本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# CrowdStrike 的 CloudWatch 管道組態
<a name="crowdstrike-pipeline-setup"></a>

上的 CrowdStrike 設定會使用新物件事件的 Amazon SQS 通知，從 Amazon S3 儲存貯體 AWS 讀取日誌資料。 Amazon SQS 

使用下列參數設定 S3 來源：

```
source:
  s3:
    aws:
      region: "us-east-1"
      sts_role_arn: "arn:aws:iam::<account>:role/<role-name>"
    compression: "gzip"
    codec:
      ndjson:
    data_source_name: "crowdstrike_falcon"
    default_bucket_owner: "123456789012"
    bucket_owners:
      my-bucket: "123456789012"
    disable_bucket_ownership_validation: false
    notification_type: "sqs"
    sqs:
      queue_url: "https://sqs.region.amazonaws.com/<account>/<queue-name>"
    on_error: "retain_messages"
```Parameters

`notification_type` (必要)  
指定通知機制。必須是「sqs」才能使用 SQS for S3 事件通知。

`data_source_name` (必要)  
識別資料來源。這可以是代表您資料來源的任何字串值。範例："crowdstrike\_falcon"。

`aws.region` (必要)  
S3 儲存貯體和 SQS 佇列所在的 AWS 區域。

`aws.sts_role_arn` (必要)  
用於存取 S3 和 SQS 資源的 IAM 角色 ARN。

`codec` (必要)  
用於剖析 S3 物件的轉碼器組態。支援 csv、json、ndjson 轉碼器。

`compression` (選用)  
S3 物件的壓縮類型。有效值為「無」、「gzip」、「自動」。預設為「無」。

`sqs.queue_url` (SQS 需要）  
建立新物件時接收 S3 儲存貯體通知的完整 SQS 佇列 URL。

`on_error` (選用)  
決定如何處理 Amazon SQS 中的錯誤。可以是 retain\_messages 或 delete\_messages。預設為 retain\_messages。