在某些情況下,您的 CloudWatch 記錄可能不符合 Microsoft Sentinel 接受的格式 - .csv 檔案為沒有標題的 GZIP 格式。 在本文中,您會在 Amazon Web Services (AWS) 環境中使用匿名函式 (檢視原始程式碼),將 CloudWatch 事件傳送至 S3 貯體,並將格式轉換為接受的格式。
建立匿名函式,將 CloudWatch 事件傳送至 S3 貯體
必要條件
無
建立匿名函式
匿名函式使用 Python 3.9 執行階段和 x86_64 結構。
在 AWS 管理控制台中,選取匿名服務。
選取 [建立函式]。
輸入函式的名稱,然後選取 [Python 3.9] 作為執行階段,並以 [x86_64] 做為結構。
選取 [建立函式]。
在 [選擇圖層] 下,選取圖層,然後選取 [新增]。
選取 [權限],然後在 [執行角色] 下,選取 [角色名稱]。
在 [權限原則] 下,選取 [新增權限]>[附加原則]。
搜尋 AmazonS3FullAccess 和 CloudWatchLogsReadOnlyAccess 原則並加以附加。
回到函式,選取 [程式碼],然後將程式碼連結貼到 [程式碼來源] 下。
參數的預設值是使用環境變數來設定。 如有必要,您可以直接在程式碼中手動調整這些值。
選取 [部署],然後選取 [測試]。
填入必要欄位以建立事件。
選取 [測試] 以查看事件在 S3 貯體中的顯示方式。
