# CrowdStrike の CloudWatch パイプライン設定
<a name="crowdstrike-pipeline-setup"></a>

AWS での CrowdStrike 設定は、新しいオブジェクトイベントの Amazon SQS 通知を使用して Amazon S3 バケットからログデータを読み取ります。

次のパラメータを使用して S3 ソースを設定します。

```
source:
  s3:
    aws:
      region: "us-east-1"
      sts_role_arn: "arn:aws:iam::<account>:role/<role-name>"
    compression: "gzip"
    codec:
      ndjson:
    data_source_name: "crowdstrike_falcon"
    default_bucket_owner: "123456789012"
    bucket_owners:
      my-bucket: "123456789012"
    disable_bucket_ownership_validation: false
    notification_type: "sqs"
    sqs:
      queue_url: "https://sqs.region.amazonaws.com/<account>/<queue-name>"
    on_error: "retain_messages"
```パラメータ

`notification_type` (必須)  
通知メカニズムを指定します。S3 イベント通知に SQS を使用するには、「sqs」である必要があります。

`data_source_name` (必須)  
データソースを特定します。これは、データソースを表す任意の文字列値にすることができます。例: 「crowdstrike\_falcon」。

`aws.region` (必須)  
S3 バケットと SQS キューがある AWS リージョン。

`aws.sts_role_arn` (必須)  
S3 および SQS リソースにアクセスするために引き受ける IAM ロールの ARN。

`codec` (必須)  
S3 オブジェクトを解析するためのコーデック設定。csv、json、ndjson コーデックをサポートします。

`compression` (オプション)  
S3 オブジェクトの圧縮タイプ。有効な値は「none」、「gzip」、「automatic」です。デフォルトは「none」です。

`sqs.queue_url` (SQS に必須)  
新しいオブジェクトの作成時に S3 バケット通知を受信する SQS キューの完全な URL。

`on_error` (オプション)  
Amazon SQS でエラーを処理する方法を決定します。retain\_messages または delete\_messages のいずれかになります。デフォルトは retain\_messages です。