Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Log dikirim ke CloudWatch Log
penting
Ketika Anda mengatur jenis log dalam daftar berikut untuk dikirim ke CloudWatch Log, AWS membuat atau mengubah kebijakan sumber daya yang terkait dengan grup log yang menerima log, jika diperlukan. Lanjutkan membaca bagian ini untuk melihat detailnya.
Bagian ini berlaku ketika jenis log yang tercantum dalam tabel di bagian sebelumnya dikirim ke CloudWatch Log:
Izin pengguna
Untuk dapat mengatur pengiriman salah satu jenis log ini ke CloudWatch Log untuk pertama kalinya, Anda harus masuk ke akun dengan izin berikut.
-
logs:CreateLogDelivery -
logs:PutResourcePolicy -
logs:DescribeResourcePolicies -
logs:DescribeLogGroupscatatan
Saat Anda menentukan
logs:DescribeLogGroups,logs:DescribeResourcePolicies, ataulogs:PutResourcePolicyizin, pastikan untuk mengatur ARNResourcebarisnya untuk menggunakan*wildcard, alih-alih hanya menentukan satu nama grup log. Sebagai contoh,"Resource": "arn:aws:logs:us-east-1:111122223333:log-group:*".
Jika salah satu jenis log ini sudah dikirim ke grup CloudWatch log di Log, maka untuk mengatur pengiriman salah satu jenis log ini ke grup log yang sama, Anda hanya perlu logs:CreateLogDelivery izin.
Kebijakan sumber daya grup log
Grup log tempat log dikirim harus memiliki kebijakan sumber daya yang mencakup izin tertentu. Jika grup log saat ini tidak memiliki kebijakan sumber daya, dan pengguna yang mengatur logging memilikilogs:PutResourcePolicy,logs:DescribeResourcePolicies, dan logs:DescribeLogGroups izin untuk grup log, maka AWS
secara otomatis membuat kebijakan berikut untuk itu ketika Anda mulai mengirim CloudWatch log ke Log. Untuk langganan yang baru dibuat, kebijakan sumber daya dikonfigurasi pada tingkat grup log dan memiliki ukuran maksimum 51.200 byte. Jika kebijakan sumber daya tingkat akun yang ada sudah memberikan izin melalui wildcard, kebijakan tingkat grup log terpisah tidak akan dibuat. Untuk memeriksa kebijakan sumber daya tingkat Loggroup untuk grup log tertentu, gunakan describe-resource-policies perintah dengan parameter yang disetel ke grup log ARN dan --resource-arn parameter yang disetel ke. --policy-scope RESOURCE
Batas kebijakan sumber daya grup log adalah 51.200 byte. Setelah batas ini tercapai, AWS tidak dapat menambahkan izin baru. Ini mengharuskan pelanggan untuk memodifikasi kebijakan secara manual untuk memberikan izin utama delivery.logs.amazonaws.com layanan pada logs:PutLogEvents tindakan logs:CreateLogStream dan tindakan. Pelanggan harus menggunakan awalan nama grup log dengan wildcard seperti /aws/vendedlogs/* dan menggunakan nama grup log ini untuk pembuatan Pengiriman di masa mendatang.
