In alcuni casi, i log di CloudWatch potrebbero non corrispondere al formato accettato da Microsoft Sentinel, ossia file .csv in formato GZIP senza intestazione. In questo articolo viene usata una funzione lambda (visualizzare il codice sorgente) all'interno dell'ambiente AWS (Amazon Web Services) per l'invio di eventi CloudWatch a un bucket S3 e la conversione del formato nel formato accettato.
Creare una funzione Lambda per l'invio di eventi CloudWatch a un bucket S3.
Prerequisiti
None
Creare la funzione lambda
La funzione lambda usa il runtime Python 3.9 e l'architettura x86_64.
Nella console di gestione di AWS, selezionare il servizio lambda.
Selezionare Crea funzione.
Digitare un nome per la funzione e selezionare Python 3.9 come runtime e x86_64 come architettura.
Selezionare Crea funzione.
In Sceglie un livello, selezionare un livello e selezionare Aggiungi.
Selezionare Autorizzazioni e in Ruolo esecuzione selezionare Nome ruolo.
In Criteri autorizzazioni, selezionare Aggiungi autorizzazioni>Allega criteri.
Cercare AmazonS3FullAccess e i criteri CloudWatchLogsReadOnlyAccess e collegarli.
Tornare alla funzione, selezionare Codice e incollare il collegamento di codice in Codice sorgente.
I valori predefiniti per i parametri vengono impostati usando variabili di ambiente. Se necessario, è possibile modificare manualmente questi valori direttamente nel codice.
Selezionare Distribuisci e quindi selezionare Test.
Creare un evento compilando i campi obbligatori.
Selezionare Test per vedere come appare l'evento nel bucket S3.
