示例：集成来自 Datadog 和 Splunk 的通知

在 AWS 账户中创建自定义事件总线：

1. 访问 https://console.aws.amazon.com/events/，打开 Amazon EventBridge 控制台。

2. 选择总线、事件总线。

3. 在自定义事件总线下，选择创建。

4. 在名称下为您的事件总线提供一个名称。推荐采用以下格式：APMName-AWSIncidentDetectionResponse-EventBus。

   例如，如果您使用的是 Datadog 或 Splunk，请使用以下对应的格式：

   • Datadog：Datadog-AWSIncidentDetectionResponse-EventBus

   • Splunk：Splunk-AWSIncidentDetectionResponse-EventBus

在 AWS 账户中创建 AWS Lambda 函数

1. 打开 AWS Lambda 控制台的 Functions (函数) 页面。

2. 选择创建函数。

3. 选择从头开始创作选项卡。

4. 对于函数名称，输入一个采用 APMName-AWSIncidentDetectionResponse-LambdaFunction 格式的名称。

   以下是 Datadog 和 Splunk 的示例：

   • Datadog：Datadog-AWSIncidentDetectionResponse-LambdaFunction

   • Splunk：Splunk-AWSIncidentDetectionResponse-LambdaFunction

5. 对于运行时，选择 Python 3.10。

6. 将其余字段保留默认值。选择创建函数。

7. 在代码编辑页面上，将默认的 Lambda 函数内容替换为以下代码示例中的函数。

   请注意以下代码示例中以 # 开头的注释。这些注释指出了要更改的值。

   Datadog 转换代码模板：

   import logging
   import json
   import boto3
   
   logger = logging.getLogger()
   logger.setLevel(logging.INFO)
   
   # Change the EventBusName to the custom event bus name you created previously or use your default event bus which is called 'default'.
   # Example 'Datadog-AWSIncidentDetectionResponse-EventBus'
   EventBusName = "Datadog-AWSIncidentDetectionResponse-EventBus" 
   
   def lambda_handler(event, context):
       # Set the event["detail"]["incident-detection-response-identifier"] value to the name of your alert that is coming from your APM. Each APM is different and each unique alert will have a different name. 
       # Replace the dictionary path, event["detail"]["meta"]["monitor"]["name"], with the path to your alert name based on your APM payload. 
       # This example is for finding the alert name for Datadog.
       event["detail"]["incident-detection-response-identifier"] = event["detail"]["meta"]["monitor"]["name"] 
       logger.info(f"We got: {json.dumps(event, indent=2)}")
       
       client = boto3.client('events')
       response = client.put_events(
        Entries=[
                 {
                  'Detail': json.dumps(event["detail"], indent=2),
                  'DetailType': 'ams.monitoring/generic-apm', # Do not modify. This DetailType value is required.
                  'Source': 'GenericAPMEvent', # Do not modify. This Source value is required.
                  'EventBusName': EventBusName # Do not modify. This variable is set at the top of this code as a global variable. Change the variable value for your eventbus name at the top of this code.    
                }
        ]
       )
       print(response['Entries'])

   Splunk 转换代码模板：

   import logging
   import json
   import boto3
   
   logger = logging.getLogger()
   logger.setLevel(logging.INFO)
   
   # Change the EventBusName to the custom event bus name you created previously or use your default event bus which is called 'default'. 
   # Example Splunk-AWSIncidentDetectionResponse-EventBus
   EventBusName = "Splunk-AWSIncidentDetectionResponse-EventBus" 
   
   def lambda_handler(event, context):
       # Set the event["detail"]["incident-detection-response-identifier"] value to the name of your alert that is coming from your APM. Each APM is different and each unique alert will have a different name. 
       # replace the dictionary path event["detail"]["ruleName"] with the path to your alert name based on your APM payload. 
       # This example is for finding the alert name in Splunk.
       event["detail"]["incident-detection-response-identifier"] = event["detail"]["ruleName"]
       logger.info(f"We got: {json.dumps(event, indent=2)}")
       
       client = boto3.client('events')
       response = client.put_events(
       Entries=[
                {
                 'Detail': json.dumps(event["detail"], indent=2),
                 'DetailType': 'ams.monitoring/generic-apm', # Do not modify. This DetailType value is required.
                 'Source': 'GenericAPMEvent', # Do not modify. This Source value is required.
                 'EventBusName': EventBusName # Do not modify. This variable is set at the top of this code as a global variable. Change the variable value for your eventbus name at the top of this code. 
               }
           ]
       )
       print(response['Entries'])

8. 选择部署。

9. 为要接收转换后数据的事件总线的 Lambda 执行角色添加 PutEvents 权限：

   1. 打开 AWS Lambda 控制台的 Functions (函数) 页面。

   2. 选择函数，然后在配置选项卡上选择权限。

   3. 在执行角色下，选择角色名称以在 AWS Identity and Access Management 控制台中打开执行角色。

   4. 在权限策略下，选择现有的策略名称以打开策略。

   5. 在此策略中定义的权限下，选择编辑。

   6. 在策略编辑器页面上，选择添加新语句：

   7. 策略编辑器会添加一个新的空白语句，类似于以下内容

      

   8. 将自动生成的新语句替换为以下内容：

      
      {
        "Sid": "AWSIncidentDetectionResponseEventBus0",
        "Effect": "Allow",
        "Action": "events:PutEvents",
        "Resource": "arn:aws:events:{region}:{accountId}:event-bus/{custom-eventbus-name}"
      }

   9. 资源是您在步骤 2：创建自定义事件总线中创建的自定义事件总线的 ARN，或者，如果您在 Lambda 代码中使用默认事件总线，则为默认事件总线的 ARN。

10. 查看并确认已为角色添加所需权限。

11. 选择将此新版本设为默认版本，然后选择保存更改。

1. 访问 https://console.aws.amazon.com/events/，打开 Amazon EventBridge 控制台。

2. 选择规则，然后选择与您的 APM 关联的合作伙伴事件总线。以下是合作伙伴事件总线示例：

   • Datadog：aws.partner/datadog.com/eventbus-name

   • Splunk：aws.partner/signalfx.com/RandomString

3. 选择创建规则，创建新的 EventBridge 规则。

4. 对于规则名称，请按 APMName-AWS Incident Detection and Response-EventBridgeRule 格式输入名称，然后选择下一步。名称示例如下：

   • Datadog：Datadog-AWSIncidentDetectionResponse-EventBridgeRule

   • Splunk：Splunk-AWSIncidentDetectionResponse-EventBridgeRule

5. 对于事件源，选择 AWS 事件或 EventBridge 合作伙伴事件。

6. 将示例事件和创建方法保留为默认值。

7. 对于事件模式，请选择以下内容：

   1. 事件源：EventBridge 合作伙伴。

   2. 合作伙伴：选择您的 APM 合作伙伴。

   3. 事件类型：所有事件。

   以下是示例事件模式：

   Datadog 事件模式示例

   

   Splunk 事件模式示例

   

8. 对于目标，请选择以下内容：

   1. 目标类型：AWS 服务

   2. 选择目标：选择 Lambda 函数。

   3. 函数：您在步骤 2 中创建的 Lambda 函数的名称。

9. 选择下一步、保存规则。