CrowdStrike에 대한 CloudWatch 파이프라인 구성
AWS의 CrowdStrike 설정은 새 객체 이벤트에 대한 Amazon SQS 알림을 사용하여 Amazon S3 버킷에서 로그 데이터를 읽습니다.
다음과 같은 파라미터를 사용하여 S3 소스를 구성합니다.
source: s3: aws: region: "us-east-1" sts_role_arn: "arn:aws:iam::<account>:role/<role-name>" compression: "gzip" codec: ndjson: data_source_name: "crowdstrike_falcon" default_bucket_owner: "123456789012" bucket_owners: my-bucket: "123456789012" disable_bucket_ownership_validation: false notification_type: "sqs" sqs: queue_url: "https://sqs.region.amazonaws.com/<account>/<queue-name>" on_error: "retain_messages"
Parameters
notification_type(필수)-
알림 메커니즘을 지정합니다. S3 이벤트 알림에 대해 SQS를 사용하려면 'sqs'여야 합니다.
data_source_name(필수)-
데이터 소스를 식별합니다. 이는 데이터 소스를 나타내는 모든 문자열 값일 수 있습니다. 예: "crowdstrike_falcon".
aws.region(필수)-
S3 버킷과 SQS 대기열이 있는 AWS 리전입니다.
aws.sts_role_arn(필수)-
S3 및 SQS 리소스에 액세스하기 위해 부여할 IAM 역할의 ARN입니다.
codec(필수)-
S3 객체를 구문 분석하기 위한 코덱 구성입니다. csv, json, ndjson 코덱을 지원합니다.
compression(선택 사항)-
S3 객체의 압축 유형입니다. 유효한 값은 'none', 'gzip', 'automatic'입니다. 기본값은 'none'입니다.
sqs.queue_url(SQS의 경우 필수)-
새 객체가 생성될 경우 S3 버킷 알림을 수신하는 전체 SQS 대기열 URL입니다.
on_error(선택 사항)-
Amazon SQS에서 오류를 처리하는 방법을 결정합니다. retain_messages 또는 delete_messages일 수 있습니다. 기본값은 retain_messages입니다.
