Dans certains cas, il est possible que vos journaux CloudWatch ne correspondent pas au format accepté par Microsoft Sentinel : .csv fichier au format GZIP sans en-tête. Dans cet article, vous utilisez une fonction lambda (voir le code source) dans l'environnement Amazon Web Services (AWS) pour envoyer des événements CloudWatch vers un bucket S3, et convertir le format au format accepté.
Créer une fonction lambda pour envoyer des événements CloudWatch vers un compartiment S3
Prérequis
Aucun
Créer la fonction lambda
La fonction lambda utilise le runtime Python 3.9 et l’architecture x86_64.
Dans AWS Management Console, sélectionnez le service lambda.
Sélectionnez Créer une fonction.
Tapez un nom pour la fonction, puis sélectionnez Python 3.9 comme runtime et x86_64 comme architecture.
Sélectionnez Créer une fonction.
Sous Choisir une couche, sélectionnez une couche, puis Ajouter.
Sélectionnez Autorisations, puis sous Rôle d’exécution, choisissez Nom du rôle.
Sous Stratégies d’autorisations, sélectionnez Ajouter des autorisations>Attacher des stratégies.
Recherchez les stratégies AmazonS3FullAccess et CloudWatchLogsReadOnlyAccess, puis attachez-les.
Revenez à la fonction, sélectionnez Code, puis collez le lien du code sous Source du code.
Les valeurs par défaut des paramètres sont définies à l’aide de variables d’environnement. Si nécessaire, vous pouvez ajuster manuellement ces valeurs directement dans le code.
Sélectionnez Déployer, puis Tester.
Créez un événement en remplissant les champs obligatoires.
Sélectionnez Test pour voir l’apparence de l’événement dans le compartiment S3.
