› › ›

解码 CEF

decode_cef处理器用于解码通用事件格式 (CEF) 消息。它遵循《Micro Focus Security ArcSight 通用事件格式，版本 25》中定义的规范。此处理器在 Filebeat 中可用。这是一个 CEF 消息示例。

CEF:0|SomeVendor|TheProduct|1.0|100|connection to malware C2 successfully stopped|10|src=192.0.2.10 dst=203.0.113.2 spt=31224

任何在 CEF: 之前的內容都将被忽略。这允许处理器直接从包含 syslog 头的消息中解析 CEF 内容。

以下是一个示例配置，它在将 message 字段重命名为 event.original 后，将该字段解码为 CEF。最好将 message 重命名为 event.original，因为解码后的 CEF 数据包含它自己的 message 字段。

processors:
  - rename:
      fields:
        - {from: "message", to: "event.original"}
  - decode_cef:
      field: event.original

decode_cef 处理器具有以下配置设置。

表 1. 解码 CEF 选项

名称	必填	默认值	描述
`field`	否	message	包含要解析的 CEF 消息的源字段。
`target_field`	否	cef	将解析的 CEF 对象写入的目标字段。
`ecs`	否	true	从 CEF 数据生成 Elastic 通用模式 (ECS) 字段。某些 CEF 头部和扩展值将用于填充 ECS 字段。
`timezone`	否	UTC	IANA 时区名称（例如 `America/New_York`）或固定时区偏移量（例如 `+0200`），用于解析不包含时区的時間。可以指定 `Local` 来使用机器的本地时区。
`ignore_missing`	否	false	源字段缺失时忽略错误。
`ignore_failure`	否	false	当源字段不包含 CEF 消息时忽略错误。
`ignore_empty_values`	否	false	忽略值为空的 CEF 扩展名（例如 `spt= type=1`）
`id`	否		此处理器实例的标识符。对调试很有用。