelerator_association_set_elastic_inference_accelerator_association_time`、`entity.entity.resource_ancestors.attribute.labels.value`	値は `Instances.ElasticInferenceAcceleratorAssociationSet.ElasticInferenceAcceleratorAssociationTime` から取得されます。
`EnaSupport`	`entity.entity.asset.attribute.labels.key=instances_set_ena_support`、`entity.entity.asset.attribute.labels.value`	値は `Instances.EnaSupport` から取得されます。
`EnclaveOptions.Enabled`	`entity.entity.asset.attribute.labels.key=instances_set_enclave_options_enabled`、`entity.entity.asset.attribute.labels.value`	値は `Instances.EnclaveOptions.Enabled` から取得されます。
`GroupSet.GroupID`	`entity.entity.group.product_object_id`、`entity.entity.group.attribute.labels.key=group_set_group_id`、`entity.entity.group.attribute.labels.value`、`entity.entity.group.attribute.labels.key=instances_set_group_set_group_id`、`entity.entity.group.attribute.labels.value`、`entity.entity.group.attribute.labels.key=instances_set_network_interface_set_group_set_group_id`、`entity.entity.group.attribute.labels.value`	値は `GroupSet.GroupID` から取得されます。配列の最初の `GroupID` は `entity.entity.group.product_object_id` にマッピングされます。後続の `GroupID` 値はラベルとしてマッピングされます。
`GroupSet.GroupName`	`entity.entity.group.group_display_name`、`entity.entity.group.attribute.labels.key=group_set_group_name`、`entity.entity.group.attribute.labels.value`、`entity.entity.group.attribute.labels.key=instances_set_group_set_group_name`、`entity.entity.group.attribute.labels.value`、`entity.entity.group.attribute.labels.key=instances_set_network_interface_set_group_set_group_name`、`entity.entity.group.attribute.labels.value`	値は `GroupSet.GroupName` から取得されます。配列の最初の `GroupName` は `entity.entity.group.group_display_name` にマッピングされます。後続の `GroupName` 値はラベルとしてマッピングされます。
`HibernationOptions`	`entity.entity.asset.attribute.labels.key=instances_set_hibernation_options`、`entity.entity.asset.attribute.labels.value`	値は `Instances.HibernationOptions` から取得されます。
`HibernationOptions.Configured`	`entity.entity.asset.attribute.labels.key=instances_set_hibernation_options_configured`、`entity.entity.asset.attribute.labels.value`	値は `Instances.HibernationOptions.Configured` から取得されます。
`Hypervisor`	`entity.entity.asset.attribute.labels.key=instances_set_hypervisor`、`entity.entity.asset.attribute.labels.value`	値は `Instances.Hypervisor` から取得されます。
`IamInstanceProfile.Arn`	`entity.entity.resource_ancestors.name`、`entity.entity.resource_ancestors.resource_subtype=Instance Profile Arn`	値は `Instances.IamInstanceProfile.Arn` から取得されます。
`IamInstanceProfile.ID`	`entity.entity.resource_ancestors.product_object_id`	値は `Instances.IamInstanceProfile.ID` から取得されます。
`ImageID`	`entity.entity.resource_ancestors.product_object_id`、`entity.entity.resource_ancestors.resource_type=IMAGE`	値は `Instances.ImageID` から取得されます。
`InstanceID`	`entity.metadata.product_entity_id`、`entity.entity.asset.asset_id`	値は `Instances.InstanceID` から取得されます。
`InstanceLifecycle`	`entity.entity.asset.attribute.labels.key=instances_set_instance_lifecycle`、`entity.entity.asset.attribute.labels.value`	値は `Instances.InstanceLifecycle` から取得されます。
`InstanceState.Code`	`entity.entity.asset.attribute.labels.key=instances_set_instance_state_code`、`entity.entity.asset.attribute.labels.value`	値は `Instances.InstanceState.Code` から取得されます。
`InstanceState.Name`	`entity.entity.asset.deployment_status`	値は `Instances.InstanceState.Name` から取得されます。値が `running` の場合、UDM フィールドは `ACTIVE` に設定されます。値が `shutting-down` または `stopping` の場合、UDM フィールドは `PENDING_DECOMMISSION` に設定されます。値が `stopped` または `terminated` の場合、UDM フィールドは `DECOMMISSIONED` に設定されます。
`InstanceType`	`entity.entity.asset.category`	値は `Instances.InstanceType` から取得されます。
`IPAddress`	`entity.entity.asset.ip`	値は `Instances.IPAddress` から取得されます。
`Ipv6Address`	`entity.entity.asset.ip`	値は `Instances.Ipv6Address` から取得されます。
`KernelID`	`entity.entity.asset.attribute.labels.key=instances_set_kernel_id`、`entity.entity.asset.attribute.labels.value`	値は `Instances.KernelID` から取得されます。
`KeyName`	`entity.entity.asset.attribute.labels.key=instances_set_key_name`、`entity.entity.asset.attribute.labels.value`	値は `Instances.KeyName` から取得されます。
`LaunchTime`	`entity.metadata.creation_timestamp`	値は `Instances.LaunchTime` から取得されます。
`LicenseSet.LicenseConfigurationArn`	`entity.entity.resource_ancestors.name`、`entity.entity.resource_ancestors.resource_subtype=License Configuration Arn`	値は `Instances.LicenseSet.LicenseConfigurationArn` から取得されます。
`MaintenanceOptions`	`entity.entity.asset.attribute.labels.key=instances_set_maintenance_options_auto_recovery`、`entity.entity.asset.attribute.labels.value`	値は `Instances.MaintenanceOptions` から取得されます。
`MetadataOptions.HTTPEndpoint`	`entity.entity.asset.attribute.labels.key=instances_set_metadata_options_http_endpoint`、`entity.entity.asset.attribute.labels.value`	値は `Instances.MetadataOptions.HTTPEndpoint` から取得されます。
`MetadataOptions.HTTPProtocolIpv6`	`entity.entity.asset.attribute.labels.key=instances_set_metadata_options_http_protocol_ipv6`、`entity.entity.asset.attribute.labels.value`	値は `Instances.MetadataOptions.HTTPProtocolIpv6` から取得されます。
`MetadataOptions.HTTPPutResponseHopLimit`	`entity.entity.asset.attribute.labels.key=instances_set_metadata_options_http_put_response_hop_limit`、`entity.entity.asset.attribute.labels.value`	値は `Instances.MetadataOptions.HTTPPutResponseHopLimit` から取得されます。
`MetadataOptions.HTTPTokens`	`entity.entity.asset.attribute.labels.key=instances_set_metadata_options_http_tokens`、`entity.entity.asset.attribute.labels.value`	値は `Instances.MetadataOptions.HTTPTokens` から取得されます。
`MetadataOptions.InstanceMetadataTags`	`entity.entity.asset.attribute.labels.key=instances_set_metadata_options_instance_metadata_tags`、`entity.entity.asset.attribute.labels.value`	値は `Instances.MetadataOptions.InstanceMetadataTags` から取得されます。
`MetadataOptions.State`	`entity.entity.asset.attribute.labels.key=instances_set_metadata_options_state`、`entity.entity.asset.attribute.labels.value`	値は `Instances.MetadataOptions.State` から取得されます。
`Monitoring.State`	`entity.entity.asset.attribute.labels.key=instances_set_monitoring_state`、`entity.entity.asset.attribute.labels.value`	値は `Instances.Monitoring.State` から取得されます。
`NetworkInterfaceSet.Association.CarrierIP`	`entity.entity.asset.nat_ip`	値は `Instances.NetworkInterfaceSet.Association.CarrierIP` から取得されます。
`NetworkInterfaceSet.Association.CustomerOwnedIP`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_association_customer_owned_ip`、`entity.entity.asset.attribute.labels.value`	値は `Instances.NetworkInterfaceSet.Association.CustomerOwnedIP` から取得されます。
`NetworkInterfaceSet.Association.IPOwnerID`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_association_ip_owner_id`、`entity.entity.asset.attribute.labels.value`、`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_private_ip_addresses_set_association_ip_owner_id`、`entity.entity.asset.attribute.labels.value`	値は `Instances.NetworkInterfaceSet.Association.IPOwnerID` から取得されます。
`NetworkInterfaceSet.Association.PublicDNSName`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_association_public_dns_name`、`entity.entity.asset.attribute.labels.value`、`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_private_ip_addresses_set_association_public_dns_name`、`entity.entity.asset.attribute.labels.value`	値は `Instances.NetworkInterfaceSet.Association.PublicDNSName` から取得されます。
`NetworkInterfaceSet.Association.PublicIP`	`entity.entity.asset.ip`	値は `Instances.NetworkInterfaceSet.Association.PublicIP` から取得されます。
`NetworkInterfaceSet.Attachment.AttachTime`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_attachment_attach_time`、`entity.entity.asset.attribute.labels.value`	値は `Instances.NetworkInterfaceSet.Attachment.AttachTime` から取得されます。
`NetworkInterfaceSet.Attachment.AttachmentID`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_attachment_attachment_id`、`entity.entity.asset.attribute.labels.value`	値は `Instances.NetworkInterfaceSet.Attachment.AttachmentID` から取得されます。
`NetworkInterfaceSet.Attachment.DeleteOnTermination`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_attachment_delete_on_termination`、`entity.entity.asset.attribute.labels.value`	値は `Instances.NetworkInterfaceSet.Attachment.DeleteOnTermination` から取得されます。
`NetworkInterfaceSet.Attachment.DeviceIndex`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_attachment_device_index`、`entity.entity.asset.attribute.labels.value`	値は `Instances.NetworkInterfaceSet.Attachment.DeviceIndex` から取得されます。
`NetworkInterfaceSet.Attachment.NetworkCardIndex`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_attachment_network_card_index`、`entity.entity.asset.attribute.labels.value`	値は `Instances.NetworkInterfaceSet.Attachment.NetworkCardIndex` から取得されます。
`NetworkInterfaceSet.Attachment.Status`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_attachment_status`、`entity.entity.asset.attribute.labels.value`	値は `Instances.NetworkInterfaceSet.Attachment.Status` から取得されます。
`NetworkInterfaceSet.Description`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_description`、`entity.entity.asset.attribute.labels.value`	値は `Instances.NetworkInterfaceSet.Description` から取得されます。
`NetworkInterfaceSet.GroupSet.GroupID`	`entity.entity.group.attribute.labels.key=instances_set_network_interface_set_group_set_group_id`、`entity.entity.group.attribute.labels.value`	値は `Instances.NetworkInterfaceSet.GroupSet.GroupID` から取得されます。
`NetworkInterfaceSet.GroupSet.GroupName`	`entity.entity.group.attribute.labels.key=instances_set_network_interface_set_group_set_group_name`、`entity.entity.group.attribute.labels.value`	値は `Instances.NetworkInterfaceSet.GroupSet.GroupName` から取得されます。
`NetworkInterfaceSet.InterfaceType`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_interface_type`、`entity.entity.asset.attribute.labels.value`	値は `Instances.NetworkInterfaceSet.InterfaceType` から取得されます。
`NetworkInterfaceSet.Ipv6AddressesSet.Ipv6Address`	`entity.entity.asset.ip`	値は `Instances.NetworkInterfaceSet.Ipv6AddressesSet.Ipv6Address` から取得されます。
`NetworkInterfaceSet.Ipv6AddressesSet.IsPrimaryIpv6`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_ipv6_addresses_set_is_primary_ipv6`、`entity.entity.asset.attribute.labels.value`	値は `Instances.NetworkInterfaceSet.Ipv6AddressesSet.IsPrimaryIpv6` から取得されます。
`NetworkInterfaceSet.MacAddress`	`entity.entity.asset.mac`	値は `Instances.NetworkInterfaceSet.MacAddress` から取得されます。
`NetworkInterfaceSet.NetworkInterfaceID`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_network_interface_id`、`entity.entity.asset.attribute.labels.value`	値は `Instances.NetworkInterfaceSet.NetworkInterfaceID` から取得されます。
`NetworkInterfaceSet.OwnerID`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_owner_id`、`entity.entity.asset.attribute.labels.value`	値は `Instances.NetworkInterfaceSet.OwnerID` から取得されます。
`NetworkInterfaceSet.PrivateDNSName`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_private_dns_name`、`entity.entity.asset.attribute.labels.value`、`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_private_ip_addresses_set_private_dns_name`、`entity.entity.asset.attribute.labels.value`	値は `Instances.NetworkInterfaceSet.PrivateDNSName` から取得されます。
`NetworkInterfaceSet.PrivateIPAddress`	`entity.entity.asset.ip`	値は `Instances.NetworkInterfaceSet.PrivateIPAddress` から取得されます。
`NetworkInterfaceSet.PrivateIPAddressesSet.Primary`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_private_ip_addresses_set_primary`、`entity.entity.asset.attribute.labels.value`	値は `Instances.NetworkInterfaceSet.PrivateIPAddressesSet.Primary` から取得されます。
`NetworkInterfaceSet.PrivateIPAddressesSet.PrivateIPAddress`	`entity.entity.asset.ip`	値は `Instances.NetworkInterfaceSet.PrivateIPAddressesSet.PrivateIPAddress` から取得されます。
`NetworkInterfaceSet.SourceDestCheck`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_source_dest_check`、`entity.entity.asset.attribute.labels.value`	値は `Instances.NetworkInterfaceSet.SourceDestCheck` から取得されます。
`NetworkInterfaceSet.Status`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_status`、`entity.entity.asset.attribute.labels.value`	値は `Instances.NetworkInterfaceSet.Status` から取得されます。
`NetworkInterfaceSet.SubnetID`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_subnet_id`、`entity.entity.asset.attribute.labels.value`	値は `Instances.NetworkInterfaceSet.SubnetID` から取得されます。
`NetworkInterfaceSet.VpcID`	`entity.entity.asset.attribute.labels.key=instances_set_network_interface_set_vpc_id`、`entity.entity.asset.attribute.labels.value`	値は `Instances.NetworkInterfaceSet.VpcID` から取得されます。
`OutpostArn`	`entity.relations.entity.asset.product_object_id`	値は `Instances.OutpostArn` から取得されます。
`Placement.Affinity`	`entity.entity.asset.attribute.labels.key=instances_set_placement_affinity`、`entity.entity.asset.attribute.labels.value`	値は `Instances.Placement.Affinity` から取得されます。
`Placement.AvailabilityZone`	`entity.entity.asset.attribute.cloud.availability_zone`	値は `Instances.Placement.AvailabilityZone` から取得されます。
`Placement.GroupID`	`entity.entity.group.attribute.labels.key=instances_set_placement_group_id`、`entity.entity.group.attribute.labels.value`	値は `Instances.Placement.GroupID` から取得されます。
`Placement.GroupName`	`entity.entity.group.attribute.labels.key=instances_set_placement_group_name`、`entity.entity.group.attribute.labels.value`	値は `Instances.Placement.GroupName` から取得されます。
`Placement.HostID`	`entity.relations.entity.asset.asset_id`	値は `Instances.Placement.HostID` から取得されます。
`Placement.HostResourceGroupArn`	`entity.relations.entity.asset.attribute.labels.key=instances_set_placement_host_resource_group_arn`、`entity.relations.entity.asset.attribute.labels.value`	値は `Instances.Placement.HostResourceGroupArn` から取得されます。
`Placement.PartitionNumber`	`entity.entity.asset.attribute.labels.key=instances_set_placement_partition_number`、`entity.entity.asset.attribute.labels.value`	値は `Instances.Placement.PartitionNumber` から取得されます。
`Placement.SpreadDomain`	`entity.entity.asset.attribute.labels.key=instances_set_placement_spread_domain`、`entity.entity.asset.attribute.labels.value`	値は `Instances.Placement.SpreadDomain` から取得されます。
`Placement.Tenancy`	`entity.entity.asset.attribute.labels.key=instances_set_placement_tenancy`、`entity.entity.asset.attribute.labels.value`	値は `Instances.Placement.Tenancy` から取得されます。
`PlatformDetails`	`entity.entity.asset.attribute.labels.key=instances_set_platform_details`、`entity.entity.asset.attribute.labels.value`	値は `Instances.PlatformDetails` から取得されます。
`PrivateDNSName`	`entity.entity.network.dns.questions.name`	値は `Instances.PrivateDNSName` から取得されます。
`PrivateDNSNameOptions.EnableResourceNameDnsAAAARecord`	`entity.entity.network.dns.questions.type`	値が `true` の場合、UDM フィールドは 28 に設定されます。
`PrivateDNSNameOptions.EnableResourceNameDnsARecord`	`entity.entity.network.dns.questions.type`	値が `true` の場合、UDM フィールドは 1 に設定されます。
`PrivateDNSNameOptions.HostnameType`	`entity.entity.asset.attribute.labels.key=instances_set_private_dns_name_options_hostname_type`、`entity.entity.asset.attribute.labels.value`	値は `Instances.PrivateDNSNameOptions.HostnameType` から取得されます。
`PrivateIPAddress`	`entity.entity.asset.ip`	値は `Instances.PrivateIPAddress` から取得されます。
`ProductCodes.ProductCode`	`entity.entity.asset.attribute.labels.key=instances_set_product_codes_product_code`、`entity.entity.asset.attribute.labels.value`	値は `Instances.ProductCodes.ProductCode` から取得されます。
`ProductCodes.Type`	`entity.entity.asset.attribute.labels.key=instances_set_product_codes_type`、`entity.entity.asset.attribute.labels.value`	値は `Instances.ProductCodes.Type` から取得されます。
`RamdiskID`	`entity.entity.asset.attribute.labels.key=instances_set_ramdisk_id`、`entity.entity.asset.attribute.labels.value`	値は `Instances.RamdiskID` から取得されます。
`Reason`	`entity.entity.asset.attribute.labels.key=instances_set_reason`、`entity.entity.asset.attribute.labels.value`	値は `Instances.Reason` から取得されます。
`ReservationID`	`entity.additional.fields.key=reservation_id`、`entity.additional.fields.value.string_value`	値は `ReservationID` から取得されます。
`RequesterID`	`entity.additional.fields.key=requester_id`、`entity.additional.fields.value.string_value`	値は `RequesterID` から取得されます。
`RootDeviceName`	`entity.entity.asset.attribute.labels.key=instances_set_root_device_name`、`entity.entity.asset.attribute.labels.value`	値は `Instances.RootDeviceName` から取得されます。
`RootDeviceType`	`entity.entity.asset.attribute.labels.key=instances_set_root_device_type`、`entity.entity.asset.attribute.labels.value`	値は `Instances.RootDeviceType` から取得されます。
`SourceDestCheck`	`entity.entity.asset.attribute.labels.key=instances_set_source_dest_check`、`entity.entity.asset.attribute.labels.value`	値は `Instances.SourceDestCheck` から取得されます。
`SpotInstanceRequestID`	`entity.entity.asset.attribute.labels.key=instances_set_spot_instance_request_id`、`entity.entity.asset.attribute.labels.value`	値は `Instances.SpotInstanceRequestID` から取得されます。
`SriovNetSupport`	`entity.entity.asset.attribute.labels.key=instances_set_sriov_net_support`、`entity.entity.asset.attribute.labels.value`	値は `Instances.SriovNetSupport` から取得されます。
`StateReason`	`entity.entity.asset.attribute.labels.key=instances_set_state_reason_code`、`entity.entity.asset.attribute.labels.value`	値は `Instances.StateReason` から取得されます。
`StateReason.Code`	`entity.entity.asset.attribute.labels.key=instances_set_state_reason_code`、`entity.entity.asset.attribute.labels.value`	値は `Instances.StateReason.Code` から取得されます。
`StateReason.Message`	`entity.entity.asset.attribute.labels.key=instances_set_state_reason_message`、`entity.entity.asset.attribute.labels.value`	値は `Instances.StateReason.Message` から取得されます。
`SubnetID`	`entity.entity.resource_ancestors.product_object_id`、`entity.entity.resource_ancestors.resource_type=SUBNET`	値は `Instances.SubnetID` から取得されます。
`TagSet.Key`	`entity.entity.asset.attribute.labels.key`	値は `Instances.TagSet.Key` から取得されます。
`TagSet.Value`	`entity.entity.asset.attribute.labels.value`	値は `Instances.TagSet.Value` から取得されます。
`TpmSupport`	`entity.entity.asset.attribute.labels.key=instances_set_tpm_support`、`entity.entity.asset.attribute.labels.value`	値は `Instances.TpmSupport` から取得されます。
`UsageOperation`	`entity.entity.asset.attribute.labels.key=instances_set_usage_operation`、`entity.entity.asset.attribute.labels.value`	値は `Instances.UsageOperation` から取得されます。
`UsageOperationUpdateTime`	`entity.entity.asset.attribute.labels.key=instances_set_usage_operation_update_time`、`entity.entity.asset.attribute.labels.value`	値は `Instances.UsageOperationUpdateTime` から取得されます。
`VirtualizationType`	`entity.entity.asset.attribute.labels.key=instances_set_virtualization_type`、`entity.entity.asset.attribute.labels.value`	値は `Instances.VirtualizationType` から取得されます。
`VpcID`	`entity.entity.resource_ancestors.product_object_id`、`entity.entity.resource_ancestors.resource_type=VPC_NETWORK`	値は `Instances.VpcID` から取得されます。
`collection_time`	`entity.metadata.collected_timestamp`	この値は、未加工ログの `collection_time` フィールドから直接取得されます。`AMAZON_WEB_SERVICES` にハードコードされています。IMAGE、VOLUME、SUBNET、VPC_NETWORK、インスタンスプロファイル ARN、容量予約 ARN、Elastic インターフェースアクセラレータ ARN、ライセンス構成 ARN のリソースタイプに対して `AMAZON_WEB_SERVICES` にハードコードされています。`SERVER` にハードコードされています。`Amazon EC2` にハードコードされています。`AWS` にハードコードされています。`Instances.Placement.HostID` が存在し、空でない場合は `ASSET` にハードコードされます。`Instances.Placement.HostID` が存在し、空でない場合は `EXECUTES` にハードコードされます。ASSET にハードコードされます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。