› ›

社区 ID 网络流量哈希

社区 ID 网络流量哈希编辑

community_id 处理器根据社区 ID 流量哈希规范计算网络流量哈希。

流量哈希对于关联与单个流量相关的所有网络事件很有用。例如，您可以根据社区 ID 值进行过滤，您可能会获得来自多个收集器的 Netflow 记录以及来自网络数据包捕获集成的第 7 层协议记录。

默认情况下，处理器配置为从相应的 Elastic 通用模式 (ECS) 字段读取流量参数。如果您正在处理 ECS 数据，则不需要任何参数。

示例编辑

  - community_id:

如果数据不符合 ECS，您可以自定义处理器读取的字段名称。您还可以更改写入计算出的哈希值的目標字段。例如

  - community_id:
      fields:
        source_ip: my_source_ip
        source_port: my_source_port
        destination_ip: my_dest_ip
        destination_port: my_dest_port
        iana_number: my_iana_number
        transport: my_transport
        icmp_type: my_icmp_type
        icmp_code: my_icmp_code
      target: network.community_id

如果事件中不存在必要的字段，处理器将静默继续，而不会添加目标字段。

配置设置编辑

Elastic Agent 处理器在摄取管道 *之前* 执行，这意味着它们处理原始事件数据而不是发送到 Elasticsearch 的最终事件。有关相关限制，请参阅使用处理器的局限性是什么？

名称	必需	描述
`fields`	否	处理器读取的字段名称 `source_ip` 包含源 IP 地址的字段。 `source_port` 包含源端口的字段。 `destination_ip` 包含目标 IP 地址的字段。 `destination_port` 包含目标端口的字段。 `iana_number` 包含 IANA 编号的字段。目前支持以下协议编号：1 ICMP、2 IGMP、6 TCP、17 UDP、47 GRE、58 ICMP IPv6、88 EIGRP、89 OSPF、103 PIM 和 132 SCTP。 `transport` 包含传输协议的字段。仅在 `iana_number` 字段不存在时使用。 `icmp_type` 包含 ICMP 类型的字段。 `icmp_code` 包含 ICMP 代码的字段。
`target`	否	写入计算出的哈希值的字段。
`seed`	否	社区 ID 哈希的种子。必须介于 0 到 65535（含）之间。种子可以防止网络域之间的哈希冲突，例如使用相同寻址方案的暂存和生产网络。此设置会导致一个 16 位无符号整数，该整数将被合并到所有生成的哈希中。

« 添加标签转换字段类型 »