Compatibilità e restrizioni del processore

Conteggio massimo

Una pipeline può avere al massimo 20 processori.

Posizionamento del parser

I processori parser (OCSF, CSV, Grok, ecc.), se utilizzati, devono essere il primo processore di una pipeline.

Processori unici

I seguenti processori possono apparire solo una volta per pipeline:

Tipo di processore	CloudWatch Fonte dei registri	Fonte S3	Sorgenti basate su API
OCSF	Deve essere il primo processore	Deve essere il primo processore	Deve essere il primo processore
parse_vpc	Deve essere il primo processore	Non applicabile	Non applicabile
parse_route53	Deve essere il primo processore	Non applicabile	Non applicabile
parse_json	Deve essere il primo processore	Deve essere il primo processore	Deve essere il primo processore
grok	Deve essere il primo processore	Deve essere il primo processore	Deve essere il primo processore
csv	Deve essere il primo processore	Non compatibile	Non compatibile
valore_chiave	Deve essere il primo processore	Deve essere il primo processore	Deve essere il primo processore
add_entry	Deve essere il primo processore	Deve essere il primo processore	Deve essere il primo processore
copy_values	Deve essere il primo processore	Deve essere il primo processore	Deve essere il primo processore
Processori di stringhe (minuscole, maiuscole, trim)	Deve essere il primo processore	Deve essere il primo processore	Deve essere il primo processore
Processori di campo (move_keys, rename_keys)	Deve essere il primo processore	Deve essere il primo processore	Deve essere il primo processore
Trasformazione dei dati (data, appiattimento)	Deve essere il primo processore	Deve essere il primo processore	Deve essere il primo processore

Deve essere il primo processore: Se utilizzato, deve essere il primo processore nella configurazione della pipeline
Non compatibile: Non può essere utilizzato con questo tipo di sorgente
Non applicabile: Il processore non è rilevante per questo tipo di sorgente

Restrizioni specifiche del processore

Restrizioni del processore per tipo di sorgente
Processore	Tipo di sorgente	Restrizioni
OCSF	CloudWatch Registri con CloudTrail	È consentito solo quando è `data_source_name` `aws_cloudtrail` È necessario utilizzare una CloudTrail versione dello schema specifica Non può essere combinato con altri processori
OCSF	Sorgenti basate su API	È necessario utilizzare uno schema specifico dell'origine (ad esempio, microsoft_office365_management_activity per Office 365) Richiede una versione di mappatura specifica per ogni tipo di sorgente Deve essere il primo processore della pipeline
parse_vpc	CloudWatch Registri	Valido solo per i log di flusso VPC Deve essere il primo processore L'input deve contenere il formato VPC Flow Log non elaborato
parse_route53	CloudWatch Registri	Valido solo per i log delle query del Resolver Route 53 Deve essere il primo processore L'input deve contenere il formato del registro delle interrogazioni Route 53 Resolver
aggiungere voci	Tutte le fonti	Massimo un'istanza per pipeline I nomi delle chiavi devono essere validi in base alle regole di denominazione dei campi
copy_values	Tutte le fonti	Massimo un'istanza per pipeline I campi di origine devono esistere nell'evento

Quando si utilizzano processori con restrizioni:

Convalida sempre la configurazione della pipeline utilizzando l'ValidateTelemetryPipelineConfigurationAPI prima della distribuzione
Testa la pipeline con dati di esempio utilizzando l'TestTelemetryPipelineAPI per garantire un'elaborazione corretta
Monitora le metriche della pipeline dopo l'implementazione per garantire che gli eventi vengano elaborati come previsto

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Casi d'uso comuni del processore

Sink