New

The executive guide to generative AI

Read more
About usPartnersSupport|Login
« Circle 处理器 转换处理器 »
Elastic 文档 Elasticsearch 指南 [8.17] Ingest 管道 Ingest 处理器参考

Community ID 处理器

编辑

Community ID 处理器

编辑

根据 Community ID 规范的定义,计算网络流数据的 Community ID。您可以使用 Community ID 来关联与单个流相关的网络事件。

Community ID 处理器默认从相关的 Elastic Common Schema (ECS) 字段读取网络流数据。如果您使用 ECS,则无需任何配置。

表 8. Community ID 选项

名称 必需 默认值 描述

source_ip

source.ip

包含源 IP 地址的字段。

source_port

source.port

包含源端口的字段。

destination_ip

destination.ip

包含目标 IP 地址的字段。

destination_port

destination.port

包含目标端口的字段。

iana_number

network.iana_number

包含 IANA 号码的字段。

icmp_type

icmp.type

包含 ICMP 类型的字段。

icmp_code

icmp.code

包含 ICMP 代码的字段。

transport

0

network.transport

包含传输协议名称或编号的字段。仅当 iana_number 字段不存在时才使用。目前支持以下协议名称:ICMPIGMPTCPUDPGREICMP IPv6EIGRPOSPFPIMSCTP

target_field

-

network.community_id

Community ID 的输出字段。

-

seed

用于 Community ID 哈希的种子。必须介于 0 到 65535(含)之间。种子可以防止使用相同寻址方案的网络域(例如暂存网络和生产网络)之间发生哈希冲突。

ignore_missing

-

true

如果 true 且缺少任何必需字段,则处理器会静默退出,而不修改文档。

-

description

 

{
  "description" : "...",
  "processors" : [
    {
      "community_id": {
      }
    }
  ]
}

处理器的描述。用于描述处理器的用途或其配置。

{
  "_source": {
    "source": {
      "ip": "123.124.125.126",
      "port": 12345
    },
    "destination": {
      "ip": "55.56.57.58",
      "port": 80
    },
    "network": {
      "transport": "TCP"
    }
  }
}

if

"_source" : {
  "destination" : {
    "port" : 80,
    "ip" : "55.56.57.58"
  },
  "source" : {
    "port" : 12345,
    "ip" : "123.124.125.126"
  },
  "network" : {
    "community_id" : "1:9qr9Z1LViXcNwtLVOHZ3CL8MlyM=",
    "transport" : "TCP"
  }
}
« Circle 处理器 转换处理器 »
Was this helpful?
Feedback