4단계: 구독 필터 생성

대상을 생성하고 나면 로그 데이터 수신자 계정에서 다른 AWS 계정이 로그 이벤트를 동일한 대상으로 전송할 수 있도록 대상 ARN(arn:aws:logs:us-east-1:999999999999:destination:testDestination)을 이들과 공유할 수 있습니다. 그러면 이러한 다른 전송 계정 사용자는 이 대상에 해당되는 로그 그룹에 대한 구독 필터를 생성합니다. 그 즉시 구독 필터는 실시간으로 선택한 로그 그룹에서 지정된 스트림으로 로그 데이터를 이동시키기 시작합니다.

참고

전체 조직에 구독 필터에 대한 권한을 부여하는 경우 2단계: (조직을 사용하는 경우에만) IAM 역할 생성에서 생성한 IAM 역할의 ARN을 사용해야 합니다.

다음 예시에서는 전송 계정에 구독 필터를 생성합니다. 이 필터는 AWS CloudTrail 이벤트가 포함된 로그 그룹과 연결되므로 “루트” AWS 자격 증명으로 기록된 모든 활동이 이전에 만든 대상으로 전달됩니다. 해당 대상은 "“이라는 스트림을 캡슐화합니다. RecipientStream

다음 섹션의 나머지 단계에서는 AWS CloudTrail 사용 설명서의 CloudWatch 로그로 CloudTrail 이벤트 보내기의 지침을 따르고 이벤트가 포함된 로그 그룹을 만들었다고 가정합니다. CloudTrail 이 단계에서는 이 로그 그룹의 이름이 CloudTrail/logs라고 가정합니다.

다음 명령을 입력할 때는3단계: 교차 계정 대상에 대한 IAM 권한 추가/검증에서 IAM 사용자로 로그인하거나 정책을 추가한 IAM 역할을 사용하여 로그인해야 합니다.

aws logs put-subscription-filter \
    --log-group-name "CloudTrail/logs" \
    --filter-name "RecipientStream" \
    --filter-pattern "{$.userIdentity.type = Root}" \
    --destination-arn "arn:aws:logs:region:999999999999:destination:testDestination"

로그 그룹과 대상은 같은 AWS 지역에 있어야 합니다. 하지만 대상은 다른 지역에 있는 Kinesis Data Streams 스트림과 같은 AWS 리소스를 가리킬 수 있습니다.