CrowdStrike 的 CloudWatch 管道組態

上的 CrowdStrike 設定會使用新物件事件的 Amazon SQS 通知，從 Amazon S3 儲存貯體 AWS 讀取日誌資料。 Amazon SQS

使用下列參數設定 S3 來源：


source:
  s3:
    aws:
      region: "us-east-1"
      sts_role_arn: "arn:aws:iam::<account>:role/<role-name>"
    compression: "gzip"
    codec:
      ndjson:
    data_source_name: "crowdstrike_falcon"
    default_bucket_owner: "123456789012"
    bucket_owners:
      my-bucket: "123456789012"
    disable_bucket_ownership_validation: false
    notification_type: "sqs"
    sqs:
      queue_url: "https://sqs.region.amazonaws.com/<account>/<queue-name>"
    on_error: "retain_messages"

Parameters

notification_type (必要): 指定通知機制。必須是「sqs」才能使用 SQS for S3 事件通知。
data_source_name (必要): 識別資料來源。這可以是代表資料來源的任何字串值。範例："crowdstrike_falcon"。
aws.region (必要): S3 儲存貯體和 SQS 佇列所在的 AWS 區域。
aws.sts_role_arn (必要): 用於存取 S3 和 SQS 資源的 IAM 角色 ARN。
codec (必要): 用於剖析 S3 物件的轉碼器組態。支援 csv、json、ndjson 轉碼器。
compression (選用): S3 物件的壓縮類型。有效值為「無」、「gzip」、「自動」。預設為「無」。
sqs.queue_url (SQS 需要）: 建立新物件時接收 S3 儲存貯體通知的完整 SQS 佇列 URL。
on_error (選用): 決定如何處理 Amazon SQS 中的錯誤。可以是 retain_messages 或 delete_messages。預設為 retain_messages。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

來源組態

SentinelOne