解码 CEF
编辑解码 CEF编辑
decode_cef 处理器可以解码通用事件格式 (CEF) 消息。它遵循 Micro Focus Security ArcSight Common Event Format, Version 25 中定义的规范。此处理器在 Filebeat 中可用。以下是一个 CEF 消息示例。
CEF:0|SomeVendor|TheProduct|1.0|100|connection to malware C2 successfully stopped|10|src=192.0.2.10 dst=203.0.113.2 spt=31224
CEF: 之前的任何内容都将被忽略。这允许处理器直接从包含 syslog 标头的消息中解析 CEF 内容。
以下是一个配置示例,它在将 message 字段重命名为 event.original 后,将其解码为 CEF。最好将 message 重命名为 event.original,因为解码后的 CEF 数据包含其自身的 message 字段。
processors:
- rename:
fields:
- {from: "message", to: "event.original"}
- decode_cef:
field: event.original
decode_cef 处理器具有以下配置设置。
表 1. 解码 CEF 选项
| 名称 | 必填 | 默认值 | 描述 | |
|---|---|---|---|---|
|
否 |
message |
包含要解析的 CEF 消息的源字段。 |
|
|
否 |
cef |
将写入解析后的 CEF 对象的目标字段。 |
|
|
否 |
true |
从 CEF 数据生成 Elastic Common Schema (ECS) 字段。某些 CEF 标头和扩展值将用于填充 ECS 字段。 |
|
|
否 |
UTC |
IANA 时区名称(例如 |
|
|
否 |
false |
忽略源字段缺失时的错误。 |
|
|
否 |
false |
忽略源字段不包含 CEF 消息时的错误。 |
|
|
否 |
此处理器实例的标识符。对调试很有用。 |