› ›

社区 ID 网络流量哈希

编辑

社区 ID 网络流量哈希

编辑

community_id 处理器根据 Community ID 流量哈希规范计算网络流量哈希。

流量哈希用于关联与单个流量相关的所有网络事件。例如，您可以根据社区 ID 值进行过滤，并可能获得来自多个收集器的 Netflow 记录以及来自网络数据包捕获集成的第 7 层协议记录。

默认情况下，处理器配置为从相应的 Elastic Common Schema (ECS) 字段读取流量参数。如果您正在处理 ECS 数据，则不需要任何参数。

示例

编辑

  - community_id:

如果数据不符合 ECS，则可以自定义处理器从中读取的字段名称。您还可以更改写入计算出的哈希值的目标字段。例如

  - community_id:
      fields:
        source_ip: my_source_ip
        source_port: my_source_port
        destination_ip: my_dest_ip
        destination_port: my_dest_port
        iana_number: my_iana_number
        transport: my_transport
        icmp_type: my_icmp_type
        icmp_code: my_icmp_code
      target: network.community_id

如果事件中不存在必要的字段，则处理器将静默继续，而不会添加目标字段。

配置设置

编辑

Elastic Agent 处理器在摄取管道之前执行，这意味着它们处理原始事件数据而不是发送到 Elasticsearch 的最终事件。有关相关限制，请参阅使用处理器的某些限制是什么？

名称	必需	描述
`fields`	否	处理器从中读取的字段名称 `source_ip` 包含源 IP 地址的字段。 `source_port` 包含源端口的字段。 `destination_ip` 包含目标 IP 地址的字段。 `destination_port` 包含目标端口的字段。 `iana_number` 包含 IANA 编号的字段。目前支持以下协议编号：1 ICMP、2 IGMP、6 TCP、17 UDP、47 GRE、58 ICMP IPv6、88 EIGRP、89 OSPF、103 PIM 和 132 SCTP。 `transport` 包含传输协议的字段。仅当 `iana_number` 字段不存在时使用。 `icmp_type` 包含 ICMP 类型的字段。 `icmp_code` 包含 ICMP 代码的字段。
`target`	否	写入计算出的哈希值的字段。
`seed`	否	社区 ID 哈希的种子。必须介于 0 和 65535（含）之间。种子可以防止网络域（例如使用相同寻址方案的暂存和生产网络）之间的哈希冲突。此设置生成一个 16 位无符号整数，该整数将合并到所有生成的哈希中。

« 添加标签转换字段类型 »