Отправить данные журнала из журналов ec2 в eventbridge

Я хочу отправить данные журналов из моего экземпляра EC2 (Ubuntu) в мост событий AWS, откуда я могу отправить их на несколько конечных точек. например, если кто-то выполняет операцию пользователя root на сервере, это записывается в / var / log / auth.log, я хотел бы, чтобы это изменение в журнале было отправлено на мост событий, где его затем можно перенаправить в другие места, как можно добиться этого?

ура

NB. Я пробовал использовать агент cloudwatch, но не могу понять, как получить журналы в eventbridge, когда они находятся в группе журналов, поэтому, если есть способ, это тоже сработает.

1 ответ

Я не могу понять, как получить журналы в Eventbridge, когда они находятся в группе журналов, поэтому, если есть способ, это тоже сработает.

После того как агент CloudWatch запишет соответствующие журналы в журналы CloudWatch, вы можете настроить фильтр подписки для своей группы журналов.

Фильтр будет передавать интересующие журналы (например, те, которые содержат ssh) в лямбда-функцию. Как его настроить показано в:

Лямбда, используя api событий, например, в boto3, может обрабатывать поток журнала, фильтровать сообщения, создавать события и публиковать их в мосте событий.

Другие вопросы по тегам