Bizonyos esetekben előfordulhat, hogy a CloudWatch-naplók nem egyeznek a Microsoft Sentinel által elfogadott formátummal – .csv a fájlt fejléc nélkül, GZIP formátumban. Ebben a cikkben egy lambda függvényt (a forráskód megtekintését) használ az Amazon Web Services (AWS) környezetében, hogy CloudWatch-eseményeket küldjön egy S3-gyűjtőbe, és konvertálja a formátumot az elfogadott formátumra.
Lambda-függvény létrehozása CloudWatch-események S3-gyűjtőbe való küldéséhez
Előfeltételek
A lambda függvény létrehozása
A lambda függvény Python 3.9 futtatókörnyezetet és x86_64 architektúrát használ.
Az AWS felügyeleti konzolon válassza ki a lambda szolgáltatást.
Válassza a Függvény létrehozása lehetőséget.
Írja be a függvény nevét, és válassza a Python 3.9-et futtatókörnyezetként, és x86_64 architektúraként.
Válassza a Függvény létrehozása lehetőséget.
A Réteg kiválasztása csoportban jelöljön ki egy réteget, és válassza a Hozzáadás lehetőséget.
Válassza az Engedélyek lehetőséget, majd a Végrehajtási szerepkör alatt válassza a Szerepkör nevét.
Az Engedélyszabályzatok csoportban válassza az Engedélyek csatolása házirendek> hozzáadása lehetőséget.
Keresse meg az AmazonS3FullAccess és a CloudWatchLogsReadOnlyAccess szabályzatokat, és csatolja őket.
Térjen vissza a függvényhez, válassza a Kód lehetőséget, és illessze be a kódhivatkozást a Kódforrás mezőbe.
A paraméterek alapértelmezett értékei környezeti változók használatával vannak beállítva. Szükség esetén manuálisan módosíthatja ezeket az értékeket közvetlenül a kódban.
Válassza az Üzembe helyezés, majd a Tesztelés lehetőséget.
Hozzon létre egy eseményt a szükséges mezők kitöltésével.
A Tesztelés gombra kattintva megtekintheti, hogyan jelenik meg az esemény az S3 gyűjtőben.