步驟 4：建立訂閱篩選條件

在建立目的地後，日誌資料收件人帳戶可以與其他 AWS 帳戶共用目的地 ARN (arn:aws:logs:us-east-1:999999999999:destination:testDestination)，讓他們能將日誌事件傳送到相同目的地。然後，這些其他傳送帳戶使用者接著會在個別的日誌群組針對此目的地建立訂閱篩選條件。訂閱篩選條件會立即開始將即時日誌資料從所選的日誌群組傳送到指定的目標。

注意

如果您要將訂閱篩選條件的許可授予給整個組織，您需要使用您在 步驟 2：(僅限於使用組織時) 建立 IAM 角色 中建立的 IAM 角色 ARN。

在下列範例中，會在傳送帳戶中建立訂閱篩選器。篩選器與包含 AWS CloudTrail 事件的記錄群組相關聯，因此，「根」 AWS 認證所做的每個記錄活動都會傳遞至您先前建立的目的地。該目的地封裝了一個名為「RecipientStream」的流。

下列各節的其餘步驟假設您已遵循使用指南中〈將 CloudTrail事件傳送至 CloudWatch 記錄檔〉中的AWS CloudTrail 指示，並建立了包含您的 CloudTrail 事件的記錄群組。這些步驟假定此日誌群組的名稱為 CloudTrail/logs。

當您輸入以下命令時，確認您以 IAM 使用者身分登入，或是使用您在 步驟 3：新增/驗證跨帳戶目的地的 IAM 許可 中為其新增政策的 IAM 角色登入。

aws logs put-subscription-filter \
    --log-group-name "CloudTrail/logs" \
    --filter-name "RecipientStream" \
    --filter-pattern "{$.userIdentity.type = Root}" \
    --destination-arn "arn:aws:logs:region:999999999999:destination:testDestination"

記錄群組和目的地必須位於相同的 AWS 區域。但是，目標可以指向位於不同區域的 AWS 資源，例如 Kinesis Data Streams 流。