CloudWatch イベントを S3 バケットに送信する Lambda 関数を作成する

操作方法
05/24/2023

場合によっては、CloudWatch ログが、Microsoft Sentinel で受け入れられる形式 (ヘッダーのない GZIP 形式の .csv ファイル) と一致しない場合があります。この記事では、アマゾンウェブサービス (AWS) 環境内で ラムダ関数 (ソースコードを表示する) を使用して CloudWatch イベントを S3 バケットに送信し、その形式を受け入れられる形式に変換します。

前提条件

なし

Lambda 関数を作成する

Lambda 関数は、Python 3.9 ランタイムと x86_64 アーキテクチャを使用します。

AWS マネジメントコンソールで、Lambda サービスを選択します。
[関数の作成] を選択します。

$AWS マネジメントコンソールの [Basic information]$基本情報$ 画面のスクリーンショット。$
関数の名前を入力し、ランタイムとして [Python 3.9] を選択し、アーキテクチャとして [x86_64] を選択します。
[関数の作成] を選択します。
[Choose a layer](レイヤーの選択) で、レイヤーを選択し、[Add](追加) を選択します。

$AWS マネジメントコンソールの [Add layer]$レイヤーの追加$ 画面のスクリーンショット。$
[Permissions](アクセス許可) を選択し、[Execution role](実行ロール) で [Role name](ロール名) を選択します。
[Permissions policies](アクセス許可ポリシー) で、[Add permissions](アクセス許可の追加)>[Attach policies](ポリシーのアタッチ) の順に選択します。

$AWS マネジメントコンソールの [Permissions]$アクセス許可$ タブのスクリーンショット。$
AmazonS3FullAccess ポリシーと CloudWatchLogsReadOnlyAccess ポリシーを検索してアタッチします。

$AWS マネジメントコンソールの [Add permissions policies]$アクセス許可ポリシーの追加$ 画面のスクリーンショット。$
関数に戻り、[Code](コード) を選択し、[Code source](コードソース) の下にコードリンクを貼り付けます。
パラメーターの既定値は、環境変数を使用して設定されます。必要に応じて、これらの値をコード内で直接手動で調整できます。
[Deploy](デプロイ) を選択し、[Test](テスト) を選択します。
必須フィールドを入力してイベントを作成します。

$AWS マネジメントの [Configure test event]$テストイベントの構成$ 画面のスクリーンショット。$
[Test](テスト) を選択して、S3 バケットにイベントがどのように表示されるかを確認します。