Schritt 3: Erstellen Sie eine Abonnementfilterrichtlinie auf Kontoebene - CloudWatch Amazon-Protokolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 3: Erstellen Sie eine Abonnementfilterrichtlinie auf Kontoebene

Nachdem Sie ein Ziel erstellt haben, kann das Konto des Empfängers der Protokolldaten das Ziel ARN (arn:aws:logs:us-east- 1:999999999999:destination:) mit anderen Konten teilen, sodass diese Protokollereignisse an dasselbe Ziel senden können. testDestination AWS Die anderen sendenden Kontobenutzer erstellen einen Abonnementfilter für die jeweiligen Protokollgruppen für dieses Ziel. Der Abonnementfilter startet sofort den Fluss der Echtzeit-Protokolldaten aus der gewählten Protokollgruppe an das angegebene Ziel.

Anmerkung

Wenn Sie einer gesamten Organisation Berechtigungen für den Abonnementfilter gewähren, müssen Sie die Rolle verwenden, in der Sie sie erstellt haben. ARN IAM Schritt 2: (Nur wenn Sie eine Organisation verwenden) Erstellen Sie eine Rolle IAM

Im folgenden Beispiel wird eine Abonnementfilterrichtlinie auf Kontoebene in einem Absenderkonto erstellt. Der Filter ist dem Absenderkonto zugeordnet, 111111111111 sodass jedes Protokollereignis, das den Filter- und Auswahlkriterien entspricht, an das zuvor erstellte Ziel gesendet wird. Dieses Ziel kapselt einen Stream namens "“. RecipientStream

Das selection-criteria Feld ist optional, aber wichtig, um Protokollgruppen, die zu einer unendlichen Protokollrekursion führen können, aus einem Abonnementfilter auszuschließen. Weitere Informationen zu diesem Problem und zur Bestimmung, welche Protokollgruppen ausgeschlossen werden sollen, finden Sie unterVerhinderung der Rekursion von Protokollen. Derzeit ist NOT IN der einzige unterstützte Operator fürselection-criteria.

aws logs put-account-policy \
    --policy-name "CrossAccountStreamsExamplePolicy" \
    --policy-type "SUBSCRIPTION_FILTER_POLICY" \
    --policy-document '{"DestinationArn":"arn:aws:logs:region:999999999999:destination:testDestination", "FilterPattern": "", "Distribution": "Random"}' \
    --selection-criteria 'LogGroupName NOT IN ["LogGroupToExclude1", "LogGroupToExclude2"]' \
    --scope "ALL"

Die Protokollgruppen des Absenderkontos und das Ziel müssen sich in derselben AWS Region befinden. Das Ziel kann jedoch auf eine AWS Ressource verweisen, z. B. auf einen Kinesis Data Streams Streams-Stream, der sich in einer anderen Region befindet.