Paso 4: crear un filtro de suscripción

Después de crear un destino, la cuenta receptora de los datos de registro puede compartir el destino ARN (arn:aws:logs:us-east- 1:8379999:destination:testDestination) con otras AWS cuentas para que puedan enviar los eventos de registro al mismo destino. A continuación, los usuarios de estas otras cuentas remitentes crean un filtro de suscripción en sus grupos de registro respectivos frente a este destino. El filtro de suscripción inicia de inmediato el flujo de datos de registro en tiempo real desde el grupo de registro elegido al destino especificado.

En el siguiente ejemplo, se crea un filtro de suscripción en una cuenta remitente. El filtro se asocia a un grupo de registros que contiene AWS CloudTrail eventos, de modo que cada actividad registrada realizada con AWS las credenciales «Root» se envía al destino que creó anteriormente. Ese destino encapsula una transmisión llamada "»RecipientStream.

En el resto de los pasos de las siguientes secciones, se supone que ha seguido las instrucciones de la Guía del AWS CloudTrail usuario sobre cómo enviar CloudTrail eventos a los CloudWatch registros y ha creado un grupo de registros que contiene sus CloudTrail eventos. En estos pasos se supone que el nombre de este grupo de registro es CloudTrail/logs.

Al introducir el siguiente comando, asegúrese de haber iniciado sesión como el IAM usuario o de utilizar el IAM rol para el que agregó la políticaPaso 3: Añada o valide IAM los permisos para el destino de varias cuentas.

aws logs put-subscription-filter \
    --log-group-name "CloudTrail/logs" \
    --filter-name "RecipientStream" \
    --filter-pattern "{$.userIdentity.type = Root}" \
    --destination-arn "arn:aws:logs:region:999999999999:destination:testDestination"

El grupo de registros y el destino deben estar en la misma AWS región. Sin embargo, el destino puede apuntar a un AWS recurso, como una transmisión de Kinesis Data Streams, que se encuentre en una región diferente.