在某些情況下,您的 CloudWatch 記錄可能不符合 Microsoft Sentinel 所接受的格式 - .csv沒有標頭的 GZIP 格式檔案。 在本文中,您會使用 Amazon Web Services (AWS) 環境中的 Lambda 函 式(檢視原始程式碼),將 CloudWatch 事件傳送 至 S3 貯體,並將格式轉換為可接受的格式。
建立 Lambda 函式以將 CloudWatch 事件傳送至 S3 貯體
必要條件
無
建立 Lambda 函式
Lambda 函式使用 Python 3.9 運行時間和x86_64架構。
在 AWS 管理控制台中,選取 Lambda 服務。
選取 [建立函式]。
輸入函式的名稱,然後選取 [Python 3.9 ] 作為運行時間,並 x86_64 做為架構。
選取 [建立函式]。
在 [選擇圖層] 底下,選取圖層,然後選取 [新增]。
![AWS 管理主控台 [新增圖層] 畫面的螢幕快照。](media/cloudwatch-lambda-function/lambda-add-layer.png)
選取 [許可權],然後在 [執行角色] 底下,選取 [角色名稱]。
在 [許可權原則] 底下,選取 [新增許可權附加原則>]。
搜尋 AmazonS3FullAccess 和 CloudWatchLogsReadOnlyAccess 原則並加以附加。
![AWS 管理控制台 [新增許可權原則] 畫面的螢幕快照。](media/cloudwatch-lambda-function/lambda-other-permissions-policies.png)
返回函式,選取 [程序代碼],然後在 [程序代碼來源] 底下貼上程式代碼連結。
視需要填入參數。
選取 [ 部署],然後選取 [ 測試]。
填入必要欄位以建立事件。
選取 [測試 ] 以查看事件在 S3 貯體中的顯示方式。
![AWS 管理主控台 [新增圖層] 畫面的螢幕快照。](media/cloudwatch-lambda-function/lambda-add-layer.png#lightbox)
![AWS 管理控制台 [新增許可權原則] 畫面的螢幕快照。](media/cloudwatch-lambda-function/lambda-other-permissions-policies.png#lightbox)
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應