Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Étape 4 : créer un filtre d'abonnement
Une fois que vous avez créé une destination, le compte destinataire des données du journal peut partager la destination ARN (arn:aws:logs:us-east- 1:9999999999999999:destination :testDestination) avec d'autres comptes afin qu'ils puissent envoyer les événements du journal vers la même destination. AWS Les utilisateurs des autres comptes d'expédition créent ensuite un filtre d'abonnement sur leurs groupes de journaux respectifs par rapport à cette destination. Ce filtre d'abonnement lance immédiatement la transmission de données du journal en temps réel à partir du groupe de journaux choisi vers la destination spécifiée.
Note
Si vous accordez des autorisations pour le filtre d'abonnement à l'ensemble d'une organisation, vous devez utiliser le ARN IAM rôle que vous avez créé dansÉtape 2 : (uniquement si vous utilisez une organisation) Créez un IAM rôle.
Dans l'exemple suivant, un filtre d'abonnement est créé dans un compte d'envoi. Le filtre est associé à un groupe de journaux contenant des AWS CloudTrail événements afin que chaque activité enregistrée avec les AWS informations d'identification « root » soit transmise à la destination que vous avez créée précédemment. Cette destination encapsule un flux appelé « RecipientStream ».
Les autres étapes décrites dans les sections suivantes supposent que vous avez suivi les instructions de la section Envoyer des CloudTrail événements aux CloudWatch journaux dans le guide de l'AWS CloudTrail utilisateur et que vous avez créé un groupe de journaux contenant vos CloudTrail événements. Ces étapes supposent que le nom de ce groupe de journaux est CloudTrail/logs.
Lorsque vous entrez la commande suivante, assurez-vous d'être connecté en tant qu'IAMutilisateur ou que vous utilisez le IAM rôle pour lequel vous avez ajouté la politiqueÉtape 3 : ajouter/valider IAM les autorisations pour la destination multi-comptes.
aws logs put-subscription-filter \ --log-group-name "CloudTrail/logs" \ --filter-name "RecipientStream" \ --filter-pattern "{$.userIdentity.type = Root}" \ --destination-arn "arn:aws:logs:region:999999999999:destination:testDestination"
Le groupe de journaux et la destination doivent se trouver dans la même AWS région. Toutefois, la destination peut pointer vers une AWS ressource telle qu'un flux Kinesis Data Streams situé dans une autre région.
