我想将日志数据从我的 EC2 实例 (Ubuntu) 发送到 AWS 事件桥,然后我可以将它们发送到多个端点。例如,如果有人在写入/var/log/auth.log 的服务器上执行 root 用户操作,那么我希望将日志中的此更改发送到 eventbridge,然后可以将其路由到其他位置,如何实现这个?
干杯
注意,我曾尝试使用 cloudwatch 代理,但我不知道如何将日志放在日志组中后将其发送到 eventbridge,所以如果有办法,我也可以这样做。
问问题
230 次
1 回答
2
一旦它们在日志组中,我无法弄清楚如何将日志获取到 eventbridge,所以如果有一种方法我可以这样做,这也可以。
一旦您的 CloudWatch 代理将相关日志写入 CloudWatch 日志,您就可以在您的日志组上设置订阅过滤器。
过滤器会将感兴趣的日志(例如包含 ssh 的日志)流式传输到lambda 函数中。设置方法如下图:
lambda,使用事件 api,例如在 boto3 中,可以处理日志流,过滤掉消息,构造事件并将它们发布到事件桥。
于 2020-07-06T09:59:55.403 回答