› ›

解码 CEF

decode_cef 处理器用于解码通用事件格式 (CEF) 消息。

此处理器仅适用于日志输入。

在此示例中，message 字段在重命名为 event.original 后被解码为 CEF。最好将 message 重命名为 event.original，因为解码后的 CEF 数据包含其自己的 message 字段。

  - rename:
      fields:
        - {from: "message", to: "event.original"}
  - decode_cef:
      field: event.original

Elastic Agent 处理器在摄取管道之前执行，这意味着您的处理器配置不能引用由摄取管道或 Logstash 创建的字段。有关更多限制，请参阅使用处理器的局限性是什么？

名称	必填	默认值	描述
`field`	否	`message`	包含要解析的 CEF 消息的源字段。
`target_field`	否	`cef`	将解析后的 CEF 对象写入的目标字段。
`ecs`	否	`true`	是否从 CEF 数据生成 Elastic Common Schema (ECS) 字段。某些 CEF 标头和扩展值将用于填充 ECS 字段。
`timezone`	否	`UTC`	解析不包含时区的时段时要使用的 IANA 时区名称（例如，`America/New_York`）或固定时区偏移量（例如，`+0200`）。指定 `Local` 以使用机器的本地时区。
`ignore_missing`	否	`false`	源字段缺失时是否忽略错误。
`ignore_failure`	否	false	源字段不包含 CEF 消息时是否忽略错误。
`id`	否		此处理器实例的标识符。用于调试。