Em alguns casos, os logs do CloudWatch podem não corresponder ao formato aceito pelo Microsoft Sentinel - .csv arquivo em um formato GZIP sem um cabeçalho. Neste artigo, você usa uma função lambda (exibir o código-fonte) no ambiente da Amazon Web Services (AWS) para enviar eventos do CloudWatch para um bucket do S3 e converter o formato para o formato aceito.
Criar uma função do Lambda para enviar eventos do CloudWatch para um bucket do S3
Pré-requisitos
Nenhuma
Criar a função lambda
A função lambda usa Python 3.9 runtime e arquitetura x86_64.
No Console de Gerenciamento da AWS, selecione o serviço lambda.
Selecione Criar função.
Digite um nome para a função e selecione Python 3.9 como o tempo de execução e x86_64 como a arquitetura.
Selecione Criar função.
Em Escolha uma camada, selecione uma camada e selecione Adicionar.
Selecione Permissões e, em Função de execução, selecione Nome da função.
Em Políticas de permissões, selecione Adicionar permissões>Anexar políticas.
Pesquise as políticas AmazonS3FullAccess e CloudWatchLogsReadOnlyAccess e anexe-as.
Retorne à função, selecione Código e cole o link de código em Código-fonte.
Os valores padrão para os parâmetros são definidos usando variáveis de ambiente. Se necessário, você pode ajustar manualmente esses valores diretamente no código.
Selecione Implantar e, em seguida, selecione Testar.
Crie um evento preenchendo os campos obrigatórios.
Selecione Testar para ver como o evento aparece no bucket do S3.
