› › ›

Community ID 处理器

根据 Community ID 规范的定义，计算网络流数据的 Community ID。您可以使用 Community ID 来关联与单个流相关的网络事件。

Community ID 处理器默认从相关的 Elastic Common Schema (ECS) 字段读取网络流数据。如果您使用 ECS，则无需任何配置。

表 8. Community ID 选项

名称	必需	默认值	描述
`source_ip`	否	`source.ip`	包含源 IP 地址的字段。
`source_port`	否	`否`	source.port
`包含源端口的字段。`	否	`destination_ip`	否
`destination.ip`	否	`包含目标 IP 地址的字段。`	destination_port
`否`	否	`destination.port`	包含目标端口的字段。
`iana_number`	否	`否`	network.iana_number
`包含 IANA 号码的字段。`	否	`icmp_type`	否
`icmp.type`	否	`包含 ICMP 类型的字段。`	icmp_code
`否`	否	`icmp.code`	包含 ICMP 代码的字段。
`transport`	否	`0`	否
`network.transport`	否	`包含传输协议名称或编号的字段。仅当 iana_number 字段不存在时才使用。目前支持以下协议名称：ICMP、IGMP、TCP、UDP、GRE、ICMP IPv6、EIGRP、OSPF、PIM 和 SCTP。`	target_field
`否`	否	-	network.community_id
`Community ID 的输出字段。`	否	-	seed
`否`	否	`用于 Community ID 哈希的种子。必须介于 0 到 65535（含）之间。种子可以防止使用相同寻址方案的网络域（例如暂存网络和生产网络）之间发生哈希冲突。`	ignore_missing
`否`	否	-	true
`如果 true 且缺少任何必需字段，则处理器会静默退出，而不修改文档。`	否	-	description

否

{
  "description" : "...",
  "processors" : [
    {
      "community_id": {
      }
    }
  ]
}

处理器的描述。用于描述处理器的用途或其配置。

{
  "_source": {
    "source": {
      "ip": "123.124.125.126",
      "port": 12345
    },
    "destination": {
      "ip": "55.56.57.58",
      "port": 80
    },
    "network": {
      "transport": "TCP"
    }
  }
}

"_source" : {
  "destination" : {
    "port" : 80,
    "ip" : "55.56.57.58"
  },
  "source" : {
    "port" : 12345,
    "ip" : "123.124.125.126"
  },
  "network" : {
    "community_id" : "1:9qr9Z1LViXcNwtLVOHZ3CL8MlyM=",
    "transport" : "TCP"
  }
}

« Circle 处理器转换处理器 »