# CloudWatch Logs 中的 AWS 服务 日志
<a name="aws-service-logs-from-cwl"></a>

从 CloudWatch Logs 中拦截与日志事件元数据配置相匹配的日志事件。

**重要**  
带有处理器的管道会改变从 AWS 服务中日志拦截的原始 CloudWatch 日志组中的日志事件。要保留未经修改的日志数据副本，请在 `cloudwatch_logs` 接收器配置中启用 `include_original` 选项，或使用控制台中的**保留原始日志**切换开关。有关更多信息，请参阅 [接收器](pipeline-sinks.md)。

**配置**  
使用以下参数配置 CloudWatch Logs 来源：

```
source:
  cloudwatch_logs:
    aws:
      sts_role_arn: "arn:aws:iam::123456789012:role/MyCloudWatchLogsRole"
    log_event_metadata:
      data_source_name: "<data_source_name>"
      data_source_type: "<data_source_type>"
```参数

`aws.sts_role_arn`（必需）  
拦截 CloudWatch Logs 时需担任的 IAM 角色的 ARN。

`log_event_metadata.data_source_name`（必需）  
确定生成日志事件的特定 AWS 服务或自定义日志来源名称。对于自定义日志，如果 `data_source_type` 为“default”，则可以是任何不超过 15 个字符的字符串。

`log_event_metadata.data_source_type`（必需）  
指定 AWS 服务中日志的类别或类型，或为自定义日志指定“default”。设置为“default”以启用自定义日志来源名称。

有关数据来源名称和类型的更多信息，请参阅《[CloudWatch Logs 用户指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/data-source-discovery-management.html#how-to-get-started-data-sources)》。

**限制**  
以下限制适用于 CloudWatch Logs 来源：
+ 任何两个管道都不能使用具有相同 `data_source_name` 和 `data_source_type` 元数据标准的 `cloudwatch_logs` 来源。
+ 如果 `data_source_name` 是 `aws_cloudtrail`，则只允许空处理器 (`[]`) 或 `ocsf` 处理器。