› › ›

社区 ID 处理器

社区 ID 处理器编辑

根据社区 ID 规范计算网络流量数据的社区 ID。您可以使用社区 ID 来关联与单个流量相关的网络事件。

社区 ID 处理器默认从相关的 Elastic 通用模式 (ECS) 字段读取网络流量数据。如果您使用 ECS，则无需配置。

表 8. 社区 ID 选项

名称	必需	默认值	描述
`source_ip`	否	`source.ip`	包含源 IP 地址的字段。
`source_port`	否	`source.port`	包含源端口的字段。
`destination_ip`	否	`destination.ip`	包含目标 IP 地址的字段。
`destination_port`	否	`destination.port`	包含目标端口的字段。
`iana_number`	否	`network.iana_number`	包含 IANA 编号的字段。目前支持以下协议编号：`1` ICMP、`2` IGMP、`6` TCP、`17` UDP、`47` GRE、`58` ICMP IPv6、`88` EIGRP、`89` OSPF、`103` PIM 和 `132` SCTP。
`icmp_type`	否	`icmp.type`	包含 ICMP 类型的字段。
`icmp_code`	否	`icmp.code`	包含 ICMP 代码的字段。
`transport`	否	`network.transport`	包含传输协议的字段。仅在 `iana_number` 字段不存在时使用。
`target_field`	否	`network.community_id`	社区 ID 的输出字段。
`seed`	否	`0`	社区 ID 哈希的种子。必须介于 0 到 65535（含）之间。种子可以防止网络域之间的哈希冲突，例如使用相同地址方案的暂存和生产网络。
`ignore_missing`	否	`true`	如果 `true` 并且任何必需字段丢失，处理器将静默退出，不会修改文档。
`description`	否	-	处理器的描述。用于描述处理器的目的或其配置。
`if`	否	-	有条件地执行处理器。请参阅有条件地运行处理器。
`ignore_failure`	否	`false`	忽略处理器的故障。请参阅处理管道故障。
`on_failure`	否	-	处理处理器的故障。请参阅处理管道故障。
`tag`	否	-	处理器的标识符。用于调试和指标。

以下是一个社区 ID 处理器的示例定义

{
  "description" : "...",
  "processors" : [
    {
      "community_id": {
      }
    }
  ]
}

当上述处理器在以下文档上执行时

{
  "_source": {
    "source": {
      "ip": "123.124.125.126",
      "port": 12345
    },
    "destination": {
      "ip": "55.56.57.58",
      "port": 80
    },
    "network": {
      "transport": "TCP"
    }
  }
}

它会产生以下结果

"_source" : {
  "destination" : {
    "port" : 80,
    "ip" : "55.56.57.58"
  },
  "source" : {
    "port" : 12345,
    "ip" : "123.124.125.126"
  },
  "network" : {
    "community_id" : "1:9qr9Z1LViXcNwtLVOHZ3CL8MlyM=",
    "transport" : "TCP"
  }
}

« 圆形处理器转换处理器 »