경우에 따라 CloudWatch 로그가 Microsoft Sentinel에서 허용하는 형식(헤더가 없는 GZIP 형식의 .csv 파일)과 일치하지 않을 수 있습니다. 이 문서에서는 AWS(Amazon Web Services) 환경 내에서 람다 함수(소스 코드 보기)를 사용하여 CloudWatch 이벤트를 S3 버킷으로 보내고 형식을 허용된 형식으로 변환합니다.
CloudWatch 이벤트를 S3 버킷으로 보내는 람다 함수 만들기
필수 조건
None
람다 함수 만들기
람다 함수는 Python 3.9 런타임 및 x86_64 아키텍처를 사용합니다.
AWS 관리 콘솔에서 람다 서비스를 선택합니다.
함수 만들기를 선택합니다.
함수의 이름을 입력하고 Python 3.9를 런타임으로 선택하고 아키텍처로 x86_64를 선택합니다.
함수 만들기를 선택합니다.
레이어 선택에서 레이어를 선택하고 추가를 선택합니다.
사용 권한을 선택하고 실행 역할에서 역할 이름을 선택합니다.
권한 정책에서 권한 추가>정책 연결을 선택합니다.
AmazonS3FullAccess 및 CloudWatchLogsReadOnlyAccess 정책을 검색하고 연결합니다.
함수로 돌아가서 코드를 선택하고 코드 소스 아래에 코드 링크를 붙여넣습니다.
매개 변수의 기본값은 환경 변수를 사용하여 설정됩니다. 필요한 경우 코드에서 직접 이러한 값을 수동으로 조정할 수 있습니다.
배포를 선택한 다음, 테스트를 선택합니다.
필수 필드를 입력하여 이벤트를 만듭니다.
테스트를 선택하여 이벤트가 S3 버킷에 표시되는 방식을 확인합니다.