Bizonyos esetekben előfordulhat, hogy a CloudWatch-naplók nem egyeznek a Microsoft Sentinel által elfogadott formátummal – .csv a fájlt fejléc nélkül, GZIP formátumban. Ebben a cikkben egy lambda függvényt használ az Amazon Web Services (AWS) környezetében, hogy CloudWatch-eseményeket küldjön egy S3-gyűjtőbe, és konvertálja a formátumot az elfogadott formátumra.
Lambda-függvény létrehozása CloudWatch-események S3-gyűjtőbe való küldéséhez
Előfeltételek
Egyik sem
A lambda függvény létrehozása
A lambda függvény Python 3.9 futtatókörnyezetet és x86_64 architektúrát használ.
Az AWS felügyeleti konzolon válassza ki a lambda szolgáltatást.
Válassza a Függvény létrehozása lehetőséget.
Írja be a függvény nevét, és válassza a Python 3.9-et futtatókörnyezetként, és x86_64 architektúraként.
Válassza a Függvény létrehozása lehetőséget.
A Réteg kiválasztása csoportban jelöljön ki egy réteget, és válassza a Hozzáadás lehetőséget.
Válassza az Engedélyek lehetőséget, majd a Végrehajtási szerepkör alatt válassza a Szerepkör nevét.
Az Engedélyszabályzatok csoportban válassza az Engedélyek csatolása házirendek> hozzáadása lehetőséget.
Keresse meg az AmazonS3FullAccess és a CloudWatchLogsReadOnlyAccess szabályzatokat, és csatolja őket.
Térjen vissza a függvényhez, válassza a Kód lehetőséget, és illessze be a kódhivatkozást a Kódforrás mezőbe.
Szükség szerint töltse ki a paramétereket.
Válassza az Üzembe helyezés, majd a Tesztelés lehetőséget.
Hozzon létre egy eseményt a szükséges mezők kitöltésével.
A Tesztelés gombra kattintva megtekintheti, hogyan jelenik meg az esemény az S3 gyűjtőben.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: