View a markdown version of this page

Configuração dos pipelines do CloudWatch para o CrowdStrike - Amazon CloudWatch

Configuração dos pipelines do CloudWatch para o CrowdStrike

A configuração do CrowdStrike no AWS lê dados de log dos buckets do Amazon S3 usando notificações do Amazon SQS para novos eventos de objetos.

Configure a fonte do S3 com os seguintes parâmetros:

source:
  s3:
    aws:
      region: "us-east-1"
      sts_role_arn: "arn:aws:iam::<account>:role/<role-name>"
    compression: "gzip"
    codec:
      ndjson:
    data_source_name: "crowdstrike_falcon"
    default_bucket_owner: "123456789012"
    bucket_owners:
      my-bucket: "123456789012"
    disable_bucket_ownership_validation: false
    notification_type: "sqs"
    sqs:
      queue_url: "https://sqs.region.amazonaws.com/<account>/<queue-name>"
    on_error: "retain_messages"
Parâmetros
notification_type (obrigatório)

Especifica o mecanismo de notificação. Deve ser “sqs” para usar o SQS para notificações de eventos do S3.

data_source_name (obrigatório)

Identifica a fonte de dados. Pode ser qualquer valor de string que represente a fonte de dados. Exemplo: “crowdstrike_falcon”.

aws.region (obrigatório)

A região da AWS na qual o bucket do S3 e a fila do SQS estão localizados.

aws.sts_role_arn (obrigatório)

O ARN do perfil do IAM que deve ser assumido para acessar os recursos do S3 e do SQS.

codec (obrigatório)

Configuração do Codec para análise de objetos do S3. Compatível com codecs csv, json e ndjson.

compression (opcional)

Tipo de compactação dos objetos do S3. Os valores válidos são “none”, “gzip”, “automatic”. O padrão é “none”.

sqs.queue_url (obrigatório para o SQS)

O URL completo da fila do SQS que recebe notificações de buckets do S3 quando novos objetos são criados.

on_error (opcional)

Determina como lidar com erros no Amazon SQS. Pode ser retain_messages ou delete_messages. O padrão é retain_messages.