En algunos casos, es posible que los registros de CloudWatch no coincidan con el formato aceptado por Microsoft Sentinel: archivo .csv en un formato GZIP sin encabezado. En este artículo, se utiliza una función lambda (ver el código fuente) dentro del entorno de Amazon Web Services (AWS) para enviar eventos de CloudWatch a un bucket S3, y convertir el formato al formato aceptado.
Crear una función lambda para enviar eventos de CloudWatch a un cubo de S3
Requisitos previos
None
Crear la función lambda
La función lambda usa el entorno de ejecución de Python 3.9 y la arquitectura de x86_64.
En la consola de administración de AWS, seleccione el servicio Lambda.
Seleccione Crear función.
Escriba un nombre para la función y seleccione Python 3.9 como entorno de ejecución y x86_64 como arquitectura.
Seleccione Crear función.
En Elegir una capa, seleccione una capa y, luego, Agregar.
Seleccione Permisos y, en Rol de ejecución, seleccione Nombre de rol.
En Directivas de permisos, seleccione Agregar permisos>Adjuntar directivas.
Busque las directivas AmazonS3FullAccess y CloudWatchLogsReadOnlyAccess y adjúntelas.
Vuelva a la función, seleccione Código y pegue el vínculo del código en Origen del código.
Rellene los parámetros según sea necesario.
Seleccione Implementar y, luego, Probar.
Cree un evento rellenando los campos necesarios.
Seleccione Probar para ver cómo aparece el evento en el cubo de S3.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de