步驟 4：建立訂閱篩選條件

切換到傳送端帳戶，在此範例中是 111111111111。您現在將在傳送端帳戶中建立訂閱篩選條件。在此範例中，篩選條件與包含 AWS CloudTrail 事件的日誌群組相關聯，因此「根」 AWS 登入資料所做的每個記錄活動都會傳送到您先前建立的目的地。如需如何將 AWS CloudTrail 事件傳送至 CloudWatch Logs 的詳細資訊，請參閱AWS CloudTrail 《 使用者指南》中的將 CloudTrail 事件傳送至 CloudWatch Logs。

當您輸入以下命令時，確認您以 IAM 使用者身分登入，或是使用您在 步驟 3：新增/驗證跨帳戶目的地的 IAM 許可 中為其新增政策的 IAM 角色登入。

aws logs put-subscription-filter \
    --log-group-name "aws-cloudtrail-logs-111111111111-300a971e" \                   
    --filter-name "firehose_test" \
    --filter-pattern "{$.userIdentity.type = AssumedRole}" \
    --destination-arn "arn:aws:logs:us-east-1:222222222222:destination:testFirehoseDestination"

日誌群組和目的地必須位於相同的 AWS 區域。不過，目的地可以指向 AWS 資源，例如位於不同區域的 Firehose 串流。