解码 CEF
编辑解码 CEF
编辑decode_cef
处理器解码通用事件格式 (CEF) 消息。
此处理器仅适用于日志输入。
示例
编辑在此示例中,message
字段在重命名为 event.original
后被解码为 CEF。最好将 message
重命名为 event.original
,因为解码后的 CEF 数据包含其自己的 message
字段。
- rename: fields: - {from: "message", to: "event.original"} - decode_cef: field: event.original
配置设置
编辑Elastic Agent 处理器在摄取管道之前执行,这意味着您的处理器配置无法引用由摄取管道或 Logstash 创建的字段。有关更多限制,请参阅使用处理器的限制有哪些?
名称 | 必需 | 默认 | 描述 |
---|---|---|---|
|
否 |
|
包含要解析的 CEF 消息的源字段。 |
|
否 |
|
解析后的 CEF 对象将写入的目标字段。 |
|
否 |
|
是否从 CEF 数据生成 Elastic Common Schema (ECS) 字段。某些 CEF 标头和扩展值将用于填充 ECS 字段。 |
|
否 |
|
IANA 时区名称(例如, |
|
否 |
|
当源字段缺失时是否忽略错误。 |
|
否 |
false |
当源字段不包含 CEF 消息时是否忽略失败。 |
|
否 |
此处理器实例的标识符。有助于调试。 |