Amazon Kinesis Data Firehose
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

步骤 3:将数据从 Amazon CloudWatch 发送到 Kinesis Data Firehose

在本 Kinesis Data Firehose 教程 的此步骤中,您将传输流订阅到 Amazon CloudWatch 日志组。此步骤会导致日志数据从日志组流至传输流。

将日志数据从 CloudWatch Logs 发送到您的传输流

在此过程中,您使用 AWS Command Line Interface (AWS CLI) 创建将日志事件发送到您的传输流的 CloudWatch Logs 订阅。

  1. 将以下信任策略保存到本地文件并将该文件命名为 VPCtoSplunkCWtoFHTrustPolicy.json。请确保将 your-region 占位符替换为您的 AWS 区域代码。

    { "Statement": { "Effect": "Allow", "Principal": { "Service": "logs.your-region.amazonaws.com" }, "Action": "sts:AssumeRole" } }
  2. 在命令窗口中,转到保存了 VPCtoSplunkCWtoFHPolicy.json 的目录,然后运行以下 AWS CLI 命令。

    aws iam create-role --role-name VPCtoSplunkCWtoFHRole --assume-role-policy-document file://VPCtoSplunkCWtoFHTrustPolicy.json
  3. 将以下访问策略保存到本地文件并将该文件命名为 VPCtoSplunkCWtoFHAccessPolicy.json。请务必将 your-regionyour-aws-account-id 占位符替换为您的 AWS 区域代码和账户 ID。

    { "Statement":[ { "Effect":"Allow", "Action":["firehose:*"], "Resource":["arn:aws:firehose:your-region:your-aws-account-id:deliverystream/VPCtoSplunkStream"] }, { "Effect":"Allow", "Action":["iam:PassRole"], "Resource":["arn:aws:iam::your-aws-account-id:role/VPCtoSplunkCWtoFHRole"] } ] }
  4. 在命令窗口中,转到保存了 VPCtoSplunkCWtoFHAccessPolicy.json 的目录,然后运行以下 AWS CLI 命令。

    aws iam put-role-policy --role-name VPCtoSplunkCWtoFHRole --policy-name VPCtoSplunkCWtoFHAccessPolicy --policy-document file://VPCtoSplunkCWtoFHAccessPolicy.json
  5. 将以下 AWS CLI 命令中的 your-regionyour-aws-account-id 占位符替换为您的 AWS 区域代码和账户 ID,然后运行命令。

    aws logs put-subscription-filter --log-group-name "VPCtoSplunkLogGroup" --filter-name "Destination" --filter-pattern "" --destination-arn "arn:aws:firehose:your-region:your-aws-account-id:deliverystream/VPCtoSplunkStream" --role-arn "arn:aws:iam::your-aws-account-id:role/VPCtoSplunkCWtoFHRole"

继续执行步骤 4:在 Splunk 和 Kinesis Data Firehose 中检查结果