本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
跨账户跨区域订阅
您可以与其他 AWS 账户的所有者协作,并在您的 AWS 资源上接收他们的日志事件,例如 Amazon Kinesis 或 Amazon Data Firehose 流(这称为跨账户数据共享)。例如,此日志事件数据可从集中的 Kinesis Data Streams 或 Firehose 流中读取以执行自定义处理和分析。自定义处理在您跨多个账户协作和分析数据时特别有用。
例如,某家公司的信息安全组可能需要分析数据以进行实时入侵检测或查找异常行为,以便能对公司所有部门的账户进行审核 (通过收集各账户的联合生产日志进行集中处理)。可以汇编这些账户中的事件数据的实时流并将其传递到信息安全组,这些组可使用 Kinesis Data Streams 将数据附加到现有安全分析系统。
注意
日志组和目标必须位于同一 AWS 区域。但是,目标指向的 AWS 资源可位于不同的区域。在以下部分的示例中,所有特定于区域的资源都是在美国东部(弗吉尼亚州北部)创建的。
如果您已经配置 AWS Organizations 并正在使用成员帐户,则可以使用日志集中将源账户中的日志数据收集到中央监控账户中。
使用集中式日志组时,可以在创建订阅筛选器时使用以下系统字段维度:
-
@aws.account-此维度表示产生日志事件的 AWS 账户 ID。 -
@aws.region-此维度表示生成日志事件的 AWS 区域。
这些维度有助于识别日志数据的来源,从而可以对源自集中式日志的指标进行更精细的筛选和分析。
主题
