# Configuração dos pipelines do CloudWatch para o CrowdStrike
<a name="crowdstrike-pipeline-setup"></a>

A configuração do CrowdStrike no AWS lê dados de log dos buckets do Amazon S3 usando notificações do Amazon SQS para novos eventos de objetos.

Configure a fonte do S3 com os seguintes parâmetros:

```
source:
  s3:
    aws:
      region: "us-east-1"
      sts_role_arn: "arn:aws:iam::<account>:role/<role-name>"
    compression: "gzip"
    codec:
      ndjson:
    data_source_name: "crowdstrike_falcon"
    default_bucket_owner: "123456789012"
    bucket_owners:
      my-bucket: "123456789012"
    disable_bucket_ownership_validation: false
    notification_type: "sqs"
    sqs:
      queue_url: "https://sqs.region.amazonaws.com/<account>/<queue-name>"
    on_error: "retain_messages"
```Parâmetros

`notification_type` (obrigatório)  
Especifica o mecanismo de notificação. Deve ser “sqs” para usar o SQS para notificações de eventos do S3.

`data_source_name` (obrigatório)  
Identifica a fonte de dados. Pode ser qualquer valor de string que represente a fonte de dados. Exemplo: “crowdstrike\_falcon”.

`aws.region` (obrigatório)  
A região da AWS na qual o bucket do S3 e a fila do SQS estão localizados.

`aws.sts_role_arn` (obrigatório)  
O ARN do perfil do IAM que deve ser assumido para acessar os recursos do S3 e do SQS.

`codec` (obrigatório)  
Configuração do Codec para análise de objetos do S3. Compatível com codecs csv, json e ndjson.

`compression` (opcional)  
Tipo de compactação dos objetos do S3. Os valores válidos são “none”, “gzip”, “automatic”. O padrão é “none”.

`sqs.queue_url` (obrigatório para o SQS)  
O URL completo da fila do SQS que recebe notificações de buckets do S3 quando novos objetos são criados.

`on_error` (opcional)  
Determina como lidar com erros no Amazon SQS. Pode ser retain\_messages ou delete\_messages. O padrão é retain\_messages.