翻译 SID
编辑翻译 SID
编辑translate_sid
处理器将 Windows 安全标识符 (SID) 转换为帐户名称。它检索与 SID 关联的帐户名称、找到 SID 的第一个域以及帐户类型。这仅在 Windows 上可用。
网络上的每个帐户在首次创建时都会获得一个唯一的 SID。Windows 中的内部进程引用帐户的 SID 而不是帐户的用户或组名称,并且这些值有时会出现在日志中。
如果 SID 无效(格式错误)或未映射到本地系统或域上的任何帐户,则除非设置了 ignore_failure
,否则处理器将返回错误。
processors: - translate_sid: field: winlog.event_data.MemberSid account_name_target: user.name domain_target: user.domain ignore_missing: true ignore_failure: true
translate_sid
处理器具有以下配置设置
表 4. 翻译 SID 选项
名称 | 必需 | 默认值 | 描述 |
---|---|---|---|
|
是 |
包含 Windows 安全标识符 (SID) 的源字段。 |
|
|
是* |
帐户名称值的目标字段。 |
|
|
是* |
帐户类型值的目标字段。 |
|
|
是* |
域值的目标字段。 |
|
|
否 |
false |
源字段丢失时忽略错误。 |
|
否 |
false |
忽略处理器产生的所有错误。 |
* 至少需要配置 account_name_target
、account_type_target
和 domain_target
之一。