Prozessorkompatibilität und Einschränkungen

Maximale Anzahl

Eine Pipeline kann maximal 20 Prozessoren haben.

Platzierung des Parsers

Falls Parser-Prozessoren (OCSF, CSV, Grok usw.) verwendet werden, müssen sie der erste Prozessor in einer Pipeline sein.

Einzigartige Prozessoren

Die folgenden Prozessoren können pro Pipeline nur einmal vorkommen:

Typ des Prozessors	CloudWatch Quelle der Protokolle	S3-Quelle	API-basierte Quellen
OCSF	Muss der erste Prozessor sein	Muss der erste Prozessor sein	Muss der erste Prozessor sein
parse_vpc	Muss der erste Prozessor sein	Nicht zutreffend	Nicht zutreffend
parse_route53	Muss der erste Prozessor sein	Nicht zutreffend	Nicht zutreffend
parse_json	Muss der erste Prozessor sein	Muss der erste Prozessor sein	Muss der erste Prozessor sein
Grok	Muss der erste Prozessor sein	Muss der erste Prozessor sein	Muss der erste Prozessor sein
csv	Muss der erste Prozessor sein	Nicht kompatibel	Nicht kompatibel
key_value	Muss der erste Prozessor sein	Muss der erste Prozessor sein	Muss der erste Prozessor sein
add_entries	Muss der erste Prozessor sein	Muss der erste Prozessor sein	Muss der erste Prozessor sein
copy_values	Muss der erste Prozessor sein	Muss der erste Prozessor sein	Muss der erste Prozessor sein
Zeichenkettenprozessoren (Kleinbuchstaben, Großbuchstaben, Kurzbuchstaben)	Muss der erste Prozessor sein	Muss der erste Prozessor sein	Muss der erste Prozessor sein
Feldprozessoren (move_keys, rename_keys)	Muss der erste Prozessor sein	Muss der erste Prozessor sein	Muss der erste Prozessor sein
Datentransformation (Datum, reduzieren)	Muss der erste Prozessor sein	Muss der erste Prozessor sein	Muss der erste Prozessor sein

Muss der erste Prozessor sein: Bei Verwendung muss es sich um den ersten Prozessor in der Pipeline-Konfiguration handeln
Nicht kompatibel: Kann mit diesem Quelltyp nicht verwendet werden
Nicht zutreffend: Der Prozessor ist für diesen Quelltyp nicht relevant

Prozessorspezifische Einschränkungen

Prozessoreinschränkungen nach Quelltyp
Prozessor	Art der Quelle	Einschränkungen
OCSF	CloudWatch Loggt sich mit CloudTrail	Nur erlaubt, `data_source_name` wenn `aws_cloudtrail` Muss eine CloudTrail -spezifische Schemaversion verwenden Kann nicht mit anderen Prozessoren kombiniert werden
OCSF	API-basierte Quellen	Muss ein quellenspezifisches Schema verwenden (z. B. microsoft_office365_management_activity für Office 365) Erfordert eine spezifische Zuordnungsversion für jeden Quelltyp Muss der erste Prozessor in der Pipeline sein
parse_vpc	CloudWatch Logs	Nur gültig für VPC Flow Logs Muss der erste Prozessor sein Die Eingabe muss das unformatierte VPC-Flow-Log-Format enthalten
parse_route53	CloudWatch Logs	Nur gültig für Route 53 Resolver Query Logs Muss der erste Prozessor sein Die Eingabe muss das Route 53 Resolver-Abfrageprotokollformat enthalten
add_entries	Alle Quellen	Maximal eine Instanz pro Pipeline Schlüsselnamen müssen gemäß den Regeln für die Feldbenennung gültig sein
copy_values	Alle Quellen	Maximal eine Instanz pro Pipeline Quellfelder müssen in dem Ereignis vorhanden sein

Wenn Sie Prozessoren mit Einschränkungen verwenden:

Überprüfen Sie Ihre Pipeline-Konfiguration vor der Bereitstellung immer mithilfe der ValidateTelemetryPipelineConfiguration API
Testen Sie die Pipeline mithilfe der TestTelemetryPipeline API anhand von Beispieldaten, um eine ordnungsgemäße Verarbeitung sicherzustellen
Überwachen Sie die Pipeline-Metriken nach der Bereitstellung, um sicherzustellen, dass die Ereignisse wie erwartet verarbeitet werden

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Allgemeine Anwendungsfälle für Prozessoren

Senken