Em alguns casos, os logs do CloudWatch podem não corresponder ao formato aceito pelo Microsoft Sentinel – arquivo .csv em um formato GZIP sem um cabeçalho. Neste artigo, você usará uma função lambda (veja o código-fonte) no ambiente da AWS (Amazon Web Services) para enviar eventos do CloudWatch para um bucket S3 e converter o formato para o formato aceito.
Criar uma função Lambda para enviar eventos do CloudWatch para um bucket S3
Pré-requisitos
Criar a função lambda
A função lambda usa o runtime do Python 3.9 e a arquitetura x86_64.
No Console de Gerenciamento do AWS, selecione o serviço lambda.
Selecione Criar função.
Digite um nome para a função e selecione Python 3.9 como o runtime e x86_64 como a arquitetura.
Selecione Criar função.
Em Escolher uma camada, selecione uma camada e selecione Adicionar.
Selecione Permissões e, em Função de execução, selecione Nome da função.
Em Políticas de permissões, selecione Adicionar permissões>Anexar políticas.
Pesquise as políticas AmazonS3FullAccess e CloudWatchLogsReadOnlyAccess e anexe-as.
Retorne à função, selecione Código e cole o link de código em Código-fonte.
Os valores padrão para os parâmetros são definidos usando variáveis de ambiente. Se necessário, você pode ajustar manualmente esses valores diretamente no código.
Selecione Implantar e, em seguida, Testar.
Criar um evento preenchendo os campos necessários.
Selecione Testar para ver como o evento aparece no bucket S3.