剖析器處理器 - Amazon CloudWatch
OCSF 處理器CSV 處理器Grok 處理器VPC 處理器JSON 處理器Route 53 處理器鍵值處理器

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

剖析器處理器

Parser 處理器會將原始或半結構化日誌資料轉換為結構化格式。每個管道最多可以有一個剖析器處理器,這必須是管道中的第一個處理器。

OCSF 處理器

根據開放網路安全結構描述架構 (OCSF) 標準來剖析和轉換日誌資料。

Configuration

使用下列參數設定 OCSF 處理器:

processor:
  - ocsf:
      version: "1.5"
      mapping_version: 1.5.0
      schema:
          microsoft_office365_management_activity:
Parameters
version (必要)

用於轉換的 OCSF 結構描述版本。必須為 1.5

mapping_version (必要)

用於轉換的 OCSF 映射版本。必須是 1.5.0。

schema (必要)

指定資料來源類型的結構描述物件。支援的結構描述取決於管道來源類型 - 每個來源類型都有自己的一組相容 OCSF 結構描述。您必須使用符合管道來源類型的結構描述。

此資料表列出支援的結構描述組合。

管道來源類型 支援的結構描述 版本 映射版本
cloudwatch_logs cloud_trail: 1.5 非必要
cloudwatch_logs route53_resolver: 1.5 非必要
cloudwatch_logs vpc_flow: 1.5 非必要
cloudwatch_logs eks_audit: 1.5 非必要
cloudwatch_logs aws_waf: 1.5 非必要
s3 任何 OCSF 結構描述 任何 任何
microsoft_office365 microsoft_office365: 1.5 1.5.0
microsoft_entraid microsoft_entraid: 1.5 1.5.0
microsoft_windows_event microsoft_windows_event: 1.5 1.5.0
paloaltonetworks_nextgenerationfirewall paloaltonetworks_nextgenerationfirewall: 1.5 1.5.0
okta_auth0 okta_auth0: 1.5 1.5.0
okta_sso okta_sso: 1.5 1.5.0
crowdstrike_falcon crowdstrike_falcon: 1.5 1.5.0
github_auditlogs github_auditlogs: 1.5 1.5.0
sentinelone_endpointsecurity sentinelone_endpointsecurity: 1.5 1.5.0
servicenow_cmdb servicenow_cmdb: 1.5 1.5.0
wiz_cnapp wiz_cnapp: 1.5 1.5.0
zscaler_internetaccess zscaler_internetaccess: 1.5 1.5.0

CSV 處理器

將 CSV 格式的資料剖析為結構化欄位。

Configuration

使用下列參數設定 CSV 處理器:

processor:
  - csv:      
      column_names: ["col1", "col2", "col3"]
      delimiter: ","
      quote_character: '"'
Parameters
column_names (選用)

剖析欄位的資料欄名稱陣列。最多 100 個資料欄,每個名稱最多 128 個字元。如果未提供,則預設為 column_1、Column_2 等。

delimiter (選用)

用來分隔 CSV 欄位的字元。必須是單一字元。預設為逗號 (,)。

quote_character (選用)

用來引號包含分隔符號的 CSV 欄位的字元。必須是單一字元。預設為雙引號 (")。

若要使用處理器而不指定其他參數,請使用下列命令:

processor:
  - csv: {}

Grok 處理器

使用 Grok 模式剖析非結構化資料。每個管道最多支援 1 個 Grok。如需 CloudWatch Logs 中 Grok 轉換器的詳細資訊,請參閱CloudWatch《CloudWatch Logs 使用者指南》中的可使用的處理器

Configuration

使用下列參數設定 Grok 處理器:

當資料來源是字典時,您可以使用此組態:

processor:
  - grok:      
      match:
       source_key: ["%{WORD:level} %{GREEDYDATA:msg}"]

當資料來源為 CloudWatch Logs 時,您可以使用此組態:

processor:
  - grok:      
      match:
       source_key: ["%{WORD:level} %{GREEDYDATA:msg}"]
Parameters
match (必要)

使用 Grok 模式進行欄位映射。僅允許一個欄位映射。

match.<field> (必要)

具有單一 Grok 模式的陣列。每個模式最多 512 個字元。

VPC 處理器

將 VPC 流程日誌資料剖析為結構化欄位。

Configuration

使用下列參數設定 VPC 處理器:

processor:
  - parse_vpc: {}

JSON 處理器

將 JSON 資料剖析為結構化欄位。

Configuration

使用下列參數設定 JSON 處理器:

processor:
  - parse_json:
      source: "message"
      destination: "parsed_json"
Parameters
source (選用)

包含要剖析之 JSON 資料的欄位。如果省略,則會處理整個日誌訊息

destination (選用)

將存放剖析 JSON 的欄位。如果省略,剖析的欄位會新增至根層級

Route 53 處理器

將 Route 53 解析程式日誌資料剖析至結構化欄位。

Configuration

使用下列參數設定 Route 53 處理器:

processor:
  - parse_route53: {}

鍵值處理器

將鍵值對格式化資料剖析為結構化欄位。

Configuration

使用下列參數設定鍵值處理器:

processor:
  - key_value:
      source: "message"
      destination: "parsed_kv"
      field_delimiter: "&"
      key_value_delimiter: "="
Parameters
source (選用)

包含鍵值資料的欄位。最多 128 個字元。

destination (選用)

剖析鍵值對的目標欄位。最多 128 個字元。

field_delimiter (選用)

分割鍵/值對的模式。最多 10 個字元。

key_value_delimiter (選用)

從值分割索引鍵的模式。最多 10 個字元。

overwrite_if_destination_exists (選用)

是否覆寫現有的目的地欄位。

prefix (選用)

要新增至解壓縮金鑰的字首。最多 128 個字元。

non_match_value (選用)

沒有相符項目之金鑰的值。最多 128 個字元。

若要使用處理器而不指定其他參數,請使用下列命令:

processor:
  - key_value: {}