3단계: 계정 수준 구독 필터 정책 생성 - Amazon CloudWatch Logs

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

3단계: 계정 수준 구독 필터 정책 생성

대상을 생성하고 나면 로그 데이터 수신자 계정에서 다른 AWS 계정이 로그 이벤트를 동일한 대상으로 전송할 수 있도록 대상 ARN(arn:aws:logs:us-east-1:999999999999:destination:testDestination)을 이들과 공유할 수 있습니다. 그러면 이러한 다른 전송 계정 사용자는 이 대상에 해당되는 로그 그룹에 대한 구독 필터를 생성합니다. 그 즉시 구독 필터는 실시간으로 선택한 로그 그룹에서 지정된 스트림으로 로그 데이터를 이동시키기 시작합니다.

참고

전체 조직에 구독 필터에 대한 권한을 부여하는 경우 2단계: (조직을 사용하는 경우에만) IAM 역할 생성에서 생성한 IAM 역할의 ARN을 사용해야 합니다.

다음 예제에서는 전송 계정에 계정 수준 구독 필터 정책이 생성됩니다. 필터는 발신자 계정 111111111111과 연결되어 필터 및 선택 기준과 일치하는 모든 로그 이벤트가 이전에 생성한 대상으로 전달됩니다. 이 대상에서는 "RecipientStream"이라는 스트림을 캡슐화합니다.

selection-criteria 필드는 선택 사항이지만 구독 필터에서 무한 로그 재귀를 일으킬 수 있는 로그 그룹을 제외하는 데 중요합니다. 이 문제와 제외할 로그 그룹 결정에 대한 자세한 내용은 로그 재귀 방지 섹션을 참조하세요. 현재 NOT IN은 selection-criteria에 지원되는 유일한 연산자입니다.

aws logs put-account-policy \ --policy-name "CrossAccountStreamsExamplePolicy" \ --policy-type "SUBSCRIPTION_FILTER_POLICY" \ --policy-document '{"DestinationArn":"arn:aws:logs:region:999999999999:destination:testDestination", "FilterPattern": "", "Distribution": "Random"}' \ --selection-criteria 'LogGroupName NOT IN ["LogGroupToExclude1", "LogGroupToExclude2"]' \ --scope "ALL"

발신자 계정의 로그 그룹과 대상은 동일한 AWS 리전에 있어야 합니다. 하지만 대상은 다른 리전에 있는 Kinesis Data Streams 스트림과 같은 AWS 리소스를 가리킬 수 있습니다.