Etapa 4: criar um filtro de assinatura

Depois de criar um destino, a conta destinatária dos dados de log pode compartilhar o ARN do destino (arn:aws:logs:us-east-1:999999999999:destination:testDestination) com outras contas da AWS para que elas possam enviar seus eventos de log para o mesmo destino. Esses outros usuários de contas de envio criam um filtro de assinatura em seus respectivos grupos de log para esse destino. O filtro de assinatura filtrar inicia imediatamente o fluxo de dados de log em tempo real a partir do grupo de logs escolhido para o destino especificado.

No exemplo a seguir, um filtro de assinatura é criado em uma conta remetente. O filtro está associado a um grupo de logs que contém eventos do AWS CloudTrail, de modo que todas as atividades registradas feitas pelas credenciais “Root” da AWS sejam entregues ao destino que você criou acima. Esse destino encapsula um stream do chamado "RecipientStream".

As demais etapas nas seções a seguir pressupõem que você seguiu as instruções em Enviar eventos do CloudTrail ao CloudWatch Logs no Guia do usuário do AWS CloudTrail e criou um grupo de logs que contém seus eventos do CloudTrail. Essas etapas pressupõem que o nome desse grupo de logs é CloudTrail/logs.

Ao inserir o comando a seguir, certifique-se de estar conectado como usuário do IAM ou usando o perfil do IAM para o qual você adicionou a política, em Etapa 3: adicionar/validar as permissões do IAM para o destino entre contas.

aws logs put-subscription-filter \
    --log-group-name "CloudTrail/logs" \
    --filter-name "RecipientStream" \
    --filter-pattern "{$.userIdentity.type = Root}" \
    --destination-arn "arn:aws:logs:region:999999999999:destination:testDestination"

O grupo de logs e o destino devem estar na mesma região da AWS. Porém, o destino pode apontar para um recurso da AWS, como um fluxo do Kinesis Data Streams, localizado em uma região diferente.