跨账户跨区域订阅
您可以与不同 AWS 账户的所有者合作,并在您的 AWS 资源(例如 Amazon Kinesis 或 Amazon Data Firehose 流)上接收他们的日志事件(这称为“跨账户数据共享”)。例如,此日志事件数据可从集中的 Kinesis Data Streams 或 Firehose 流中读取以执行自定义处理和分析。自定义处理在您跨多个账户协作和分析数据时特别有用。
例如,某家公司的信息安全组可能需要分析数据以进行实时入侵检测或查找异常行为,以便能对公司所有部门的账户进行审核 (通过收集各账户的联合生产日志进行集中处理)。可以汇编这些账户中的事件数据的实时流并将其传递到信息安全组,这些组可使用 Kinesis Data Streams 将数据附加到现有安全分析系统。
注意
日志组和目标必须位于同一AWS区域内。但是,目标指向的AWS资源可位于不同的区域。在以下部分的示例中,所有特定于区域的资源都是在美国东部(弗吉尼亚州北部)创建的。
如果您已配置 AWS Organizations 并且正在使用成员账户,则可以使用日志集中化将源账户中的日志数据收集到中央监控账户中。
如果使用集中式日志组,则当创建订阅筛选条件时,您可以使用以下系统字段维度:
-
@aws.account- 此维度表示日志事件来源的 AWS 账户 ID。 -
@aws.region- 此维度表示生成日志事件的 AWS 区域。
这些维度有助于识别日志数据的来源,从而对从集中式日志派生的指标进行更精细的筛选和分析。
主题
