ステップ 4: サブスクリプションフィルターを作成する

送信先を作成したら、ログデータの受信者アカウントは、送信先の ARN (arn:aws:logs:us-east-1:999999999999:destination:testDestination) を他の AWS アカウントと共有できるようになります。これにより、これらのアカウントは同じ送信先にログイベントを送信できます。この後、これらの他の送信アカウントのユーザーは、この送信先に対するサブスクリプションフィルタをそれぞれのロググループに作成します。サブスクリプションフィルタは、特定のロググループから特定の送信先へのリアルタイムログデータの送信をすぐに開始します。

注記

サブスクリプションフィルターのためのアクセス許可を組織全体に付与する際は、ステップ 2: IAM ロールを作成する (組織を使用している場合のみ) で作成した IAM ロールの ARN を使用する必要があります。

次の例では、サブスクリプションフィルターが送信アカウントに作成されます。このフィルターは、 AWS CloudTrail イベントを含むロググループに関連付けられ、「ルート AWS 」認証情報によって行われたすべてのログアクティビティが、以前に作成した送信先に配信されます。その送信先は「」というストリームをカプセル化RecipientStreamします。

以降のセクションの残りのステップでは、「 AWS CloudTrail ユーザーガイド CloudTrail」の CloudWatch 「 ログへのイベントの送信」の指示に従い、 CloudTrail イベントを含むロググループを作成済みであることを前提としています。そのステップでは、ロググループに CloudTrail/logs という名前を付けることになっています。

次のコマンドを入力するときは、必ず IAM ユーザーとしてサインインしているか、ステップ 3: クロスアカウント宛先の IAM アクセス許可を追加/検証する にポリシーを追加した IAM ロールを使用してサインインしていることを確認してください。

aws logs put-subscription-filter \
    --log-group-name "CloudTrail/logs" \
    --filter-name "RecipientStream" \
    --filter-pattern "{$.userIdentity.type = Root}" \
    --destination-arn "arn:aws:logs:region:999999999999:destination:testDestination"

ロググループと送信先は同じ AWS リージョンにある必要があります。ただし、送信先は、別のリージョンにある Kinesis Data Streams ストリームなどの AWS リソースを指すことができます。