翻译 SID
编辑翻译 SID
编辑translate_sid 处理器将 Windows 安全标识符 (SID) 转换为帐户名。它检索与 SID 关联的帐户名称、找到 SID 的第一个域以及帐户类型。此功能仅在 Windows 上可用。
网络上的每个帐户在首次创建时都会被分配一个唯一的 SID。Windows 中的内部进程引用帐户的 SID 而不是帐户的用户名或组名,这些值有时会出现在日志中。
如果 SID 无效(格式错误)或未映射到本地系统或域上的任何帐户,则处理器将返回错误,除非设置了 ignore_failure。
示例
编辑 - translate_sid:
field: winlog.event_data.MemberSid
account_name_target: user.name
domain_target: user.domain
ignore_missing: true
ignore_failure: true
配置设置
编辑Elastic Agent 处理器在摄取管道之前执行,这意味着您的处理器配置不能引用由摄取管道或 Logstash 创建的字段。有关更多限制,请参阅 使用处理器有哪些限制?
| 名称 | 必需 | 默认值 | 描述 |
|---|---|---|---|
|
是 |
包含 Windows 安全标识符 (SID) 的源字段。 |
|
|
是* |
帐户名值的目标字段。 |
|
|
是* |
帐户类型值的目标字段。 |
|
|
是* |
域值的目标字段。 |
|
|
否 |
|
当源字段丢失时忽略错误。 |
|
否 |
|
忽略处理器产生的所有错误。 |
* 必须配置 account_name_target、account_type_target 和 domain_target 中的至少一个。