本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 將 CloudWatch Logs 資料串流到 Amazon OpenSearch Service
<a name="CWL_OpenSearch_Stream"></a>

 您可以在 Amazon CloudWatch Logs 中設定日誌群組，因此您可以近乎即時地將資料串流至 Amazon OpenSearch Service 叢集。如需詳細資訊，請參閱[使用訂閱即時處理日誌資料](Subscriptions.md)。

**注意**  
 只有標準日誌類別中的日誌群組才支援串流至 OpenSearch Service。如需日誌類別的詳細資訊，請參閱 [日誌類別](CloudWatch_Logs_Log_Classes.md)。

 根據串流的日誌資料量，請考慮設定函數層級並行限制。如需詳細資訊，請參閱 [Lambda 函數擴展](https://docs.aws.amazon.com/lambda/latest/dg/concurrent-executions.html#per-function-concurrency)。

**注意**  
 由於將大量 CloudWatch Logs 資料串流至 OpenSearch Service 可能會導致高使用費，我們建議您在 AWS 帳單與成本管理 主控台中建立預算。如需詳細資訊，請參閱[使用 AWS Budgets 管理您的成本](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/budgets-managing-costs.html)。

 本節說明在將日誌群組訂閱至 OpenSearch Service 之前，您必須完成的先決條件。它還描述了如何將日誌群組訂閱到 OpenSearch Service。

## 先決條件
<a name="CWL_OpenSearch_Domain"></a>

開始之前，請建立 OpenSearch Service 網域。網域可以有公有存取或 VPC 存取，但您不能在建立網域之後再修改存取類型。您之後可能會想要檢視 OpenSearch Service 網域設定，並根據叢集將會處理的資料量來修改叢集組態。如需有關建立網域的指示，請參閱[建立 OpenSearch Service 網域](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html#createdomains)。

如需有關 OpenSearch Service 的詳細資訊，請參閱《[Amazon OpenSearch Service 開發人員指南》](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/)。

## 將日誌群組訂閱到 OpenSearch Service
<a name="CWL_OpenSearch_LG"></a>

您可以使用 CloudWatch 主控台將日誌群組訂閱到 OpenSearch Service。

**將日誌群組訂閱到 OpenSearch Service**

1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。

1. 在導覽窗格中，選擇 **Log groups** (日誌群組)。

1. 選取日誌群組的名稱。

1. 選擇 **Actions** (動作)、**Subscription filters** (訂閱篩選條件)、**Create Amazon OpenSearch Service subscription filter** (建立 Amazon OpenSearch Service 訂閱篩選條件)。

1. 選擇您是否要串流至此帳戶或其他帳戶中的叢集。
   + 如果您選擇此帳戶，請選取您在前一個步驟所建立的網域。
   + 如果您選擇其他帳戶，請提供網域 ARN 和端點。

1. 針對 **Lambda IAM Execution Role** (Lambda IAM 執行角色)，選擇對 OpenSearch 執行呼叫時 Lambda 應該使用的 IAM 角色。

   您選擇的 IAM 角色必須符合這些要求：
   + 它必須擁有 `lambda.amazonaws.com` 的信任關係。
   + 它必須包含以下政策：

------
#### [ JSON ]

****  

     ```
     {
         "Version":"2012-10-17",		 	 	 
         "Statement": [
             {
                 "Sid": "AllowOpenSearchStreamingAccess",
                 "Action": [
                     "es:*"
                 ],
                 "Effect": "Allow",
                 "Resource": "arn:aws:es:{{us-east-1}}:{{123456789012}}:domain/{{cloudwatch-logs}}/*"
             }
         ]
     }
     ```

------
   + 如果目標 OpenSearch Service 網域使用 VPC 存取，該角色必須已連接 **AWSLambdaVPCAccessExecutionRole** 政策。此 Amazon 受管政策可授權 Lambda 存取客戶的 VPC，讓 Lambda 寫入 VPC 中的 OpenSearch 端點。

1. 針對 **Log format** (日誌格式)，選擇日誌格式。

1. 針對 **Subscription filter pattern** (訂閱篩選條件模式)，輸入要在您的日誌事件中尋找的詞彙或模式。這可確保您只會將所需的資料傳送至 OpenSearch 叢集。如需詳細資訊，請參閱[使用篩選條件從日誌事件建立指標](MonitoringLogData.md)。

1. (選用) 針對 **Select log data to test** (選取要測試的日誌資料)，選擇一個日誌串流，然後選擇 **Test pattern** (測試模式)，以驗證您的搜尋篩選條件是否會傳回您預期的結果。

1. 選擇 **Start streaming** (開始串流)。