В некоторых случаях журналы CloudWatch могут не соответствовать формату, принятому Microsoft Sentinel— .csv файл в формате GZIP без заголовка. В этой статье вы используете лямбда-функцию (просмотр исходного кода) в среде Amazon Web Services (AWS) для отправки событий CloudWatch в контейнер S3 и преобразования формата в принятый формат.
Создание лямбда-функции для отправки событий CloudWatch в контейнер S3
Необходимые компоненты
нет
Создание лямбда-функции
Лямбда-функция использует среду выполнения Python 3.9 и архитектуру x86_64.
В консоли управления AWS выберите лямбда-службу.
Выберите Создать функцию.
Введите имя функции и выберите Python 3.9 в качестве среды выполнения и x86_64 в качестве архитектуры.
Выберите Создать функцию.
В разделе "Выбор слоя" выберите слой и нажмите кнопку "Добавить".
Выберите "Разрешения" и в разделе "Роль выполнения" выберите имя роли.
В разделе "Политики разрешений" выберите "Добавить политики подключения разрешений>".
Найдите политики AmazonS3FullAccess и CloudWatchLogsReadOnlyAccess и подключите их.
Вернитесь к функции, выберите "Код" и вставьте ссылку на код в источнике кода.
Значения по умолчанию для параметров задаются с помощью переменных среды. При необходимости можно вручную настроить эти значения непосредственно в коде.
Выберите "Развернуть" и выберите "Тест".
Создайте событие, заполнив обязательные поля.
Выберите "Тест" , чтобы узнать, как событие отображается в контейнере S3.
