Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Schritt 4: Erstellen eines Abonnementfilters
Nachdem Sie ein Ziel erstellt haben, kann das Empfängerkonto für Protokolldaten das Ziel ARN (arn:aws:logs:us-east- 1:999999999999:destination:testDestination) mit anderen Konten teilen, sodass diese Protokollereignisse an dasselbe Ziel senden können. AWS Die anderen sendenden Kontobenutzer erstellen einen Abonnementfilter für die jeweiligen Protokollgruppen für dieses Ziel. Der Abonnementfilter startet sofort den Fluss der Echtzeit-Protokolldaten aus der gewählten Protokollgruppe an das angegebene Ziel.
Anmerkung
Wenn Sie einer gesamten Organisation Berechtigungen für den Abonnementfilter gewähren, müssen Sie die Rolle verwenden, in der Sie sie erstellt haben. ARN IAM Schritt 2: (Nur wenn Sie eine Organisation verwenden) Erstellen Sie eine Rolle IAM
Im folgenden Beispiel wird ein Abonnementfilter in einem sendenden Konto erstellt. Der Filter ist einer Protokollgruppe zugeordnet, die AWS CloudTrail Ereignisse enthält, sodass jede protokollierte Aktivität, die mit „Root“ AWS -Anmeldeinformationen ausgeführt wird, an das Ziel übermittelt wird, das Sie zuvor erstellt haben. Dieses Ziel kapselt einen Stream namens "“. RecipientStream
Bei den restlichen Schritten in den folgenden Abschnitten wird davon ausgegangen, dass Sie die Anweisungen unter CloudTrailEreignisse an CloudWatch Protokolle senden im AWS CloudTrail Benutzerhandbuch befolgt und eine Protokollgruppe erstellt haben, die Ihre CloudTrail Ereignisse enthält. Diese Schritte gehen davon aus, dass der Name dieser Protokollgruppe CloudTrail/logs ist.
Wenn Sie den folgenden Befehl eingeben, stellen Sie sicher, dass Sie als IAM Benutzer angemeldet sind oder die IAM Rolle verwenden, für die Sie die Richtlinie hinzugefügt habenSchritt 3: IAM Berechtigungen für das kontoübergreifende Ziel hinzufügen/validieren.
aws logs put-subscription-filter \ --log-group-name "CloudTrail/logs" \ --filter-name "RecipientStream" \ --filter-pattern "{$.userIdentity.type = Root}" \ --destination-arn "arn:aws:logs:region:999999999999:destination:testDestination"
Die Protokollgruppe und das Ziel müssen sich in derselben AWS Region befinden. Das Ziel kann jedoch auf eine AWS Ressource verweisen, z. B. auf einen Kinesis Data Streams Streams-Stream, der sich in einer anderen Region befindet.
