En algunos casos, es posible que los registros de CloudWatch no coincidan con el formato aceptado por Microsoft Sentinel: archivo .csv en un formato GZIP sin encabezado. En este artículo, se utiliza una función lambda (ver el código fuente) dentro del entorno de Amazon Web Services (AWS) para enviar eventos de CloudWatch a un bucket S3, y convertir el formato al formato aceptado.
Crear una función lambda para enviar eventos de CloudWatch a un cubo de S3
Requisitos previos
None
Crear la función lambda
La función lambda usa el entorno de ejecución de Python 3.9 y la arquitectura de x86_64.
En la consola de administración de AWS, seleccione el servicio Lambda.
Seleccione Crear función.
Escriba un nombre para la función y seleccione Python 3.9 como entorno de ejecución y x86_64 como arquitectura.
Seleccione Crear función.
En Elegir una capa, seleccione una capa y, luego, Agregar.
Seleccione Permisos y, en Rol de ejecución, seleccione Nombre de rol.
En Directivas de permisos, seleccione Agregar permisos>Adjuntar directivas.
Busque las directivas AmazonS3FullAccess y CloudWatchLogsReadOnlyAccess y adjúntelas.
Vuelva a la función, seleccione Código y pegue el vínculo del código en Origen del código.
Los valores predeterminados de los parámetros se establecen mediante variables de entorno. Si es necesario, puede ajustar manualmente estos valores directamente en el código.
Seleccione Implementar y, luego, Probar.
Cree un evento rellenando los campos necesarios.
Seleccione Probar para ver cómo aparece el evento en el cubo de S3.
