Отправить данные журнала из журналов ec2 в eventbridge

Question

Отправить данные журнала из журналов ec2 в eventbridge

Я хочу отправить данные журналов из моего экземпляра EC2 (Ubuntu) в мост событий AWS, откуда я могу отправить их на несколько конечных точек. например, если кто-то выполняет операцию пользователя root на сервере, это записывается в / var / log / auth.log, я хотел бы, чтобы это изменение в журнале было отправлено на мост событий, где его затем можно перенаправить в другие места, как можно добиться этого?

ура

NB. Я пробовал использовать агент cloudwatch, но не могу понять, как получить журналы в eventbridge, когда они находятся в группе журналов, поэтому, если есть способ, это тоже сработает.

0

amazon-web-services amazon-ec2 amazon-cloudwatch aws-event-bridge

Источник

user9751411 06 июл '20 в 12:26

1 ответ

Другие вопросы по тегам amazon-web-services amazon-ec2 amazon-cloudwatch aws-event-bridge

user248823 06 июл '20 в 12:59 2020-07-06 12:59 · Answer 1 · 2020-07-06 12:59

Я не могу понять, как получить журналы в Eventbridge, когда они находятся в группе журналов, поэтому, если есть способ, это тоже сработает.

После того как агент CloudWatch запишет соответствующие журналы в журналы CloudWatch, вы можете настроить фильтр подписки для своей группы журналов.

Фильтр будет передавать интересующие журналы (например, те, которые содержат ssh) в лямбда-функцию. Как его настроить показано в:

Пример 2. Фильтры подписки с AWS Lambda

Лямбда, используя api событий, например, в boto3, может обрабатывать поток журнала, фильтровать сообщения, создавать события и публиковать их в мосте событий.