Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Parser-Prozessoren
Parser-Prozessoren konvertieren rohe oder halbstrukturierte Protokolldaten in strukturierte Formate. Jede Pipeline kann höchstens einen Parser-Prozessor haben, der der erste Prozessor in der Pipeline sein muss.
OCSF-Prozessor
Analysiert und transformiert Protokolldaten gemäß den Standards des Open Cybersecurity Schema Framework (OCSF).
Konfiguration
Konfigurieren Sie den OCSF-Prozessor mit den folgenden Parametern:
processor: - ocsf: version: "1.5" mapping_version: 1.5.0 schema: microsoft_office365_management_activity:
Parameters
version(Erforderlich)-
Die OCSF-Schemaversion, die für die Transformation verwendet werden soll. Muss 1.5 sein
mapping_version(Erforderlich)-
Die OCSF-Mapping-Version für die Transformation. Muss 1.5.0 sein.
schema(Erforderlich)-
Schemaobjekt, das den Datenquellentyp angibt. Die unterstützten Schemas hängen vom Pipeline-Quelltyp ab — jeder Quelltyp hat seinen eigenen Satz kompatibler OCSF-Schemas. Sie müssen ein Schema verwenden, das dem Quelltyp Ihrer Pipeline entspricht.
In dieser Tabelle sind die unterstützten Schemakombinationen aufgeführt.
| Typ der Pipeline-Quelle | Unterstützte Schemas | Version | Version zuordnen |
|---|---|---|---|
cloudwatch_logs |
cloud_trail: |
1.5 |
Nicht erforderlich |
cloudwatch_logs |
route53_resolver: |
1.5 |
Nicht erforderlich |
cloudwatch_logs |
vpc_flow: |
1.5 |
Nicht erforderlich |
cloudwatch_logs |
eks_audit: |
1.5 |
Nicht erforderlich |
cloudwatch_logs |
aws_waf: |
1.5 |
Nicht erforderlich |
s3 |
Beliebiges OCSF-Schema | Any | Any |
microsoft_office365 |
microsoft_office365_management_activity: |
1.5 |
1.5.0 |
microsoft_entra_id |
microsoft_entra_id: |
1.5 |
1.5.0 |
microsoft_windows_event |
microsoft_windows_event: |
1.5 |
1.5.0 |
palo_alto_ngfw |
palo_alto_ngfw: |
1.5 |
1.5.0 |
CSV-Prozessor
Analysiert CSV-formatierte Daten in strukturierte Felder.
Konfiguration
Konfigurieren Sie den CSV-Prozessor mit den folgenden Parametern:
processor: - csv: column_names: ["col1", "col2", "col3"] delimiter: "," quote_character: '"'
Parameters
column_names(optional)-
Array von Spaltennamen für analysierte Felder. Maximal 100 Spalten, jeder Name bis zu 128 Zeichen. Falls nicht angegeben, wird standardmäßig column_1, column_2 usw. verwendet.
delimiter(optional)-
Zeichen, das zur Trennung von CSV-Feldern verwendet wird. Muss ein einzelnes Zeichen sein. Die Standardeinstellung ist Komma (,).
quote_character(optional)-
Zeichen, das verwendet wird, um CSV-Felder mit Trennzeichen in Anführungszeichen zu setzen. Muss ein einzelnes Zeichen sein. Standardmäßig wird ein doppeltes Anführungszeichen („) verwendet.
Verwenden Sie den folgenden Befehl, um den Prozessor ohne Angabe zusätzlicher Parameter zu verwenden:
processor: - csv: {}
Grok-Prozessor
Analysiert unstrukturierte Daten mithilfe von Grok-Mustern. Pro Pipeline wird höchstens 1 Grok unterstützt. Einzelheiten zum Grok-Transformer in CloudWatch Logs finden Sie im Logs-Benutzerhandbuch unter Prozessoren, die CloudWatch Sie verwenden können.
Konfiguration
Konfigurieren Sie den Grok-Prozessor mit den folgenden Parametern:
Wenn es sich bei der Datenquelle um ein Wörterbuch handelt, können Sie diese Konfiguration verwenden:
processor: - grok: match: source_key: ["%{WORD:level} %{GREEDYDATA:msg}"]
Wenn die Datenquelle CloudWatch Logs ist, können Sie diese Konfiguration verwenden:
processor: - grok: match: source_key: ["%{WORD:level} %{GREEDYDATA:msg}"]
Parameters
match(Erforderlich)-
Feldzuordnung mit Grok-Mustern. Nur eine Feldzuordnung ist zulässig.
match.<field>(Erforderlich)-
Array mit einem einzigen Grok-Muster. Maximal 512 Zeichen pro Muster.
VPC-Prozessor
Analysiert VPC Flow Log-Daten in strukturierte Felder.
Konfiguration
Konfigurieren Sie den VPC-Prozessor mit den folgenden Parametern:
processor: - parse_vpc: {}
JSON-Prozessor
Analysiert JSON-Daten in strukturierte Felder.
Konfiguration
Konfigurieren Sie den JSON-Prozessor mit den folgenden Parametern:
processor: - parse_json: source: "message" destination: "parsed_json"
Parameters
source(optional)-
Das Feld, das die zu analysierenden JSON-Daten enthält. Wenn es weggelassen wird, wird die gesamte Protokollnachricht verarbeitet
destination(optional)-
Das Feld, in dem der geparste JSON gespeichert wird. Wenn es weggelassen wird, werden analysierte Felder zur Stammebene hinzugefügt
Route 53-Prozessor
Analysiert die Protokolldaten des Route 53-Resolvers in strukturierte Felder.
Konfiguration
Konfigurieren Sie den Route 53-Prozessor mit den folgenden Parametern:
processor: - parse_route53: {}
Prozessor mit Schlüsselwert
Analysiert mit Schlüssel-Wert-Paaren formatierte Daten in strukturierte Felder.
Konfiguration
Konfigurieren Sie den Schlüssel-Wert-Prozessor mit den folgenden Parametern:
processor: - key_value: source: "message" destination: "parsed_kv" field_delimiter: "&" key_value_delimiter: "="
Parameters
source(optional)-
Feld, das Schlüsselwertdaten enthält. Maximal 128 Zeichen.
destination(optional)-
Zielfeld für analysierte Schlüssel-Wert-Paare. Maximal 128 Zeichen.
field_delimiter(optional)-
Muster zum Aufteilen von Schlüssel-Wert-Paaren. Maximal 10 Zeichen.
key_value_delimiter(optional)-
Muster zum Trennen von Schlüsseln von Werten. Maximal 10 Zeichen.
overwrite_if_destination_exists(optional)-
Ob ein vorhandenes Zielfeld überschrieben werden soll.
prefix(optional)-
Präfix, das den extrahierten Schlüsseln hinzugefügt werden soll. Maximal 128 Zeichen.
non_match_value(optional)-
Wert für Schlüssel ohne Treffer. Maximal 128 Zeichen.
Verwenden Sie den folgenden Befehl, um den Prozessor ohne Angabe zusätzlicher Parameter zu verwenden:
processor: - key_value: {}
