In sommige gevallen komen uw CloudWatch-logboeken mogelijk niet overeen met de indeling die wordt geaccepteerd door Microsoft Sentinel - .csv bestand in een GZIP-indeling zonder koptekst. In dit artikel gebruikt u een lambda-functie (bekijk de broncode) in de AWS-omgeving (Amazon Web Services) om CloudWatch-gebeurtenissen naar een S3-bucket te verzenden en converteert u de indeling naar de geaccepteerde indeling.
Een Lambda-functie maken om CloudWatch-gebeurtenissen naar een S3-bucket te verzenden
Vereisten
Geen
De lambda-functie maken
De lambda-functie maakt gebruik van Python 3.9-runtime en x86_64-architectuur.
Selecteer in de AWS Management Console de lambda-service.
Selecteer Functie maken.
Typ een naam voor de functie en selecteer Python 3.9 als runtime en x86_64 als de architectuur.
Selecteer Functie maken.
Selecteer onder Een laag kiezen een laag en selecteer Toevoegen.
Selecteer Machtigingen en selecteer onder Uitvoeringsrol rolnaam.
Selecteer onder Machtigingsbeleid de optie Machtigingen koppelen-beleid toevoegen>.
Zoek naar het AmazonS3FullAccess - en CloudWatchLogsReadOnlyAccess-beleid en voeg ze toe.
Ga terug naar de functie, selecteer Code en plak de codekoppeling onder Codebron.
De standaardwaarden voor de parameters worden ingesteld met behulp van omgevingsvariabelen. Indien nodig kunt u deze waarden handmatig rechtstreeks in de code aanpassen.
Selecteer Implementeren en selecteer Vervolgens Testen.
Maak een gebeurtenis door de vereiste velden in te vullen.
Selecteer Testen om te zien hoe de gebeurtenis wordt weergegeven in de S3-bucket.
