社区 ID 网络流哈希
编辑社区 ID 网络流哈希
编辑community_id
处理器根据社区 ID 流哈希规范计算网络流哈希。
流哈希用于关联与单个流相关的全部网络事件。例如,您可以根据社区 ID 值进行筛选,然后可能获得来自多个收集器的 Netflow 记录以及来自 Packetbeat 的第 7 层协议记录。
默认情况下,处理器配置为从相应的 Elastic 通用架构 (ECS) 字段读取流参数。如果您正在处理 ECS 数据,则不需要任何参数。
processors: - community_id:
如果数据不符合 ECS,则可以自定义处理器从中读取的字段名称。您还可以更改target
字段,计算出的哈希值将写入该字段。
processors: - community_id: fields: source_ip: my_source_ip source_port: my_source_port destination_ip: my_dest_ip destination_port: my_dest_port iana_number: my_iana_number transport: my_transport icmp_type: my_icmp_type icmp_code: my_icmp_code target: network.community_id
如果事件中不存在必要的字段,则处理器将静默继续,而不会添加目标字段。
处理器还接受一个可选的seed
参数,该参数必须是 16 位无符号整数。此值将合并到所有生成的哈希值中。