Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Passaggio 4: creazione di un filtro di sottoscrizione
Dopo aver creato una destinazione, l'account del destinatario dei dati di registro può condividere la destinazione ARN (arn:aws:logs:us-east- 1:9999:destination:testDestination) con altri AWS account in modo che possano inviare eventi di registro alla stessa destinazione. Tali utenti di questi account di invio possono creare un filtro di sottoscrizione sui rispettivi gruppi di log sulla destinazione. Il filtro di sottoscrizione avvia immediatamente il flusso di dati di log in tempo reale dal gruppo di log selezionato alla destinazione specificata.
Nota
Se concedi le autorizzazioni per il filtro di sottoscrizione a un'intera organizzazione, dovrai utilizzare il ruolo in cui hai creato. ARN IAM Passaggio 2: (Solo se utilizzi un'organizzazione) Crea un ruolo IAM
Nell'esempio seguente, viene creato un filtro di sottoscrizione in un account di invio. Il filtro è associato a un gruppo di log contenente AWS CloudTrail eventi in modo che ogni attività registrata effettuata dalle AWS credenziali «Root» venga consegnata alla destinazione creata in precedenza. Tale destinazione incapsula un flusso chiamato "». RecipientStream
Il resto dei passaggi descritti nelle sezioni seguenti presuppone che l'utente abbia seguito le istruzioni riportate in Invio di CloudTrail eventi ai CloudWatch registri nella Guida per l'AWS CloudTrail utente e abbia creato un gruppo di log contenente gli eventi. CloudTrail Questi passaggi presuppongono che il nome di questo gruppo di log sia CloudTrail/logs.
Quando immetti il comando seguente, assicurati di aver effettuato l'accesso come IAM utente o di utilizzare il IAM ruolo per il quale hai aggiunto la politica, inPassaggio 3: aggiungere/convalidare IAM le autorizzazioni per la destinazione tra account diversi.
aws logs put-subscription-filter \ --log-group-name "CloudTrail/logs" \ --filter-name "RecipientStream" \ --filter-pattern "{$.userIdentity.type = Root}" \ --destination-arn "arn:aws:logs:region:999999999999:destination:testDestination"
Il gruppo di log e la destinazione devono trovarsi nella stessa AWS regione. Tuttavia, la destinazione può puntare a una AWS risorsa come un flusso Kinesis Data Streams che si trova in una regione diversa.
