概念
每个订阅筛选条件都由以下关键元素组成:
- 筛选条件模式
-
一种符号描述,说明 CloudWatch Logs 应如何解释每个日志事件中的数据以及可限制传输到目标Amazon资源的内容的筛选表达式。有关筛选条件模式语法的更多信息,请参阅 指标筛选条件、订阅筛选条件、筛选日志事件和 Live Tail 的筛选条件模式语法。
- 目标 ARN
-
要用作订阅源目的地的 Kinesis Data Streams 流、Firehose 流或 Lambda 函数的 Amazon 资源名称(ARN)。
- 角色 ARN
-
一个 IAM 角色,用于向 CloudWatch Logs 授予将数据放入所选目标所需的必要权限。此角色不适用于 Lambda 目标,因为 CloudWatch Logs 可以通过 Lambda 函数本身的访问控制设置获得必要的权限。
- 分配
-
当目标是 Amazon Kinesis Data Streams 流中的流时,用于将日志数据分配到目标的方法。默认情况下,日志数据按日志流进行分组。为了实现更均匀的分配,您可以对日志数据进行随机分组。
对于日志组级别的订阅,还包括下面的关键元素:
- 日志组名称
-
要将订阅筛选条件关联到的日志组。上传到此日志组的所有日志事件都受订阅筛选条件的约束,与该筛选条件匹配的日志事件将被传输到接收匹配日志事件的目标服务。
对于账户级别的订阅,还包括下面的关键元素:
- 选择标准
-
用于选择哪些日志组应用了账户级别订阅筛选条件的标准。如果不指定此元素,则账户级别订阅筛选条件将应用于账户中的所有日志组。此字段用于防止无限日志循环。有关无限日志循环问题的更多信息,请参阅日志 防止日志递归。
选择标准的大小限制为 25 KB。
对于集中式日志组,还包括下面的关键元素。这些元素可用作字段选择标准,以帮助识别日志数据的来源,从而对从集中式日志派生的指标进行更精细的筛选和分析。
- @aws.account
-
此字段标识日志事件来源的 Amazon 账户 ID。
- @aws.region
-
此字段标识生成日志事件的 Amazon 区域。