社区 ID 网络流量哈希
编辑社区 ID 网络流量哈希编辑
community_id 处理器根据 社区 ID 流量哈希规范 计算网络流量哈希。
流量哈希对于关联与单个流量相关的所有网络事件非常有用。例如,您可以根据社区 ID 值进行过滤,然后可能会获得来自多个收集器的 Netflow 记录以及来自 Packetbeat 的第 7 层协议记录。
默认情况下,处理器配置为从相应的 Elastic 通用模式 (ECS) 字段读取流量参数。如果您正在处理 ECS 数据,则不需要任何参数。
processors: - community_id:
如果数据不符合 ECS,则可以自定义处理器读取的字段名称。您还可以更改 target 字段,该字段是计算后的哈希写入的位置。
processors:
- community_id:
fields:
source_ip: my_source_ip
source_port: my_source_port
destination_ip: my_dest_ip
destination_port: my_dest_port
iana_number: my_iana_number
transport: my_transport
icmp_type: my_icmp_type
icmp_code: my_icmp_code
target: network.community_id
如果事件中不存在必要的字段,则处理器将静默继续,而不会添加目标字段。
处理器还接受一个可选的 seed 参数,该参数必须是一个 16 位无符号整数。此值将合并到所有生成的哈希中。