本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS 服務 CloudWatch Logs 的日誌
<a name="aws-service-logs-from-cwl"></a>

從符合日誌事件中繼資料組態的 CloudWatch Logs 攔截日誌事件。

**重要**  
具有處理器的管道會變更原始 CloudWatch 日誌群組中的日誌事件，而原始 CloudWatch 日誌群組會從 AWS 服務中攔截日誌。若要保留未修改的日誌資料副本，請在`cloudwatch_logs`接收器組態中啟用 `include_original`選項，或在主控台中使用**保留原始日誌**切換。如需詳細資訊，請參閱[接收](pipeline-sinks.md)。

**Configuration**  
使用下列參數設定 CloudWatch Logs 來源：

```
source:
  cloudwatch_logs:
    aws:
      sts_role_arn: "arn:aws:iam::123456789012:role/MyCloudWatchLogsRole"
    log_event_metadata:
      data_source_name: "<data_source_name>"
      data_source_type: "<data_source_type>"
```Parameters

`aws.sts_role_arn` (必要)  
要為 CloudWatch Logs 攔截擔任的 IAM 角色 ARN。

`log_event_metadata.data_source_name` (必要)  
識別產生日誌事件或自訂日誌來源名稱的特定 AWS 服務。對於自訂日誌，這可以是`data_source_type`「預設」時最多 15 個字元的任何字串。

`log_event_metadata.data_source_type` (必要)  
指定 AWS 服務內日誌的類別或類型，或自訂日誌的「預設」。設定為「預設」以啟用自訂日誌來源名稱。

如需資料來源名稱和類型的詳細資訊，請參閱 [CloudWatch Logs 使用者指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/data-source-discovery-management.html#how-to-get-started-data-sources)。

**限制**  
下列限制適用於 CloudWatch Logs 來源：
+ 沒有任何兩個管道可以使用具有相同`data_source_name`和`data_source_type`中繼資料條件的`cloudwatch_logs`來源。
+ 當 `data_source_name`為 時`aws_cloudtrail`，僅允許空的處理器 (`[]`) 或`ocsf`處理器。