Passaggio 3: Crea una politica di filtro degli abbonamenti a livello di account

Dopo aver creato una destinazione, l'account destinatario dei dati di registro può condividere la destinazione ARN (arn:aws:logs:us-east- 1:99999999:destination:testDestination) con altri account in modo che possano inviare gli eventi di registro alla stessa destinazione. AWS Tali utenti di questi account di invio possono creare un filtro di sottoscrizione sui rispettivi gruppi di log sulla destinazione. Il filtro di sottoscrizione avvia immediatamente il flusso di dati di log in tempo reale dal gruppo di log selezionato alla destinazione specificata.

Nell'esempio seguente, in un account di invio viene creato un criterio di filtro di sottoscrizione a livello di account. Il filtro è associato all'account mittente in 111111111111 modo che ogni evento di registro che corrisponde ai criteri di filtro e selezione venga inviato alla destinazione creata in precedenza. Tale destinazione incapsula un flusso chiamato "». RecipientStream

Il selection-criteria campo è facoltativo, ma è importante per escludere i gruppi di log che possono causare una ricorsione infinita dei log da un filtro di sottoscrizione. Per ulteriori informazioni su questo problema e per determinare quali gruppi di log escludere, vedere. Registra la prevenzione della ricorsione Attualmente, NOT IN è l'unico operatore supportato perselection-criteria.

aws logs put-account-policy \
    --policy-name "CrossAccountStreamsExamplePolicy" \
    --policy-type "SUBSCRIPTION_FILTER_POLICY" \
    --policy-document '{"DestinationArn":"arn:aws:logs:region:999999999999:destination:testDestination", "FilterPattern": "", "Distribution": "Random"}' \
    --selection-criteria 'LogGroupName NOT IN ["LogGroupToExclude1", "LogGroupToExclude2"]' \
    --scope "ALL"

I gruppi di log dell'account mittente e la destinazione devono trovarsi nella stessa AWS regione. Tuttavia, la destinazione può puntare a una AWS risorsa come un flusso Kinesis Data Streams che si trova in una regione diversa.