Paso 4: crear un filtro de suscripción

Después de crear un destino, la cuenta del destinatario de los datos de registro puede compartir el ARN de destino (arn:aws:logs:us-east-1:999999999999:destination:testDestination) con otras cuentas de AWS para que puedan enviar eventos de registro al mismo destino. A continuación, los usuarios de estas otras cuentas remitentes crean un filtro de suscripción en sus grupos de registro respectivos frente a este destino. El filtro de suscripción inicia de inmediato el flujo de datos de registro en tiempo real desde el grupo de registro elegido al destino especificado.

En el siguiente ejemplo, se crea un filtro de suscripción en una cuenta remitente. El filtro se asocia a un grupo de registros que contiene AWS CloudTrail eventos, de modo que cada actividad registrada con AWS las credenciales «Root» se envía al destino que creó anteriormente. Ese destino encapsula una transmisión llamada "»RecipientStream.

En el resto de los pasos de las siguientes secciones, se supone que ha seguido las instrucciones de la Guía del AWS CloudTrail usuario sobre cómo enviar CloudTrail eventos a los CloudWatch registros y ha creado un grupo de registros que contiene sus CloudTrail eventos. En estos pasos se supone que el nombre de este grupo de registro es CloudTrail/logs.

Al introducir el siguiente comando, asegúrese de haber iniciado sesión como usuario de IAM o de utilizar el rol de IAM para el que agregó la política, en Paso 3: agregar o validar los permisos de IAM para el destino entre cuentas.

aws logs put-subscription-filter \
    --log-group-name "CloudTrail/logs" \
    --filter-name "RecipientStream" \
    --filter-pattern "{$.userIdentity.type = Root}" \
    --destination-arn "arn:aws:logs:region:999999999999:destination:testDestination"

El grupo de registros y el destino deben estar en la misma AWS región. Sin embargo, el destino puede apuntar a un AWS recurso, como una transmisión de Kinesis Data Streams, que se encuentre en una región diferente.