Em alguns casos, os logs do CloudWatch podem não corresponder ao formato aceito pelo Microsoft Sentinel – arquivo .csv em um formato GZIP sem um cabeçalho. Neste artigo, você usará uma função lambda (veja o código-fonte) no ambiente da AWS (Amazon Web Services) para enviar eventos do CloudWatch para um bucket S3 e converter o formato para o formato aceito.
Criar uma função Lambda para enviar eventos do CloudWatch para um bucket S3
Pré-requisitos
Criar a função lambda
A função lambda usa o runtime do Python 3.9 e a arquitetura x86_64.
No Console de Gerenciamento do AWS, selecione o serviço lambda.
Selecione Criar função.
Digite um nome para a função e selecione Python 3.9 como o runtime e x86_64 como a arquitetura.
Selecione Criar função.
Em Escolher uma camada, selecione uma camada e selecione Adicionar.
Selecione Permissões e, em Função de execução, selecione Nome da função.
Em Políticas de permissões, selecione Adicionar permissões>Anexar políticas.
Pesquise as políticas AmazonS3FullAccess e CloudWatchLogsReadOnlyAccess e anexe-as.
Retorne à função, selecione Código e cole o link de código em Código-fonte.
Preencha os parâmetros conforme necessário.
Selecione Implantar e, em seguida, Testar.
Criar um evento preenchendo os campos necessários.
Selecione Testar para ver como o evento aparece no bucket S3.