步骤 4：创建订阅筛选条件

在创建目标后，日志数据接收者账户可与其他 AWS 账户共享目标 ARN (arn:aws:logs:us-east-1:999999999999:destination:testDestination)，以便他们将日志事件发送到相同的目标。这些其他的发送账户用户随后会在各自的日志组上针对此目标创建订阅筛选条件。订阅筛选器将立即让实时日志数据开始从所选日志组向指定目标的流动。

注意

如果要向整个组织授予订阅筛选器的权限，则需要使用在步骤 2：（仅在使用企业时）创建 IAM 角色中创建的 IAM 角色的 ARN。

在以下示例中，在发送者账户中创建订阅筛选条件。此筛选条件与一个包含 AWS CloudTrail 事件的日志组关联，以便将“根”AWS凭证执行的每个记录下来的活动都传输到前面创建的目标。该目标封装一个名为“RecipientStream”的流。

以下各部分中的其余步骤假定您已按照《AWS CloudTrail 用户指南》中将 CloudTrail 事件发送到 CloudWatch Logs 中指示操作，并已创建包含 CloudTrail 事件的日志组。这些步骤假定此日志组的名称为 CloudTrail/logs。

输入以下命令时，请务必以 IAM 用户身份登录，或者使用在步骤 3：添加/验证跨账户目标的 IAM 权限中为其添加策略的 IAM 角色登录。


aws logs put-subscription-filter \
    --log-group-name "CloudTrail/logs" \
    --filter-name "RecipientStream" \
    --filter-pattern "{$.userIdentity.type = Root}" \
    --destination-arn "arn:aws:logs:region:999999999999:destination:testDestination"

日志组和目标必须位于同一AWS区域内。但是，目标可指向位于不同区域的AWS资源，如 Kinesis Data Streams 流。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

步骤 3：添加/验证跨账户目标的 IAM 权限

验证日志事件流