As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Etapa 4: criar um filtro de assinatura
Depois de criar um destino, a conta do destinatário dos dados de registro pode compartilhar o destino ARN (arn:aws:logs:us-east- 1:999999999999:destination:testDestination) com outras contas para que elas possam enviar eventos de log para o mesmo destino. AWS Esses outros usuários de contas de envio criam um filtro de assinatura em seus respectivos grupos de log para esse destino. O filtro de assinatura filtrar inicia imediatamente o fluxo de dados de log em tempo real a partir do grupo de logs escolhido para o destino especificado.
nota
Se você estiver concedendo permissões para o filtro de assinatura a uma organização inteira, precisará usar ARN a IAM função na Etapa 2: (Somente se estiver usando uma organização) Criar uma IAM função qual você criou.
No exemplo a seguir, um filtro de assinatura é criado em uma conta de envio. O filtro é associado a um grupo de registros contendo AWS CloudTrail eventos para que todas as atividades registradas feitas pelas AWS credenciais “Root” sejam entregues ao destino que você criou anteriormente. Esse destino encapsula um fluxo chamado "”RecipientStream.
O restante das etapas nas seções a seguir pressupõe que você seguiu as instruções em Enviar CloudTrail eventos para CloudWatch registros no Guia do AWS CloudTrail usuário e criou um grupo de registros que contém seus CloudTrail eventos. Essas etapas pressupõem que o nome desse grupo de logs é CloudTrail/logs.
Ao inserir o comando a seguir, certifique-se de estar conectado como IAM usuário ou usando a IAM função para a qual você adicionou a políticaEtapa 3: adicionar/validar IAM permissões para o destino entre contas.
aws logs put-subscription-filter \ --log-group-name "CloudTrail/logs" \ --filter-name "RecipientStream" \ --filter-pattern "{$.userIdentity.type = Root}" \ --destination-arn "arn:aws:logs:region:999999999999:destination:testDestination"
O grupo de registros e o destino devem estar na mesma AWS região. No entanto, o destino pode apontar para um AWS recurso, como um stream do Kinesis Data Streams, localizado em uma região diferente.
