Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Protokolle, die an CloudWatch Logs gesendet wurden **Wichtig** Wenn Sie die Protokolltypen in der folgenden Liste so einrichten, dass sie an CloudWatch Logs gesendet werden sollen, AWS erstellt oder ändert bei Bedarf die Ressourcenrichtlinien, die der Protokollgruppe zugeordnet sind, die die Protokolle empfängt. Lesen Sie diesen Abschnitt weiter, um mehr Details zu erhalten. Dieser Abschnitt gilt, wenn die in der Tabelle im vorherigen Abschnitt aufgeführten Protokolltypen an CloudWatch Logs gesendet werden: **Benutzerberechtigungen** Um das erstmalige Senden dieser Protokolltypen an Logs einrichten zu CloudWatch können, müssen Sie bei einem Konto mit den folgenden Berechtigungen angemeldet sein. + `logs:CreateLogDelivery` + `logs:PutResourcePolicy` + `logs:DescribeResourcePolicies` + `logs:DescribeLogGroups` **Anmerkung** Wenn Sie die `logs:PutResourcePolicy` Berechtigung `logs:DescribeLogGroups``logs:DescribeResourcePolicies`, oder angeben, achten Sie darauf, den ARN der `Resource` Zeile so einzustellen, dass er einen `*` Platzhalter verwendet, anstatt nur einen einzigen Protokollgruppennamen anzugeben. Beispiel: `"Resource": "arn:aws:logs:us-east-1:111122223333:log-group:*"` Wenn einer dieser Protokolltypen bereits an eine Protokollgruppe unter CloudWatch Logs gesendet wird, benötigen Sie nur die `logs:CreateLogDelivery` entsprechende Berechtigung, um das Senden eines anderen Logtyps an dieselbe Protokollgruppe einzurichten. **Protokollgruppe und Ressourcenrichtlinie** Die Protokollgruppe, an die die Protokolle gesendet werden, muss über eine Ressourcenrichtlinie verfügen, die bestimmte Berechtigungen enthält. Wenn die Protokollgruppe derzeit keine Ressourcenrichtlinie hat und der Benutzer, der die Protokollierung einrichtet, über die `logs:DescribeLogGroups` Berechtigungen `logs:PutResourcePolicy``logs:DescribeResourcePolicies`, und für die Protokollgruppe verfügt, erstellt er AWS automatisch die folgende Richtlinie für diese Gruppe, wenn Sie beginnen, die Protokolle an Logs zu CloudWatch senden. Für neu erstellte Abonnements werden die Ressourcenrichtlinien auf Protokollgruppenebene konfiguriert und haben eine maximale Größe von 51.200 Byte. Wenn eine bestehende Ressourcenrichtlinie auf Kontoebene bereits Berechtigungen über Platzhalter gewährt, würde keine separate Richtlinie auf Protokollgruppenebene erstellt werden. Um die Ressourcenrichtlinie auf LogGroup-Ebene für eine bestimmte Protokollgruppe zu überprüfen, verwenden Sie den `describe-resource-policies` Befehl, bei dem der `--resource-arn` Parameter auf den ARN der Protokollgruppe und der `--policy-scope` Parameter auf gesetzt ist. `RESOURCE` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "delivery.logs.amazonaws.com" ] }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*" ], "Condition": { "StringEquals": { "aws:SourceAccount": [ "0123456789" ] }, "ArnLike": { "aws:SourceArn": [ "arn:aws:logs:us-east-1:111122223333:*" ] } } } ] } ``` ------ Das Ressourcenrichtlinien-Limit der Protokollgruppe beträgt 51.200 Byte. Sobald dieses Limit erreicht ist, kann AWS keine neuen Berechtigungen mehr hinzufügen. Dies erfordert, dass Kunden die Richtlinie manuell ändern, um dem `delivery.logs.amazonaws.com` Service-Principal Berechtigungen für die `logs:PutLogEvents` Aktionen `logs:CreateLogStream` und zu gewähren. Kunden sollten ein Präfix für den Protokollgruppennamen mit Platzhaltern wie z. B. verwenden `/aws/vendedlogs/*` und diesen Protokollgruppennamen für die future Erstellung von Lieferungen verwenden. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "delivery.logs.amazonaws.com" ] }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group/aws/vendedlogs/*" ], "Condition": { "StringEquals": { "aws:SourceAccount": [ "0123456789" ] }, "ArnLike": { "aws:SourceArn": [ "arn:aws:logs:us-east-1:111122223333:*" ] } } } ] } ``` ------