› › ›

转换 GUID

编辑

转换 GUID

编辑

translate_ldap_attribute 处理器用于在 LDAP 属性之间进行转换。它通常用于将 AD 全局唯一标识符 (GUID) 转换为它们的通用名称。

Active Directory 或 LDAP 服务器上的每个对象都会被分配一个 GUID。内部进程引用它们的 GUID，而不是对象的名称，并且这些值有时会出现在日志中。

如果搜索属性无效（格式错误）或者未映射到域中的任何对象，则会导致处理器返回错误，除非设置了 ignore_failure。

此操作的结果是一个值数组，因为单个属性可以保存多个值。

注意：搜索属性应该映射到单个对象。如果不映射，则不会返回任何错误，但只会将第一个条目的结果添加到事件中。

processors:
  - translate_ldap_attribute:
      field: winlog.event_data.ObjectGuid
      ldap_address: "ldap://"
      ldap_base_dn: "dc=example,dc=com"
      ignore_missing: true
      ignore_failure: true

translate_ldap_attribute 处理器具有以下配置设置

表 7. 转换 GUID 选项

名称	必需	默认值	描述
`field`	是		包含 GUID 的源字段。
`target_field`	否		映射属性值的目标字段。如果未设置，则将在原位置替换。
`ldap_address`	是		LDAP 服务器地址。例如： `ldap://ds.example.com:389`
`ldap_base_dn`	是		LDAP 基本 DN。例如： `dc=example,dc=com`
`ldap_bind_user`	否		LDAP 用户。
`ldap_bind_password`	否		LDAP 密码。
`ldap_search_attribute`	是	`objectGUID`	要搜索的 LDAP 属性。
`ldap_mapped_attribute`	是	`cn`	要映射到的 LDAP 属性。
`ldap_search_time_limit`	否	30	LDAP 搜索时间限制（以秒为单位）。
`ldap_ssl`*	否	30	LDAP TLS/SSL 连接设置。
`ignore_missing`	否	false	当源字段缺失时忽略错误。
`ignore_failure`	否	false	忽略处理器产生的所有错误。

* 另请参阅 SSL 以获取 ldap_ssl 选项的完整描述。

如果搜索速度较慢或者您预计会找到大量不同的键属性，请考虑使用缓存处理器来加快处理速度

processors:
  - cache:
      backend:
        memory:
          id: ldapguids
      get:
        key_field: winlog.event_data.ObjectGuid
        target_field: winlog.common_name
      ignore_missing: true
  - if:
      not:
        - has_fields: winlog.common_name
    then:
      - translate_ldap_attribute:
          field: winlog.event_data.ObjectGuid
          target_field: winlog.common_name
          ldap_address: "ldap://"
          ldap_base_dn: "dc=example,dc=com"
      - cache:
          backend:
            memory:
              id: ldapguids
            capacity: 10000
          put:
            key_field: winlog.event_data.ObjectGuid
            value_field: winlog.common_name

« 时间戳转换 SID »