Processeurs d'analyseur - Amazon CloudWatch
Processeur OCSFProcesseur CSVProcesseur GrokProcesseur VPCProcesseur JSONProcesseur Route 53Processeur clé-valeur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Processeurs d'analyseur

Les processeurs d'analyse convertissent les données de journal brutes ou semi-structurées en formats structurés. Chaque pipeline peut avoir au plus un processeur d'analyse, qui doit être le premier processeur du pipeline.

Processeur OCSF

Analyse et transforme les données des journaux conformément aux normes Open Cybersecurity Schema Framework (OCSF).

Configuration

Configurez le processeur OCSF avec les paramètres suivants :

processor:
  - ocsf:
      version: "1.5"
      mapping_version: 1.5.0
      schema:
          microsoft_office365_management_activity:
Parameters
version (obligatoire)

Version du schéma OCSF à utiliser pour la transformation. Doit être 1,5

mapping_version (obligatoire)

La version de mappage OCSF pour la transformation. Doit être 1.5.0.

schema (obligatoire)

Objet de schéma spécifiant le type de source de données. Les schémas pris en charge dépendent du type de source de pipeline : chaque type de source possède son propre ensemble de schémas OCSF compatibles. Vous devez utiliser un schéma correspondant au type de source de votre pipeline.

Ce tableau répertorie les combinaisons de schémas prises en charge.

Type de source de pipeline Schémas pris en charge Version Version de mappage
cloudwatch_logs cloud_trail: 1.5 Facultatif
cloudwatch_logs route53_resolver: 1.5 Facultatif
cloudwatch_logs vpc_flow: 1.5 Facultatif
cloudwatch_logs eks_audit: 1.5 Facultatif
cloudwatch_logs aws_waf: 1.5 Facultatif
s3 N'importe quel schéma OCSF N’importe lequel N’importe lequel
microsoft_office365 microsoft_office365: 1.5 1.5.0
microsoft_entraid microsoft_entraid: 1.5 1.5.0
microsoft_windows_event microsoft_windows_event: 1.5 1.5.0
paloaltonetworks_nextgenerationfirewall paloaltonetworks_nextgenerationfirewall: 1.5 1.5.0
okta_auth0 okta_auth0: 1.5 1.5.0
okta_sso okta_sso: 1.5 1.5.0
crowdstrike_falcon crowdstrike_falcon: 1.5 1.5.0
github_auditlogs github_auditlogs: 1.5 1.5.0
sentinelone_endpointsecurity sentinelone_endpointsecurity: 1.5 1.5.0
servicenow_cmdb servicenow_cmdb: 1.5 1.5.0
wiz_cnapp wiz_cnapp: 1.5 1.5.0
zscaler_internetaccess zscaler_internetaccess: 1.5 1.5.0

Processeur CSV

Analyse les données au format CSV dans des champs structurés.

Configuration

Configurez le processeur CSV avec les paramètres suivants :

processor:
  - csv:      
      column_names: ["col1", "col2", "col3"]
      delimiter: ","
      quote_character: '"'
Parameters
column_names (facultatif)

Tableau de noms de colonnes pour les champs analysés. 100 colonnes maximum, chaque nom comportant jusqu'à 128 caractères. Si ce n'est pas le cas, la valeur par défaut est column_1, column_2, etc.

delimiter (facultatif)

Caractère utilisé pour séparer les champs CSV. Il doit s'agir d'un seul caractère. La valeur par défaut est virgule (,).

quote_character (facultatif)

Caractère utilisé pour citer les champs CSV contenant des délimiteurs. Il doit s'agir d'un seul caractère. La valeur par défaut est entre guillemets («).

Pour utiliser le processeur sans spécifier de paramètres supplémentaires, utilisez la commande suivante :

processor:
  - csv: {}

Processeur Grok

Analyse les données non structurées à l'aide de modèles Grok. Au maximum 1 Grok est pris en charge par pipeline. Pour plus de détails sur le transformateur Grok dans CloudWatch Logs, voir Processeurs que vous pouvez utiliser dans le Guide de l'utilisateur de CloudWatch Logs.

Configuration

Configurez le processeur Grok avec les paramètres suivants :

Lorsque la source de données est un dictionnaire, vous pouvez utiliser cette configuration :

processor:
  - grok:      
      match:
       source_key: ["%{WORD:level} %{GREEDYDATA:msg}"]

Lorsque la source de données est CloudWatch Logs, vous pouvez utiliser cette configuration :

processor:
  - grok:      
      match:
       source_key: ["%{WORD:level} %{GREEDYDATA:msg}"]
Parameters
match (obligatoire)

Cartographie de terrain avec des modèles Grok. Un seul mappage de champs est autorisé.

match.<field> (obligatoire)

Tableau avec un seul motif Grok. 512 caractères maximum par modèle.

Processeur VPC

Analyse les données du journal de flux VPC dans des champs structurés.

Configuration

Configurez le processeur VPC avec les paramètres suivants :

processor:
  - parse_vpc: {}

Processeur JSON

Analyse les données JSON dans des champs structurés.

Configuration

Configurez le processeur JSON avec les paramètres suivants :

processor:
  - parse_json:
      source: "message"
      destination: "parsed_json"
Parameters
source (facultatif)

Champ contenant les données JSON à analyser. En cas d'omission, l'intégralité du message du journal est traitée

destination (facultatif)

Le champ dans lequel le JSON analysé sera stocké. En cas d'omission, les champs analysés sont ajoutés au niveau racine

Processeur Route 53

Analyse les données du journal du résolveur Route 53 dans des champs structurés.

Configuration

Configurez le processeur Route 53 avec les paramètres suivants :

processor:
  - parse_route53: {}

Processeur clé-valeur

Analyse les données formatées par paire clé-valeur dans des champs structurés.

Configuration

Configurez le processeur clé-valeur avec les paramètres suivants :

processor:
  - key_value:
      source: "message"
      destination: "parsed_kv"
      field_delimiter: "&"
      key_value_delimiter: "="
Parameters
source (facultatif)

Champ contenant des données clé-valeur. 128 caractères maximum.

destination (facultatif)

Champ cible pour les paires clé-valeur analysées. 128 caractères maximum.

field_delimiter (facultatif)

Modèle pour diviser les paires clé-valeur. 10 caractères maximum.

key_value_delimiter (facultatif)

Modèle pour séparer les clés des valeurs. 10 caractères maximum.

overwrite_if_destination_exists (facultatif)

S'il faut remplacer le champ de destination existant.

prefix (facultatif)

Préfixe à ajouter aux clés extraites. 128 caractères maximum.

non_match_value (facultatif)

Valeur pour les clés sans correspondance. 128 caractères maximum.

Pour utiliser le processeur sans spécifier de paramètres supplémentaires, utilisez la commande suivante :

processor:
  - key_value: {}