Protokolle, die an CloudWatch Logs gesendet wurden - CloudWatch Amazon-Protokolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Protokolle, die an CloudWatch Logs gesendet wurden

Wichtig

Wenn Sie die Protokolltypen in der folgenden Liste so einrichten, dass sie an CloudWatch Logs gesendet werden sollen, AWS erstellt oder ändert bei Bedarf die Ressourcenrichtlinien, die der Protokollgruppe zugeordnet sind, die die Protokolle empfängt. Lesen Sie diesen Abschnitt weiter, um mehr Details zu erhalten.

Dieser Abschnitt gilt, wenn die in der Tabelle im vorherigen Abschnitt aufgeführten Protokolltypen an CloudWatch Logs gesendet werden:

Benutzerberechtigungen

Um das erstmalige Senden dieser Protokolltypen an Logs einrichten zu CloudWatch können, müssen Sie bei einem Konto mit den folgenden Berechtigungen angemeldet sein.

  • logs:CreateLogDelivery

  • logs:PutResourcePolicy

  • logs:DescribeResourcePolicies

  • logs:DescribeLogGroups

    Anmerkung

    Wenn Sie die logs:PutResourcePolicy Berechtigung logs:DescribeLogGroupslogs:DescribeResourcePolicies, oder angeben, achten Sie darauf, den ARN der Resource Zeile so einzustellen, dass er einen * Platzhalter verwendet, anstatt nur einen einzigen Protokollgruppennamen anzugeben. Beispiel: "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:*"

Wenn einer dieser Protokolltypen bereits an eine Protokollgruppe unter CloudWatch Logs gesendet wird, benötigen Sie nur die logs:CreateLogDelivery entsprechende Berechtigung, um das Senden eines anderen Logtyps an dieselbe Protokollgruppe einzurichten.

Protokollgruppe und Ressourcenrichtlinie

Die Protokollgruppe, an die die Protokolle gesendet werden, muss über eine Ressourcenrichtlinie verfügen, die bestimmte Berechtigungen enthält. Wenn die Protokollgruppe derzeit keine Ressourcenrichtlinie hat und der Benutzer, der die Protokollierung einrichtet, über die logs:DescribeLogGroups Berechtigungen logs:PutResourcePolicylogs:DescribeResourcePolicies, und für die Protokollgruppe verfügt, erstellt er AWS automatisch die folgende Richtlinie für diese Gruppe, wenn Sie beginnen, die Protokolle an Logs zu CloudWatch senden. Für neu erstellte Abonnements werden die Ressourcenrichtlinien auf Protokollgruppenebene konfiguriert und haben eine maximale Größe von 51.200 Byte. Wenn eine bestehende Ressourcenrichtlinie auf Kontoebene bereits Berechtigungen über Platzhalter gewährt, würde keine separate Richtlinie auf Protokollgruppenebene erstellt werden. Um die Ressourcenrichtlinie auf LogGroup-Ebene für eine bestimmte Protokollgruppe zu überprüfen, verwenden Sie den describe-resource-policies Befehl, bei dem der --resource-arn Parameter auf den ARN der Protokollgruppe und der --policy-scope Parameter auf gesetzt ist. RESOURCE

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "delivery.logs.amazonaws.com"
                ]
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "0123456789"
                    ]
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:111122223333:*"
                    ]
                }
            }
        }
    ]
}

Das Ressourcenrichtlinien-Limit der Protokollgruppe beträgt 51.200 Byte. Sobald dieses Limit erreicht ist, kann AWS keine neuen Berechtigungen mehr hinzufügen. Dies erfordert, dass Kunden die Richtlinie manuell ändern, um dem delivery.logs.amazonaws.com Service-Principal Berechtigungen für die logs:PutLogEvents Aktionen logs:CreateLogStream und zu gewähren. Kunden sollten ein Präfix für den Protokollgruppennamen mit Platzhaltern wie z. B. verwenden /aws/vendedlogs/* und diesen Protokollgruppennamen für die future Erstellung von Lieferungen verwenden.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "delivery.logs.amazonaws.com"
                ]
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group/aws/vendedlogs/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "0123456789"
                    ]
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:111122223333:*"
                    ]
                }
            }
        }
    ]
}