我想将日志数据从EC2实例(Ubuntu)发送到AWS事件桥,然后在其中将它们发送到多个终端节点。例如如果有人在服务器上执行root用户操作,并将其写入/var/log/auth.log,那么我希望将日志中的此更改发送到eventbridge,然后再将其路由到其他位置,如何实现这个吗?
欢呼
我已经尝试过使用cloudwatch代理,但是一旦它们位于日志组中,我就无法弄清楚如何将日志发送到eventbridge,因此,如果有一种方法,我也可以使用。
答案 0 :(得分:2)
一旦它们位于日志组中,我就无法确定如何将它们发送到事件桥,因此,如果可以的话,我也可以这样做。
一旦CloudWatch代理将相关日志写入CloudWatch日志,就可以在日志组上设置subscription filter。
过滤器会将感兴趣的日志(例如包含ssh的日志)流式传输到 lambda函数。设置方法如下:
lambda,使用事件api,例如在boto3中,可以处理日志流,过滤出消息,构造事件并将其发布到事件桥。