本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将 CloudWatch 日志数据流式传输到 Amazon OpenSearch 服务
<a name="CWL_OpenSearch_Stream"></a>

 您可以在 Amazon Logs 中配置 CloudWatch 日志组，这样您就可以近乎实时地将数据流式传输到您的 Amazon S OpenSearch ervice 集群。有关更多信息，请参阅 [使用订阅实时处理日志数据](Subscriptions.md)。

**注意**  
 只有标准日志类中的日志组支持流式传输到 OpenSearch 服务。有关日志类的更多信息，请参阅 [日志类](CloudWatch_Logs_Log_Classes.md)。

 根据流式传输的日志数据量，请考虑设置函数级并发限制。有关更多信息，请参阅 [Lambda 函数扩展](https://docs.amazonaws.cn/lambda/latest/dg/concurrent-executions.html#per-function-concurrency)。

**注意**  
 由于将大量 CloudWatch 日志数据流式传输到 OpenSearch 服务可能会导致高额使用费，因此我们建议您在 Amazon 账单与成本管理 控制台中创建预算。有关更多信息，请参阅[使用 Amazon 预算管理成本](https://docs.amazonaws.cn/awsaccountbilling/latest/aboutv2/budgets-managing-costs.html)。

 本节介绍在将日志组订阅到 S OpenSearch ervice 之前必须完成的先决条件。它还描述了如何为日志组订阅 OpenSearch 服务。

## 先决条件
<a name="CWL_OpenSearch_Domain"></a>

在开始之前，请先创建一个 OpenSearch 服务域。该域可以具有公有访问权限或 VPC 访问权限，但您无法在创建该域后修改访问权限的类型。您可能需要稍后查看您的 OpenSearch 服务域设置，并根据集群将要处理的数据量修改集群配置。有关创建域的说明，请参阅[创建 OpenSearch 服务域](https://docs.amazonaws.cn/opensearch-service/latest/developerguide/createupdatedomains.html#createdomains)。

有关 OpenSearch 服务的更多信息，请参阅《[亚马逊 OpenSearch 服务开发者指南》](https://docs.amazonaws.cn/opensearch-service/latest/developerguide/)。

## 为日志组订阅 OpenSearch 服务
<a name="CWL_OpenSearch_LG"></a>

您可以使用 CloudWatch 控制台为日志组订阅 S OpenSearch ervice。

**为日志组订阅 OpenSearch 服务**

1. 打开 CloudWatch 控制台，网址为[https://console.aws.amazon.com/cloudwatch/](https://console.amazonaws.cn/cloudwatch/)。

1. 在导航窗格中，选择**日志组**。

1. 选择日志组的名称。

1. 选择**操作**、**订阅筛选条件**、**创建亚马逊 OpenSearch 服务订阅筛选条件**。

1. 选择是要流式传输到此账户还是其他账户中的集群。
   + 如果您选择了此账户，请选择上一步中已创建的域。
   + 如果您选择了其他账户，请提供域 ARN 和端点。

1. 对于 **Lambda IAM 执行角色**，请选择 Lambda 在执行调用时应使用的 IAM 角色。 OpenSearch

   您选择的 IAM 角色必须满足以下要求：
   + 它在信任关系中必须具有 `lambda.amazonaws.com`。
   + 它必须包含以下策略：

------
#### [ JSON ]

****  

     ```
     {
         "Version":"2012-10-17",		 	 	 
         "Statement": [
             {
                 "Sid": "AllowOpenSearchStreamingAccess",
                 "Action": [
                     "es:*"
                 ],
                 "Effect": "Allow",
                 "Resource": "arn:aws:es:us-east-1:123456789012:domain/cloudwatch-logs/*"
             }
         ]
     }
     ```

------
   + 如果目标 OpenSearch 服务域使用 VPC 访问权限，则该角色必须附加** AWSLambdaVPCAccessExecutionRole**策略。这项由亚马逊管理的策略授予 Lambda 访问客户的 VPC 的权限，从而允许 Lambda 写入到 VPC 中的终端节点。 OpenSearch 

1. 对于 **Log format（日志格式）**，请选择日志格式。

1. 对于 **Subscription filter pattern（订阅筛选条件模式）**，键入要在您的日志事件中查找的字词或模式。这样可以确保您只向 OpenSearch 集群发送您感兴趣的数据。有关更多信息，请参阅 [使用筛选条件从日志事件创建指标](MonitoringLogData.md)。

1. （可选）对于 **Select log data to test（选择要测试的日志数据）**，请选择一个日志流，然后选择 **Test pattern（测试模式）**，以确认搜索筛选器是否会返回您期望的结果。

1. 选择 **Start streaming（开始流式传输）**。