Registros enviados para CloudWatch Logs - CloudWatch Registros da Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Registros enviados para CloudWatch Logs

Importante

Quando você configura os tipos de registro na lista a seguir para serem enviados ao CloudWatch Logs, AWS cria ou altera as políticas de recursos associadas ao grupo de registros que recebe os registros, se necessário. Continue lendo esta seção para ver os detalhes.

Esta seção se aplica quando os tipos de registros listados na tabela da seção anterior são enviados para CloudWatch Logs:

Permissões de usuário

Para poder configurar o envio de qualquer um desses tipos de CloudWatch registros para o Logs pela primeira vez, você precisa estar conectado a uma conta com as seguintes permissões.

  • logs:CreateLogDelivery

  • logs:PutResourcePolicy

  • logs:DescribeResourcePolicies

  • logs:DescribeLogGroups

    nota

    Quando você especificar a permissão logs:DescribeLogGroups, logs:DescribeResourcePolicies ou logs:PutResourcePolicy, certifique-se de definir o ARN da linha Resource para que use um caractere curinga *, em vez de especificar apenas um único nome de grupo de logs. Por exemplo, "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:*".

Se algum desses tipos de registros já estiver sendo enviado para um grupo de CloudWatch registros no Logs, para configurar o envio de outro desses tipos de registros para esse mesmo grupo de registros, você só precisará da logs:CreateLogDelivery permissão.

Política de recursos do grupo de logs

O grupo de logs para o qual os logs estão sendo enviados deve ter uma política de recursos que contenha determinadas permissões. Se o grupo de registros atualmente não tiver uma política de recursos e o usuário que configura o registro tiver as logs:DescribeLogGroups permissõeslogs:PutResourcePolicy,logs:DescribeResourcePolicies, e para o grupo de registros, AWS criará automaticamente a política a seguir quando você começar a enviar os CloudWatch registros para o Logs.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "delivery.logs.amazonaws.com"
                ]
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "0123456789"
                    ]
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:111122223333:*"
                    ]
                }
            }
        }
    ]
}

Se o grupo de logs tem uma política de recursos, mas essa política não contém a instrução exibida na política anterior, e o usuário configurando o log tem as permissões logs:PutResourcePolicy, logs:DescribeResourcePolicies e logs:DescribeLogGroups para o grupo de logs, essa instrução é anexada à política de recursos do grupo de logs.