在某些情况下,你的 CloudWatch 日志可能与 Microsoft Sentinel 所接受的格式(GZIP 格式的 .csv 文件,且不带标头)不匹配。 在本文中,你将在 Amazon Web Services (AWS) 环境中使用 lambda 函数(查看源代码)将 CloudWatch 事件发送到 S3 Bucket,并将格式转换为接受的格式。
你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
创建可将 CloudWatch 事件发送到 S3 Bucket 的 Lambda 函数
先决条件
无
创建 Lambda 函数
Lambda 函数将使用 Python 3.9 运行时和 x86_64 体系结构。
在 AWS 管理控制台中,选择 Lambda 服务。
选择“创建函数”。
键入函数的名称,并选择“Python 3.9”运行时和“x86_64”体系结构。
选择“创建函数”。
在“选择层”下,选择一个层,然后选择“添加”。
选择“权限”,然后在“执行角色”下选择“角色名称”。
在“权限策略”下,依次选择“添加权限”>“附加策略”。
搜索 AmazonS3FullAccess 和 CloudWatchLogsReadOnlyAccess 策略,并附加这些策略。
返回到函数,选择“代码”,然后将代码链接粘贴到“代码源”下。
参数的默认值是使用环境变量设置的。 如有必要,可以直接在代码中手动调整这些值。
选择“部署”,然后选择“测试”。
通过填写必填字段创建事件。
选择“测试”以查看事件在 S3 Bucket 中的显示方式。