Como posso criar um grupo de logs do CloudWatch para usar como destino para uma regra do EventBridge?

Descrição breve

Ao criar uma regra do EventBridge, é necessário especificar o destino para onde os eventos correspondentes à regra serão enviados. Para obter uma lista de destinos disponíveis para o EventBridge, consulte Targets available in the EventBridge console (Destinos disponíveis no console do EventBridge). Um dos destinos que podem ser adicionados à regra do EventBridge é um grupo de logs do CloudWatch.

Resolução

Observação: se receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), verifique se está usando a versão mais recente da AWS CLI.

Use estas etapas para configurar um grupo de logs do CloudWatch a ser usado como destino para uma regra do EventBridge:

1.    Abra o console do EventBridge e escolha a região na qual você deseja criar uma regra.

2.    Escolha Create rule (Criar regra) e, em seguida, insira qualquer informação sobre essa regra, como padrão de evento ou detalhes da programação.

3.    Na página Select target (Selecionar destino), escolha CloudWatch como seu destino.

Observação: para adicionar um grupo de logs do CloudWatch como destino, você pode:

• Criar um novo grupo de logs
• Usar um grupo de logs existente

Certifique-se de que o grupo de logs que você usar como destino para a regra do EventBridge comece com /aws/events. Se você criar um novo grupo de logs usando o console ao criar uma regra, o EventBridge criará automaticamente o grupo de logs para você. Se você quiser adicionar um grupo de logs existente, saiba que somente os grupos de logs que começam com /aws/events aparecem na lista suspensa.

4.    Para entregar os dados do evento ao grupo de logs de destino, o EventBridge precisa de permissão para acessar o grupo de logs de destino. Ele usa essa permissão para criar transmissões de log e enviar eventos para essas transmissões de log. Para grupos de logs do CloudWatch, o EventBridge usa uma política baseada em recursos para acessar o grupo de logs.

Se você usar o console para adicionar grupos de logs a uma regra do EventBridge, a política baseada em recursos para o grupo de logs será atualizada automaticamente. Mas, se você usar AWS SDK/API/CDK/CLI, você deverá atualizar manualmente a política baseada em recursos do grupo de logs. Este exemplo de documento de política demonstra as permissões que você deve definir na política baseada em recursos do seu grupo de logs:

{
  "Statement": [
    {
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "events.amazonaws.com",
          "delivery.logs.amazonaws.com"
        ]
      },
      "Resource": "arn:aws:logs:region:account:log-group:/aws/events/*:*",
      "Sid": "TrustEventsToStoreLogEvent"
    }
  ],
  "Version": "2012-10-17"
}

Você não pode configurar a política baseada em recursos de um grupo de logs usando o console. Para adicionar essas permissões a uma política baseada em recursos, use a chamada de API PutResourcePolicy. Em seguida, use o comando describe-resource-policies para verificar se a política foi aplicada corretamente.

Observação: o limite atual é de dez políticas por região, por conta. Se você atingir esse limite, exclua todas as políticas não utilizadas ou combine várias políticas.

5.    O serviço EventBridge usa o comando da CLI PutRule para criar regras. Em seguida, ele usa a API PutTargets ou o comando put-targets da CLI para adicionar destinos a uma regra do EventBridge. Ao usar o AWS SDK, o CDK ou a CLI, use a API PutTargets ou o comando put-targets da CLI para adicionar o grupo de logs à sua regra do EventBridge.

Informações relacionadas

Permissões do CloudWatch Logs