创建订阅筛选条件 - Amazon CloudWatch Logs
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

创建订阅筛选条件

在创建目标后,日志数据接收者账户可与其他 Amazon 账户共享目标 ARN (arn:aws:logs:us-east-1:999999999999:destination:testDestination),以便他们将日志事件发送到相同的目标。这些其他的发送账户用户随后会在各自的日志组上针对此目标创建订阅筛选条件。订阅筛选器将立即让实时日志数据开始从所选日志组向指定目标的流动。

注意

如果要向整个组织授予订阅筛选器的权限,则需要使用在 步骤 2:(仅在使用企业时)创建 IAM 角色 中创建的 IAM 角色的 ARN。

在以下示例中,在发送者账户中创建订阅筛选条件。此筛选条件与一个包含 Amazon CloudTrail 事件的日志组关联,以便将“根”Amazon凭证执行的每个记录下来的活动都传输到前面创建的目标。该目标封装一个名为“RecipientStream”的 流。

以下各部分中的其余步骤假定您已按照《Amazon CloudTrail 用户指南》中将 CloudTrail 事件发送到 CloudWatch Logs 中指示操作,并已创建包含 CloudTrail 事件的日志组。这些步骤假定此日志组的名称为 CloudTrail/logs

aws logs put-subscription-filter \
    --log-group-name "CloudTrail/logs" \
    --filter-name "RecipientStream" \
    --filter-pattern "{$.userIdentity.type = Root}" \
    --destination-arn "arn:aws:logs:region:999999999999:destination:testDestination"

日志组和目标必须位于同一Amazon区域内。但是,目标可指向位于不同区域的Amazon资源,如 Kinesis Data Streams 流。