解码 CEF

编辑

decode_cef 处理器解码通用事件格式 (CEF) 消息。

此处理器仅适用于日志输入。

示例

编辑

在此示例中,message 字段在重命名为 event.original 后被解码为 CEF。最好将 message 重命名为 event.original,因为解码后的 CEF 数据包含其自己的 message 字段。

  - rename:
      fields:
        - {from: "message", to: "event.original"}
  - decode_cef:
      field: event.original

配置设置

编辑

Elastic Agent 处理器在摄取管道之前执行,这意味着您的处理器配置无法引用由摄取管道或 Logstash 创建的字段。有关更多限制,请参阅使用处理器的限制有哪些?

名称 必需 默认 描述

field

message

包含要解析的 CEF 消息的源字段。

target_field

cef

解析后的 CEF 对象将写入的目标字段。

ecs

true

是否从 CEF 数据生成 Elastic Common Schema (ECS) 字段。某些 CEF 标头和扩展值将用于填充 ECS 字段。

timezone

UTC

IANA 时区名称(例如,America/New_York)或固定时间偏移量(例如,+0200),用于解析不包含时区的时间。指定 Local 以使用计算机的本地时区。

ignore_missing

false

当源字段缺失时是否忽略错误。

ignore_failure

false

当源字段不包含 CEF 消息时是否忽略失败。

id

此处理器实例的标识符。有助于调试。