In alcuni casi, i log di CloudWatch potrebbero non corrispondere al formato accettato da Microsoft Sentinel - .csv file in un formato GZIP senza intestazione. In questo articolo si usa una funzione lambda (visualizzare il codice sorgente) nell'ambiente Amazon Web Services (AWS) per inviare eventi CloudWatch a un bucket S3 e convertire il formato nel formato accettato.
Creare una funzione lambda per inviare eventi CloudWatch a un bucket S3
Prerequisiti
Creare la funzione lambda
La funzione lambda usa il runtime Python 3.9 e l'architettura x86_64.
In AWS Management Console selezionare il servizio lambda.
Selezionare Crea funzione.
Digitare un nome per la funzione e selezionare Python 3.9 come runtime e x86_64 come architettura.
Selezionare Crea funzione.
In Scegli un livello selezionare un livello e selezionare Aggiungi.
Selezionare Autorizzazioni e in Ruolo esecuzione selezionare Nome ruolo.
In Criteri autorizzazioni selezionare Aggiungi autorizzazioni Allegare i criteri>.
Cercare i criteri AmazonS3FullAccess e CloudWatchLogsReadOnlyAccess e allegarli.
Tornare alla funzione, selezionare Codice e incollare il collegamento al codice in Origine codice.
Compilare i parametri in base alle esigenze.
Selezionare Distribuisci e quindi Test.
Creare un evento compilando i campi obbligatori.
Selezionare Test per vedere come viene visualizzato l'evento nel bucket S3.