Processori parser - Amazon CloudWatch
Processore OCSFProcessore CSVProcessore GrokProcessore VPCProcessore JSONProcessore Route 53Processore chiave-valore

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Processori parser

I processori parser convertono i dati di registro grezzi o semistrutturati in formati strutturati. Ogni pipeline può avere al massimo un processore parser, che deve essere il primo processore della pipeline.

Processore OCSF

Analizza e trasforma i dati di registro secondo gli standard Open Cybersecurity Schema Framework (OCSF).

Configurazione

Configura il processore OCSF con i seguenti parametri:

processor:
  - ocsf:
      version: "1.5"
      mapping_version: 1.5.0
      schema:
          microsoft_office365_management_activity:
Parameters
version(richiesto)

La versione dello schema OCSF da utilizzare per la trasformazione. Deve essere 1.5

mapping_version(richiesto)

La versione di mappatura OCSF per la trasformazione. Deve essere la 1.5.0.

schema(richiesto)

Oggetto dello schema che specifica il tipo di origine dati. Gli schemi supportati dipendono dal tipo di origine della pipeline: ogni tipo di origine ha il proprio set di schemi OCSF compatibili. È necessario utilizzare uno schema che corrisponda al tipo di origine della pipeline.

Questa tabella elenca le combinazioni di schemi supportate.

Tipo di origine della pipeline Schemi supportati Versione Versione di mappatura
cloudwatch_logs cloud_trail: 1.5 Campo non obbligatorio
cloudwatch_logs route53_resolver: 1.5 Campo non obbligatorio
cloudwatch_logs vpc_flow: 1.5 Campo non obbligatorio
cloudwatch_logs eks_audit: 1.5 Campo non obbligatorio
cloudwatch_logs aws_waf: 1.5 Campo non obbligatorio
s3 Qualsiasi schema OCSF Qualsiasi Qualsiasi
microsoft_office365 microsoft_office365_management_activity: 1.5 1.5.0
microsoft_entra_id microsoft_entra_id: 1.5 1.5.0
microsoft_windows_event microsoft_windows_event: 1.5 1.5.0
palo_alto_ngfw palo_alto_ngfw: 1.5 1.5.0

Processore CSV

Analizza i dati in formato CSV in campi strutturati.

Configurazione

Configura il processore CSV con i seguenti parametri:

processor:
  - csv:      
      column_names: ["col1", "col2", "col3"]
      delimiter: ","
      quote_character: '"'
Parameters
column_names (facoltativo)

Matrice di nomi di colonne per i campi analizzati. Massimo 100 colonne, ogni nome può contenere fino a 128 caratteri. Se non viene fornito, il valore predefinito è column_1, column_2 e così via.

delimiter (facoltativo)

Carattere usato per separare i campi CSV. Deve essere un carattere singolo. Il valore predefinito è la virgola (,).

quote_character (facoltativo)

Carattere usato per citare campi CSV contenenti delimitatori. Deve essere un carattere singolo. Il valore predefinito è tra virgolette doppie («).

Per utilizzare il processore senza specificare parametri aggiuntivi, utilizzate il seguente comando:

processor:
  - csv: {}

Processore Grok

Analizza i dati non strutturati utilizzando i modelli Grok. È supportato al massimo 1 Grok per pipeline. Per i dettagli sul trasformatore Grok in CloudWatch Logs, consulta Processori che puoi usare nella Logs User Guide. CloudWatch

Configurazione

Configura il processore Grok con i seguenti parametri:

Quando l'origine dati è un dizionario, puoi usare questa configurazione:

processor:
  - grok:      
      match:
       source_key: ["%{WORD:level} %{GREEDYDATA:msg}"]

Quando l'origine dati è CloudWatch Logs, puoi usare questa configurazione:

processor:
  - grok:      
      match:
       source_key: ["%{WORD:level} %{GREEDYDATA:msg}"]
Parameters
match(richiesto)

Mappatura dei campi con modelli Grok. È consentita una sola mappatura dei campi.

match.<field>(richiesto)

Array con pattern Grok singolo. Massimo 512 caratteri per pattern.

Processore VPC

Analizza i dati del VPC Flow Log in campi strutturati.

Configurazione

Configura il processore VPC con i seguenti parametri:

processor:
  - parse_vpc: {}

Processore JSON

Analizza i dati JSON in campi strutturati.

Configurazione

Configura il processore JSON con i seguenti parametri:

processor:
  - parse_json:
      source: "message"
      destination: "parsed_json"
Parameters
source (facoltativo)

Il campo contenente i dati JSON da analizzare. Se omesso, viene elaborato l'intero messaggio di registro

destination (facoltativo)

Il campo in cui verrà archiviato il codice JSON analizzato. Se omesso, i campi analizzati vengono aggiunti al livello principale

Processore Route 53

Analizza i dati del registro del resolver Route 53 in campi strutturati.

Configurazione

Configura il processore Route 53 con i seguenti parametri:

processor:
  - parse_route53: {}

Processore chiave-valore

Analizza i dati formattati della coppia chiave-valore in campi strutturati.

Configurazione

Configura il processore chiave-valore con i seguenti parametri:

processor:
  - key_value:
      source: "message"
      destination: "parsed_kv"
      field_delimiter: "&"
      key_value_delimiter: "="
Parameters
source (facoltativo)

Campo contenente dati chiave-valore. Massimo 128 caratteri.

destination (facoltativo)

Campo di destinazione per coppie chiave-valore analizzate. Massimo 128 caratteri.

field_delimiter (facoltativo)

Schema per dividere coppie chiave-valore. Massimo 10 caratteri.

key_value_delimiter (facoltativo)

Schema per dividere le chiavi dai valori. Massimo 10 caratteri.

overwrite_if_destination_exists (facoltativo)

Se sovrascrivere il campo di destinazione esistente.

prefix (facoltativo)

Prefisso da aggiungere alle chiavi estratte. Massimo 128 caratteri.

non_match_value (facoltativo)

Valore per le chiavi senza corrispondenze. Massimo 128 caratteri.

Per utilizzare il processore senza specificare parametri aggiuntivi, utilizzate il seguente comando:

processor:
  - key_value: {}