翻译 SID

编辑

translate_sid处理器将Windows安全标识符 (SID) 转换为帐户名称。它检索与SID关联的帐户名称、找到SID的第一个域以及帐户类型。此功能仅在Windows上可用。

每个网络帐户在首次创建时都会获得一个唯一的SID。Windows中的内部进程引用帐户的SID而不是帐户的用户或组名称,这些值有时会出现在日志中。

如果SID无效(格式错误)或未映射到本地系统或域上的任何帐户,则除非设置了ignore_failure,否则处理器将返回错误。

processors:
  - translate_sid:
      field: winlog.event_data.MemberSid
      account_name_target: user.name
      domain_target: user.domain
      ignore_missing: true
      ignore_failure: true

translate_sid 处理器具有以下配置设置

表 7. 翻译 SID 选项

名称 必需 默认值 描述

field

包含Windows安全标识符 (SID) 的源字段。

account_name_target

是*

帐户名称值的目标字段。

account_type_target

是*

帐户类型值的字段。

domain_target

是*

域值的字段。

ignore_missing

false

源字段缺失时忽略错误。

ignore_failure

false

忽略处理器产生的所有错误。

* 至少需要配置account_name_targetaccount_type_targetdomain_target中的一个。