OpenSearch Dashboards によるログデータの可視化

OpenSearch Dashboards を一言で言うと？

「膨大なログデータを美しいグラフやダッシュボードに変換する可視化ツール」 です。
交通管制センターのように、あらゆるデータをリアルタイムで監視・分析できます。

🎯 何ができる？

ログデータを検索・グラフ化・ダッシュボード化して、システムの状態を「見える化」

👤 誰が使う？

運用エンジニア、SRE、セキュリティ担当者、ビジネスアナリスト

💰 料金は？

Amazon OpenSearch Serviceの料金に含まれる（追加料金なし）

⏱️ 導入時間は？

基本的なダッシュボード作成なら30分〜1時間で可能

🏢 たとえ話で理解する OpenSearch Dashboards

🚦 交通管制センターに例えると...

OpenSearch Dashboards は「交通管制センターのモニタールーム」のような存在です

🚦 交通管制センター

📹

各地のセンサー・カメラ
道路の混雑状況、事故情報、天候データを収集

💾

中央データベース
すべての情報を蓄積・検索可能に保存

🖥️

モニタールーム
複数の画面でリアルタイム状況を可視化

📊

各種表示パネル
地図、グラフ、アラート表示を目的別に配置

🔔

異常検知アラート
渋滞や事故発生を即座に通知

⟷

☁️ OpenSearch + Dashboards

📝

ログソース
アプリケーション、サーバー、AWSサービスのログ

🗄️

OpenSearch クラスター
ログを全文検索・分析可能な形式で保存

📊

OpenSearch Dashboards
データを美しく可視化するWebインターフェース

📈

ビジュアライゼーション
棒グラフ、円グラフ、ヒートマップなど多彩な表現

⚠️

アラート機能
閾値超過やエラー急増を自動通知

🖥️ OpenSearch Dashboards = モニタールーム

あなたのシステムの「今」を一目で把握

📈

リクエスト数

時系列の推移をグラフ化

🚨

エラー率

異常を即座に検知

⏱️

レイテンシ

応答時間の分布を表示

🌍

地域別アクセス

世界地図上にマッピング

🔐

セキュリティ

不正アクセスを監視

💻

サーバー状態

CPU/メモリ使用率

🔄 データの流れを理解する

📝 ログから可視化までの流れ

📝

ログ生成

アプリ・サーバーがログ出力

→

🚚

収集・転送

Fluent Bit / Firehose

→

🗄️

保存・索引

OpenSearch クラスター

→

📊

可視化

Dashboards で表示

コンポーネント	役割	たとえ話
インデックス	ログデータの格納先	📚 図書館の本棚（カテゴリごとに分類）
インデックスパターン	Dashboardsで検索する対象を定義	🔖 「この棚の本を検索対象にする」という設定
Discover	ログの検索・閲覧機能	🔍 本を自由に検索・閲覧できる端末
Visualize	グラフ・チャートの作成	🎨 データを絵にする画材セット
Dashboard	複数のグラフをまとめて表示	🖼️ 絵を並べて展示するギャラリー

📊 ビジュアライゼーションの種類

📈

Line Chart（折れ線グラフ）

時間経過に伴うデータの変化を表示。トレンド分析に最適。

💡 活用例

リクエスト数の推移、CPU使用率の変動、売上トレンド

📊

Bar Chart（棒グラフ）

カテゴリ別の比較に最適。縦横どちらも対応。

💡 活用例

エラーコード別件数、サーバー別負荷、ブラウザ別アクセス

🥧

Pie Chart（円グラフ）

全体に対する割合を視覚的に表現。構成比の把握に便利。

💡 活用例

HTTPステータスコード分布、OS別シェア、地域別アクセス比率

🗺️

Map（地図表示）

地理的データを世界地図上に可視化。ロケーション分析に。

💡 活用例

アクセス元の国別分布、攻撃元IPの地理的分析

🔥

Heat Map（ヒートマップ）

データの密度や強度を色の濃淡で表現。パターン発見に有効。

💡 活用例

時間帯×曜日別のアクセス量、ページ別滞在時間

🔢

Metric（メトリック）

単一の数値を大きく表示。KPIの即時把握に最適。

💡 活用例

総リクエスト数、現在のエラー率、アクティブユーザー数

📋

Data Table（データテーブル）

詳細データを表形式で表示。ドリルダウン分析の起点に。

💡 活用例

Top 10 エラーログ一覧、スロークエリリスト

☁️

Tag Cloud（タグクラウド）

出現頻度に応じた文字サイズで表示。頻出キーワードを一目で。

💡 活用例

エラーメッセージの頻出パターン、検索キーワード分析

🚀 はじめてのダッシュボード作成

OpenSearch Dashboards にアクセス

Amazon OpenSearch Service のドメインを作成すると、Dashboards の URL が自動で生成されます。

         URL形式
        
         https://
         
          {domain-name}
         
         .
         
          {region}
         
         .es.amazonaws.com/_dashboards/

インデックスパターンを作成

どのログデータを可視化するか定義します。ワイルドカード（*）が使えます。

         例
        
          # アプリケーションログ全体を対象にする場合
         
         app-logs-*
         
          # 特定月のWebアクセスログを対象にする場合
         
         web-access-2024.12.*
         
          # 全インデックスを対象にする場合
         
         *

Discover でログを探索

まずはログの中身を確認。検索クエリを使って必要なログを絞り込めます。

         検索クエリ例
        
          # エラーログを検索
         
         level:
         
          "ERROR"
         
          # 特定のAPIエンドポイントを検索
         
         request.path:
         
          "/api/users"
         
         AND status:
         
          500
         
          # 過去1時間のログを検索
         
         @timestamp >= now-1h

Visualize でグラフを作成

表現したいデータに合わせてグラフタイプを選択し、フィールドを設定します。

📌 設定のポイント

Metrics（Y軸）: 何を計測するか（Count, Sum, Average など）
Buckets（X軸）: どう分割するか（時間、カテゴリなど）
Filters: 対象を絞り込む条件

Dashboard に配置

作成したビジュアライゼーションを1つの画面にまとめて、監視ダッシュボードを完成させます。

💡 ダッシュボード設計のコツ

重要な KPI は上部に大きく配置
関連するグラフはグルーピング
自動更新間隔を設定（10秒〜5分）
時間範囲のデフォルト値を設定

💼 実践的なユースケース

🌐 Webアプリケーション監視

アクセスログから、ユーザー行動やパフォーマンスをリアルタイム監視

可視化するメトリクス

リクエスト数 / 秒（RPS）
レスポンスタイム（P50, P95, P99）
HTTPステータスコード分布
エンドポイント別トラフィック

🔐 セキュリティ監視（SIEM）

不正アクセスや異常な振る舞いを検知し、インシデント対応を迅速化

可視化するメトリクス

ログイン失敗回数・パターン
不審なIPアドレスからのアクセス
権限昇格イベント
異常なAPI呼び出しパターン

🐛 アプリケーション障害分析

エラーログを集約・分析し、問題の根本原因を素早く特定

可視化するメトリクス

エラー発生数の時系列推移
例外タイプ別の発生頻度
エラー発生サービス・モジュール
スタックトレースの傾向

📦 ビジネスメトリクス分析

ログからビジネスKPIを抽出し、データドリブンな意思決定を支援

可視化するメトリクス

注文・取引件数の推移
コンバージョン率
機能別利用状況
ユーザーセグメント分析

✨ ベストプラクティス

📅 日付ベースのインデックス


        logs-2024.12.27

のように日付を含めることで、古いデータの削除や検索効率が向上

⏰ 適切な自動更新間隔

リアルタイム監視には10〜30秒、日次レポートには更新不要など、目的に応じて設定

🎨 色とレイアウトの一貫性

赤=エラー、緑=正常など色の意味を統一し、視認性を向上させる

🔖 保存済みクエリの活用

頻繁に使う検索条件は保存しておき、チームで共有して効率化

📊 目的別ダッシュボード

「運用監視用」「障害調査用」「経営報告用」など役割別に分けて作成

🔔 アラートとの連携

重要なメトリクスには閾値ベースのアラートを設定し、問題を即座に検知

⚠️ よくある落とし穴

情報過多: 1つのダッシュボードに詰め込みすぎると見づらくなる
時間範囲の誤り: デフォルトの時間範囲が短すぎて重要なデータを見逃す
権限設定: 機密データを含むダッシュボードのアクセス制御を忘れずに
重いクエリ: 全期間対象のクエリは負荷が高いので、適切な期間を指定

❓ よくある質問（FAQ）

OpenSearch Dashboards と Kibana の違いは？ ▼

OpenSearch Dashboards は Kibana 7.10.2 をフォークして作られた OSS です。基本的な機能や操作方法はほぼ同じですが、Elastic 社のライセンス変更後に独自の機能追加が進んでいます。AWS 環境では OpenSearch Dashboards が推奨されます。

ログをOpenSearchに送る方法は？ ▼

主な方法は3つあります。①Fluent Bit / Fluentd で直接送信、②Amazon Kinesis Data Firehose 経由で配信、③Logstash で加工しながら転送。AWS環境では Fluent Bit + Firehose の組み合わせが人気です。

料金はどのくらいかかる？ ▼

OpenSearch Dashboards 自体の追加料金はありません。Amazon OpenSearch Service のクラスター料金（インスタンス + ストレージ）に含まれています。小規模なら月額$50〜、本番環境では$200〜$1000程度が目安です。

CloudWatch Logs との使い分けは？ ▼

シンプルな監視・アラートなら CloudWatch Logs で十分です。一方、複雑な検索クエリ、カスタムダッシュボード、大量のログ分析、SIEM用途には OpenSearch の方が適しています。両方を組み合わせることも可能です。

認証・アクセス制御はどうする？ ▼

Amazon OpenSearch Service では、①IAMベースのアクセス制御、②内部データベースによる認証、③SAML連携（SSO）、④Amazon Cognito連携が選択できます。本番環境では Cognito + IAM の組み合わせが推奨されます。

⚖️ CloudWatch Logs Insights との比較

🎭 たとえ話で理解する違い

🔍

CloudWatch Logs Insights

= Google検索

知りたいことがあるとき、 サクッと検索 して答えを見つける。
必要なときだけ使う、シンプルで手軽なツール。

📱 スマホでググる感覚

🖥️

OpenSearch Dashboards

= 放送局の管制室

複数のモニターで 常時監視 。
リアルタイムで状況を把握し、異常を即座に検知。

🏢 24時間体制の監視センター

📋 詳細比較表

比較項目	🔍 CloudWatch Logs Insights	📊 OpenSearch Dashboards
主な用途	アドホックなログ検索・調査	継続的な監視・可視化・分析
セットアップ	✅ 即座に利用可能	⚠️ クラスター構築が必要
クエリ言語	独自のシンプルな構文	Lucene / DQL（高機能）
ダッシュボード	簡易的（一時保存）	✅ 本格的（保存・共有・自動更新）
可視化の種類	基本的なグラフのみ	✅ 20種類以上（地図、ヒートマップ等）
リアルタイム性	クエリ実行時のみ	✅ 常時リアルタイム表示
データ保持	CloudWatch Logsに依存	独自に管理（柔軟に設定）
スケーリング	✅ 自動（サーバーレス）	手動でクラスターサイズ調整
アラート機能	CloudWatch Alarms連携	✅ 高度な条件設定可能
SIEM用途	⚠️ 基本的な分析のみ	✅ 本格的なセキュリティ分析

💰 コスト比較の目安

📱 小規模

月数回の調査

Logs Insights $5〜20

OpenSearch $50〜100

🏢 中規模

日常的な監視

Logs Insights $50〜200

OpenSearch $100〜300

🏭 大規模

SIEM/常時監視

Logs Insights $500+

OpenSearch $300〜1000

💡 頻繁にクエリを実行する場合は OpenSearch の方がコスパが良くなる傾向

🎯 使い分けガイド

🔍 CloudWatch Logs Insights を選ぶ

「今起きた問題」を素早く調査したい
コストを最小限に抑えたい
すぐに使い始めたい（セットアップ不要）
シンプルな集計・分析で十分
すでにCloudWatch Logsを使用中

具体例： Lambda関数のエラー調査、EC2の障害原因特定、一時的なトラブルシューティング

📊 OpenSearch Dashboards を選ぶ

常時監視用のダッシュボードが必要
複雑な可視化（ヒートマップ、地図など）
高度なアラート設定が必要
SIEM（セキュリティ監視）用途
複数ソースのログを統合分析

具体例： NOCの監視画面、セキュリティインシデント分析、ビジネスKPIダッシュボード

🤝 ベストプラクティス：両方を組み合わせる

📝 ログソース

↓

☁️ CloudWatch Logs （ログの一次保管）

↙

🔍 Logs Insights アドホック調査

↘

📊 OpenSearch 常時監視ダッシュボード

✅ 日常の障害調査 → Logs Insights でサクッと検索

✅ 運用監視ダッシュボード → OpenSearch で常時表示

✅ 月次レポート → OpenSearch で美しいグラフ作成

📌 かんたん判定チャート

あなたの状況

📌 まとめ：OpenSearch Dashboards でできること

「交通管制センターのモニタールーム」のように、
あらゆるログデータを可視化し、システムの状態を一目で把握できます。

1 ログを収集・保存

2 Discover で探索

3 Visualize でグラフ化

4 Dashboard で監視

目次

OpenSearch Dashboards

OpenSearch Dashboards を一言で言うと？

🚦 交通管制センターに例えると...

🚦 交通管制センター

☁️ OpenSearch + Dashboards

🖥️ OpenSearch Dashboards = モニタールーム

📝 ログから可視化までの流れ

🎭 たとえ話で理解する違い

📋 詳細比較表

💰 コスト比較の目安

🎯 使い分けガイド

🤝 ベストプラクティス：両方を組み合わせる

📌 かんたん判定チャート

📌 まとめ：OpenSearch Dashboards でできること