本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 步骤 4：创建订阅筛选条件
<a name="CreateSubscriptionFilterFirehose"></a>

切换到发送账户，在此示例中为 111111111111。此时，您将在发送账户中创建订阅筛选条件。在此示例中，过滤器与包含 AWS CloudTrail 事件的日志组相关联，因此通过 “根” AWS 凭据记录的每个活动都将传送到您之前创建的目标。有关如何向 CloudWatch 日志发送 AWS CloudTrail 事件的更多信息，请参阅*AWS CloudTrail 用户指南*中的[向 CloudWatch 日志发送 CloudTrail 事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html)。

输入以下命令时，请务必以 IAM 用户身份登录，或者使用在 [步骤 3：跨账户目标的 Add/validate IAM 权限](Subscription-Filter-CrossAccount-Permissions-Firehose.md) 中为其添加策略的 IAM 角色登录。

```
aws logs put-subscription-filter \
    --log-group-name "aws-cloudtrail-logs-111111111111-300a971e" \                   
    --filter-name "firehose_test" \
    --filter-pattern "{$.userIdentity.type = AssumedRole}" \
    --destination-arn "arn:aws:logs:us-east-1:222222222222:destination:testFirehoseDestination"
```

日志组和目标必须位于同一 AWS 区域。但是，目标可以指向位于不同区域的 AWS 资源，例如Firehose流。