步骤 4:创建订阅筛选条件 - Amazon CloudWatch 日志
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

步骤 4:创建订阅筛选条件

在创建目标后,日志数据接收者账户可与其他 Amazon 账户共享目标 ARN (arn:aws:logs:us-east-1:999999999999:destination:testDestination),以便他们将日志事件发送到相同的目标。这些其他的发送账户用户随后会在各自的日志组上针对此目标创建订阅筛选条件。订阅筛选器将立即让实时日志数据开始从所选日志组向指定目标的流动。

注意

如果要向整个组织授予订阅筛选器的权限,则需要使用在 步骤 2:(仅在使用企业时)创建 IAM 角色 中创建的 IAM 角色的 ARN。

在以下示例中,订阅筛选器是在发送账户中创建的。该过滤器与包含 Amazon CloudTrail 事件的日志组相关联,因此 “根” Amazon 凭据记录的每个活动都将传送到您之前创建的目标。该目的地封装了一个名为 “” 的流。RecipientStream

以下各节的其余步骤假设您已按照Amazon CloudTrail 用户指南向 CloudWatch 日志发送 CloudTrail事件中的说明进行操作,并创建了一个包含您的 CloudTrail 事件的日志组。这些步骤假定此日志组的名称为 CloudTrail/logs

输入以下命令时,请务必以 IAM 用户身份登录,或者使用在 步骤 3:添加/验证跨账户目标的 IAM 权限 中为其添加策略的 IAM 角色登录。

aws logs put-subscription-filter \
    --log-group-name "CloudTrail/logs" \
    --filter-name "RecipientStream" \
    --filter-pattern "{$.userIdentity.type = Root}" \
    --destination-arn "arn:aws:logs:region:999999999999:destination:testDestination"

日志组和目标必须位于同一 Amazon 区域。但是,目标可以指向位于不同区域的 Amazon 资源,例如 Kinesis Data Streams 流。