› › ›

解码 CEF

decode_cef 处理器解码通用事件格式 (CEF) 消息。它遵循Micro Focus Security ArcSight 通用事件格式，版本 25中定义的规范。此处理器在 Filebeat 中可用。这是一个 CEF 消息的示例。

CEF:0|SomeVendor|TheProduct|1.0|100|成功停止连接到恶意软件 C2|10|src=192.0.2.10 dst=203.0.113.2 spt=31224

任何在 CEF: 之前的内容都将被忽略。这允许处理器直接从包含 syslog 标头的消息中解析 CEF 内容。

以下是一个示例配置，该配置在将 message 字段重命名为 event.original 后将其解码为 CEF。最好将 message 重命名为 event.original，因为解码后的 CEF 数据包含其自己的 message 字段。

processors:
  - rename:
      fields:
        - {from: "message", to: "event.original"}
  - decode_cef:
      field: event.original

decode_cef 处理器具有以下配置设置。

表 1. 解码 CEF 选项

名称	必需	默认值	描述
`field`	否	message	包含要解析的 CEF 消息的源字段。
`target_field`	否	cef	将在其中写入已解析的 CEF 目标字段。
`ecs`	否	true	从 CEF 数据生成 Elastic Common Schema (ECS) 字段。某些 CEF 标头和扩展值将用于填充 ECS 字段。
`timezone`	否	UTC	IANA 时区名称（例如，`America/New_York`）或固定的时间偏移量（例如，`+0200`），用于在解析不包含时区的时间时使用。`Local` 可以指定为使用机器的本地时区。
`ignore_missing`	否	false	当源字段丢失时忽略错误。
`ignore_failure`	否	false	当源字段不包含 CEF 消息时忽略失败。
`ignore_empty_values`	否	false	忽略具有空值的 CEF 扩展（例如，`spt= type=1`）
`id`	否		此处理器实例的标识符。用于调试。