› ›

Cef 编解码器插件

编辑

Cef 编解码器插件

编辑

插件版本: v6.2.8
发布日期: 2024-10-22
变更日志

对于其他版本，请参阅版本化插件文档。

获取帮助

编辑

有关插件的问题，请在 Discuss 论坛中发起主题讨论。对于错误或功能请求，请在 Github 中提交问题。有关 Elastic 支持的插件列表，请参阅 Elastic 支持矩阵。

描述

编辑

ArcSight 通用事件格式 (CEF) 的 Logstash 编解码器实现。它基于实施 ArcSight CEF 修订版 25，2017 年 9 月。

如果此编解码器从输入接收到的有效负载不是有效的 CEF 消息，则它会生成一个事件，其中有效负载作为 message 字段，并带有 _cefparsefailure 标签。

与 Elastic 通用架构 (ECS) 的兼容性

编辑

此插件可用于将 CEF 事件解码到 Elastic 通用架构中，或将与 ECS 兼容的事件编码为 CEF。它也可以无需 ECS，仅使用 CEF 定义的字段名称和键来编码和解码事件。

特定插件实例的 ECS 兼容模式可以通过在定义编解码器时设置 ecs_compatibility 来控制。

    input {
      tcp {
        # ...
        codec => cef {
          ecs_compatibility => v1
        }
      }
    }

如果未指定，则使用 pipeline.ecs_compatibility 设置的值。

时间戳和 ECS 兼容性

编辑

在 ECS 兼容模式下解码时，时间戳类型字段会被解析并规范化为时间轴上的特定点。

由于 CEF 格式允许使用模棱两可的时间戳格式，因此会做出一些合理的假设。

当时间戳不包含年份时，我们假设它发生在最近的过去（或非常接近的未来，以适应不同步的时钟和时区偏移量）。
当时间戳不包含 UTC 偏移信息时，我们使用事件的时区（dtz 或 deviceTimeZone 字段），或者使用此插件的 default_timezone。
使用提供的 locale 解析本地化时间戳。

字段映射

编辑

每个 CEF 有效负载的标头字段将扩展到以下字段，具体取决于 ECS 是否启用。

标头字段映射

编辑

ECS 已禁用	ECS 字段
`cefVersion`	`[cef][version]`
`deviceVendor`	`[observer][vendor]`
`deviceProduct`	`[observer][product]`
`deviceVersion`	`[observer][version]`
`deviceEventClassId`	`[event][code]`
`name`	`[cef][name]`
`severity`	`[event][severity]`

当使用 ecs_compatibility => disabled 解码 CEF 有效负载时，扩展名中找到的缩写 CEF 键会被扩展，并且 CEF 字段名称会被插入到事件的根级别。

在 ECS 兼容模式下解码时，ECS 字段将从相应的 CEF 字段名称或有效负载扩展名中找到的 CEF 键填充。

以下是这些字段之间的映射。

扩展字段映射

编辑

CEF 字段名称（可选 CEF 键）	ECS 字段
`agentAddress` (`agt`)	`[agent][ip]`
`agentDnsDomain`	`[cef][agent][registered_domain]` 多个可能的 CEF 字段映射到此 ECS 字段。解码时，遇到的最后一个条目获胜。编码时，此字段具有更高优先级。
`agentHostName` (`ahost`)	`[agent][name]`
`agentId` (`aid`)	`[agent][id]`
`agentMacAddress` (`amac`)	`[agent][mac]`
`agentNtDomain`	`[cef][agent][registered_domain]` 多个可能的 CEF 字段映射到此 ECS 字段。解码时，遇到的最后一个条目获胜。编码时，此字段具有更低优先级。
`agentReceiptTime` (`art`)	`[event][created]` 此字段包含时间戳。在 ECS 兼容模式下，它会被解析为时间轴上的特定点。
`agentTimeZone` (`atz`)	`[cef][agent][timezone]`
`agentTranslatedAddress`	`[cef][agent][nat][ip]`
`agentTranslatedZoneExternalID`	`[cef][agent][translated_zone][external_id]`
`agentTranslatedZoneURI`	`[cef][agent][translated_zone][uri]`
`agentType` (`at`)	`[agent][type]`
`agentVersion` (`av`)	`[agent][version]`
`agentZoneExternalID`	`[cef][agent][zone][external_id]`
`agentZoneURI`	`[cef][agent][zone][uri]`
`applicationProtocol` (`app`)	`[network][protocol]`
`baseEventCount` (`cnt`)	`[cef][base_event_count]`
`bytesIn` (`in`)	`[source][bytes]`
`bytesOut` (`out`)	`[destination][bytes]`
`categoryDeviceType` (`catdt`)	`[cef][device_type]`
`customerExternalID`	`[organization][id]`
`customerURI`	`[organization][name]`
`destinationAddress` (`dst`)	`[destination][ip]`
`destinationDnsDomain`	`[destination][registered_domain]` 多个可能的 CEF 字段映射到此 ECS 字段。解码时，遇到的最后一个条目获胜。编码时，此字段具有更高优先级。
`destinationGeoLatitude` (`dlat`)	`[destination][geo][location][lat]`
`destinationGeoLongitude` (`dlong`)	`[destination][geo][location][lon]`
`destinationHostName` (`dhost`)	`[destination][domain]`
`destinationMacAddress` (`dmac`)	`[destination][mac]`
`destinationNtDomain` (`dntdom`)	`[destination][registered_domain]` 多个可能的 CEF 字段映射到此 ECS 字段。解码时，遇到的最后一个条目获胜。编码时，此字段具有更低优先级。
`destinationPort` (`dpt`)	`[destination][port]`
`destinationProcessId` (`dpid`)	`[destination][process][pid]`
`destinationProcessName` (`dproc`)	`[destination][process][name]`
`destinationServiceName`	`[destination][service][name]`
`destinationTranslatedAddress`	`[destination][nat][ip]`
`destinationTranslatedPort`	`[destination][nat][port]`
`destinationTranslatedZoneExternalID`	`[cef][destination][translated_zone][external_id]`
`destinationTranslatedZoneURI`	`[cef][destination][translated_zone][uri]`
`destinationUserId` (`duid`)	`[destination][user][id]`
`destinationUserName` (`duser`)	`[destination][user][name]`
`destinationUserPrivileges` (`dpriv`)	`[destination][user][group][name]`
`destinationZoneExternalID`	`[cef][destination][zone][external_id]`
`destinationZoneURI`	`[cef][destination][zone][uri]`
`deviceAction` (`act`)	`[event][action]`
`deviceAddress` (`dvc`)	`[observer][ip]` 当插件配置为 `device => observer` 时
`deviceAddress` (`dvc`)	`[host][ip]` 当插件配置为 `device => host` 时
`deviceCustomFloatingPoint1` (`cfp1`)	`[cef][device_custom_floating_point_1][value]`
`deviceCustomFloatingPoint1Label` (`cfp1Label`)	`[cef][device_custom_floating_point_1][label]`
`deviceCustomFloatingPoint2` (`cfp2`)	`[cef][device_custom_floating_point_2][value]`
`deviceCustomFloatingPoint2Label` (`cfp2Label`)	`[cef][device_custom_floating_point_2][label]`
`deviceCustomFloatingPoint3` (`cfp3`)	`[cef][device_custom_floating_point_3][value]`
`deviceCustomFloatingPoint3Label` (`cfp3Label`)	`[cef][device_custom_floating_point_3][label]`
`deviceCustomFloatingPoint4` (`cfp4`)	`[cef][device_custom_floating_point_4][value]`
`deviceCustomFloatingPoint4Label` (`cfp4Label`)	`[cef][device_custom_floating_point_4][label]`
`deviceCustomFloatingPoint5` (`cfp5`)	`[cef][device_custom_floating_point_5][value]`
`deviceCustomFloatingPoint5Label` (`cfp5Label`)	`[cef][device_custom_floating_point_5][label]`
`deviceCustomFloatingPoint6` (`cfp6`)	`[cef][device_custom_floating_point_6][value]`
`deviceCustomFloatingPoint6Label` (`cfp6Label`)	`[cef][device_custom_floating_point_6][label]`
`deviceCustomFloatingPoint7` (`cfp7`)	`[cef][device_custom_floating_point_7][value]`
`deviceCustomFloatingPoint7Label` (`cfp7Label`)	`[cef][device_custom_floating_point_7][label]`
`deviceCustomFloatingPoint8` (`cfp8`)	`[cef][device_custom_floating_point_8][value]`
`deviceCustomFloatingPoint8Label` (`cfp8Label`)	`[cef][device_custom_floating_point_8][label]`
`deviceCustomFloatingPoint9` (`cfp9`)	`[cef][device_custom_floating_point_9][value]`
`deviceCustomFloatingPoint9Label` (`cfp9Label`)	`[cef][device_custom_floating_point_9][label]`
`deviceCustomFloatingPoint10` (`cfp10`)	`[cef][device_custom_floating_point_10][value]`
`deviceCustomFloatingPoint10Label` (`cfp10Label`)	`[cef][device_custom_floating_point_10][label]`
`deviceCustomFloatingPoint11` (`cfp11`)	`[cef][device_custom_floating_point_11][value]`
`deviceCustomFloatingPoint11Label` (`cfp11Label`)	`[cef][device_custom_floating_point_11][label]`
`deviceCustomFloatingPoint12` (`cfp12`)	`[cef][device_custom_floating_point_12][value]`
`deviceCustomFloatingPoint12Label` (`cfp12Label`)	`[cef][device_custom_floating_point_12][label]`
`deviceCustomFloatingPoint13` (`cfp13`)	`[cef][device_custom_floating_point_13][value]`
`deviceCustomFloatingPoint13Label` (`cfp13Label`)	`[cef][device_custom_floating_point_13][label]`
`deviceCustomFloatingPoint14` (`cfp14`)	`[cef][device_custom_floating_point_14][value]`
`deviceCustomFloatingPoint14Label` (`cfp14Label`)	`[cef][device_custom_floating_point_14][label]`
`deviceCustomFloatingPoint15` (`cfp15`)	`[cef][device_custom_floating_point_15][value]`
`deviceCustomFloatingPoint15Label` (`cfp15Label`)	`[cef][device_custom_floating_point_15][label]`
`deviceCustomIPv6Address1` (`c6a1`)	`[cef][device_custom_ipv6_address_1][value]`
`deviceCustomIPv6Address1Label` (`c6a1Label`)	`[cef][device_custom_ipv6_address_1][label]`
`deviceCustomIPv6Address2` (`c6a2`)	`[cef][device_custom_ipv6_address_2][value]`
`deviceCustomIPv6Address2Label` (`c6a2Label`)	`[cef][device_custom_ipv6_address_2][label]`
`deviceCustomIPv6Address3` (`c6a3`)	`[cef][device_custom_ipv6_address_3][value]`
`deviceCustomIPv6Address3Label` (`c6a3Label`)	`[cef][device_custom_ipv6_address_3][label]`
`deviceCustomIPv6Address4` (`c6a4`)	`[cef][device_custom_ipv6_address_4][value]`
`deviceCustomIPv6Address4Label` (`c6a4Label`)	`[cef][device_custom_ipv6_address_4][label]`
`deviceCustomIPv6Address5` (`c6a5`)	`[cef][device_custom_ipv6_address_5][value]`
`deviceCustomIPv6Address5Label` (`c6a5Label`)	`[cef][device_custom_ipv6_address_5][label]`
`deviceCustomIPv6Address6` (`c6a6`)	`[cef][device_custom_ipv6_address_6][value]`
`deviceCustomIPv6Address6Label` (`c6a6Label`)	`[cef][device_custom_ipv6_address_6][label]`
`deviceCustomIPv6Address7` (`c6a7`)	`[cef][device_custom_ipv6_address_7][value]`
`deviceCustomIPv6Address7Label` (`c6a7Label`)	`[cef][device_custom_ipv6_address_7][label]`
`deviceCustomIPv6Address8` (`c6a8`)	`[cef][device_custom_ipv6_address_8][value]`
`deviceCustomIPv6Address8Label` (`c6a8Label`)	`[cef][device_custom_ipv6_address_8][label]`
`deviceCustomIPv6Address9` (`c6a9`)	`[cef][device_custom_ipv6_address_9][value]`
`deviceCustomIPv6Address9Label` (`c6a9Label`)	`[cef][device_custom_ipv6_address_9][label]`
`deviceCustomIPv6Address10` (`c6a10`)	`[cef][device_custom_ipv6_address_10][value]`
`deviceCustomIPv6Address10Label` (`c6a10Label`)	`[cef][device_custom_ipv6_address_10][label]`
`deviceCustomIPv6Address11` (`c6a11`)	`[cef][device_custom_ipv6_address_11][value]`
`deviceCustomIPv6Address11Label` (`c6a11Label`)	`[cef][device_custom_ipv6_address_11][label]`
`deviceCustomIPv6Address12` (`c6a12`)	`[cef][device_custom_ipv6_address_12][value]`
`deviceCustomIPv6Address12Label` (`c6a12Label`)	`[cef][device_custom_ipv6_address_12][label]`
`deviceCustomIPv6Address13` (`c6a13`)	`[cef][device_custom_ipv6_address_13][value]`
`deviceCustomIPv6Address13Label` (`c6a13Label`)	`[cef][device_custom_ipv6_address_13][label]`
`deviceCustomIPv6Address14` (`c6a14`)	`[cef][device_custom_ipv6_address_14][value]`
`deviceCustomIPv6Address14Label` (`c6a14Label`)	`[cef][device_custom_ipv6_address_14][label]`
`deviceCustomIPv6Address15` (`c6a15`)	`[cef][device_custom_ipv6_address_15][value]`
`deviceCustomIPv6Address15Label` (`c6a15Label`)	`[cef][device_custom_ipv6_address_15][label]`
`deviceCustomNumber1` (`cn1`)	`[cef][device_custom_number_1][value]`
`deviceCustomNumber1Label` (`cn1Label`)	`[cef][device_custom_number_1][label]`
`deviceCustomNumber2` (`cn2`)	`[cef][device_custom_number_2][value]`
`deviceCustomNumber2Label` (`cn2Label`)	`[cef][device_custom_number_2][label]`
`deviceCustomNumber3` (`cn3`)	`[cef][device_custom_number_3][value]`
`deviceCustomNumber3Label` (`cn3Label`)	`[cef][device_custom_number_3][label]`
`deviceCustomNumber4` (`cn4`)	`[cef][device_custom_number_4][value]`
`deviceCustomNumber4Label` (`cn4Label`)	`[cef][device_custom_number_4][label]`
`deviceCustomNumber5` (`cn5`)	`[cef][device_custom_number_5][value]`
`deviceCustomNumber5Label` (`cn5Label`)	`[cef][device_custom_number_5][label]`
`deviceCustomNumber6` (`cn6`)	`[cef][device_custom_number_6][value]`
`deviceCustomNumber6Label` (`cn6Label`)	`[cef][device_custom_number_6][label]`
`deviceCustomNumber7` (`cn7`)	`[cef][device_custom_number_7][value]`
`deviceCustomNumber7Label` (`cn7Label`)	`[cef][device_custom_number_7][label]`
`deviceCustomNumber8` (`cn8`)	`[cef][device_custom_number_8][value]`
`deviceCustomNumber8Label` (`cn8Label`)	`[cef][device_custom_number_8][label]`
`deviceCustomNumber9` (`cn9`)	`[cef][device_custom_number_9][value]`
`deviceCustomNumber9Label` (`cn9Label`)	`[cef][device_custom_number_9][label]`
`deviceCustomNumber10` (`cn10`)	`[cef][device_custom_number_10][value]`
`deviceCustomNumber10Label` (`cn10Label`)	`[cef][device_custom_number_10][label]`
`deviceCustomNumber11` (`cn11`)	`[cef][device_custom_number_11][value]`
`deviceCustomNumber11Label` (`cn11Label`)	`[cef][device_custom_number_11][label]`
`deviceCustomNumber12` (`cn12`)	`[cef][device_custom_number_12][value]`
`deviceCustomNumber12Label` (`cn12Label`)	`[cef][device_custom_number_12][label]`
`deviceCustomNumber13` (`cn13`)	`[cef][device_custom_number_13][value]`
`deviceCustomNumber13Label` (`cn13Label`)	`[cef][device_custom_number_13][label]`
`deviceCustomNumber14` (`cn14`)	`[cef][device_custom_number_14][value]`
`deviceCustomNumber14Label` (`cn14Label`)	`[cef][device_custom_number_14][label]`
`deviceCustomNumber15` (`cn15`)	`[cef][device_custom_number_15][value]`
`deviceCustomNumber15Label` (`cn15Label`)	`[cef][device_custom_number_15][label]`
`deviceCustomString1` (`cs1`)	`[cef][device_custom_string_1][value]`
`deviceCustomString1Label` (`cs1Label`)	`[cef][device_custom_string_1][label]`
`deviceCustomString2` (`cs2`)	`[cef][device_custom_string_2][value]`
`deviceCustomString2Label` (`cs2Label`)	`[cef][device_custom_string_2][label]`
`deviceCustomString3` (`cs3`)	`[cef][device_custom_string_3][value]`
`deviceCustomString3Label` (`cs3Label`)	`[cef][device_custom_string_3][label]`
`deviceCustomString4` (`cs4`)	`[cef][device_custom_string_4][value]`
`deviceCustomString4Label` (`cs4Label`)	`[cef][device_custom_string_4][label]`
`deviceCustomString5` (`cs5`)	`[cef][device_custom_string_5][value]`
`deviceCustomString5Label` (`cs5Label`)	`[cef][device_custom_string_5][label]`
`deviceCustomString6` (`cs6`)	`[cef][device_custom_string_6][value]`
`deviceCustomString6Label` (`cs6Label`)	`[cef][device_custom_string_6][label]`
`deviceCustomString7` (`cs7`)	`[cef][device_custom_string_7][value]`
`deviceCustomString7Label` (`cs7Label`)	`[cef][device_custom_string_7][label]`
`deviceCustomString8` (`cs8`)	`[cef][device_custom_string_8][value]`
`deviceCustomString8Label` (`cs8Label`)	`[cef][device_custom_string_8][label]`
`deviceCustomString9` (`cs9`)	`[cef][device_custom_string_9][value]`
`deviceCustomString9Label` (`cs9Label`)	`[cef][device_custom_string_9][label]`
`deviceCustomString10` (`cs10`)	`[cef][device_custom_string_10][value]`
`deviceCustomString10Label` (`cs10Label`)	`[cef][device_custom_string_10][label]`
`deviceCustomString11` (`cs11`)	`[cef][device_custom_string_11][value]`
`deviceCustomString11Label` (`cs11Label`)	`[cef][device_custom_string_11][label]`
`deviceCustomString12` (`cs12`)	`[cef][device_custom_string_12][value]`
`deviceCustomString12Label` (`cs12Label`)	`[cef][device_custom_string_12][label]`
`deviceCustomString13` (`cs13`)	`[cef][device_custom_string_13][value]`
`deviceCustomString13Label` (`cs13Label`)	`[cef][device_custom_string_13][label]`
`deviceCustomString14` (`cs14`)	`[cef][device_custom_string_14][value]`
`deviceCustomString14Label` (`cs14Label`)	`[cef][device_custom_string_14][label]`
`deviceCustomString15` (`cs15`)	`[cef][device_custom_string_15][value]`
`deviceCustomString15Label` (`cs15Label`)	`[cef][device_custom_string_15][label]`
`设备方向 (deviceDirection)`	`[network][direction]`
`设备DNS域名 (deviceDnsDomain)`	`[observer][registered_domain]` 当插件配置为 `device => observer` 时。
`设备DNS域名 (deviceDnsDomain)`	`[host][registered_domain]` 当插件配置为 `device => host` 时。
`deviceEventCategory` (`cat`)	`[cef][category]`
`设备外部ID (deviceExternalId)`	`[observer][name]` 当插件配置为 `device => observer` 时。
`设备外部ID (deviceExternalId)`	`[host][id]` 当插件配置为 `device => host` 时。
`设备设施 (deviceFacility)`	`[log][syslog][facility][code]`
`deviceHostName` (`dvchost`)	`[observer][hostname]` 当插件配置为 `device => observer` 时。
`deviceHostName` (`dvchost`)	`[host][name]` 当插件配置为 `device => host` 时。
`设备入站接口 (deviceInboundInterface)`	`[observer][ingress][interface][name]`
`deviceMacAddress` (`dvcmac`)	`[observer][mac]` 当插件配置为 `device => observer` 时。
`deviceMacAddress` (`dvcmac`)	`[host][mac]` 当插件配置为 `device => host` 时。
`设备NT域 (deviceNtDomain)`	`[cef][nt_domain]`
`设备出站接口 (deviceOutboundInterface)`	`[observer][egress][interface][name]`
`设备有效负载ID (devicePayloadId)`	`[cef][payload_id]`
`deviceProcessId` (`dvcpid`)	`[process][pid]`
`设备进程名称 (deviceProcessName)`	`[process][name]`
`deviceReceiptTime` (`rt`)	`@timestamp` 此字段包含时间戳。在 ECS 兼容模式下，它会被解析为时间轴上的特定点。
`deviceTimeZone` (`dtz`)	`[event][timezone]`
`设备转换地址 (deviceTranslatedAddress)`	`[host][nat][ip]`
`设备转换区域外部ID (deviceTranslatedZoneExternalID)`	`[cef][translated_zone][external_id]`
`设备转换区域URI (deviceTranslatedZoneURI)`	`[cef][translated_zone][uri]`
`deviceVersion`	`[observer][version]`
`设备区域外部ID (deviceZoneExternalID)`	`[cef][zone][external_id]`
`设备区域URI (deviceZoneURI)`	`[cef][zone][uri]`
`endTime` (`end`)	`[event][end]` 此字段包含时间戳。在 ECS 兼容模式下，它会被解析为时间轴上的特定点。
`事件ID (eventId)`	`[event][id]`
`eventOutcome` (`outcome`)	`[event][outcome]`
`外部ID (externalId)`	`[cef][external_id]`
`文件创建时间 (fileCreateTime)`	`[file][created]`
`文件哈希 (fileHash)`	`[file][hash]`
`文件ID (fileId)`	`[file][inode]`
`文件修改时间 (fileModificationTime)`	`[file][mtime]` 此字段包含时间戳。在 ECS 兼容模式下，它会被解析为时间轴上的特定点。
`fileName` (`fname`)	`[file][name]`
`文件路径 (filePath)`	`[file][path]`
`文件权限 (filePermission)`	`[file][group]`
`fileSize` (`fsize`)	`[file][size]`
`文件类型 (fileType)`	`[file][extension]`
`managerReceiptTime` (`mrt`)	`[event][ingested]` 此字段包含时间戳。在 ECS 兼容模式下，它会被解析为时间轴上的特定点。
`message` (`msg`)	`[message]`
`旧文件创建时间 (oldFileCreateTime)`	`[cef][old_file][created]` 此字段包含时间戳。在 ECS 兼容模式下，它会被解析为时间轴上的特定点。
`旧文件哈希 (oldFileHash)`	`[cef][old_file][hash]`
`旧文件ID (oldFileId)`	`[cef][old_file][inode]`
`旧文件修改时间 (oldFileModificationTime)`	`[cef][old_file][mtime]` 此字段包含时间戳。在 ECS 兼容模式下，它会被解析为时间轴上的特定点。
`旧文件名 (oldFileName)`	`[cef][old_file][name]`
`旧文件路径 (oldFilePath)`	`[cef][old_file][path]`
`旧文件权限 (oldFilePermission)`	`[cef][old_file][group]`
`旧文件大小 (oldFileSize)`	`[cef][old_file][size]`
`旧文件类型 (oldFileType)`	`[cef][old_file][extension]`
`原始事件 (rawEvent)`	`[event][original]`
`Reason` (`reason`)	`[event][reason]`
`请求客户端应用程序 (requestClientApplication)`	`[user_agent][original]`
`请求上下文 (requestContext)`	`[http][request][referrer]`
`请求Cookie (requestCookies)`	`[cef][request][cookies]`
`请求方法`	`[http][request][method]`
`requestUrl` (`request`)	`[url][original]`
`sourceAddress` (`src`)	`[source][ip]`
`源DNS域名`	`[source][registered_domain]` 多个可能的 CEF 字段映射到此 ECS 字段。解码时，遇到的最后一个条目获胜。编码时，此字段具有更高优先级。
`sourceGeoLatitude` (`slat`)	`[source][geo][location][lat]`
`sourceGeoLongitude` (`slong`)	`[source][geo][location][lon]`
`sourceHostName` (`shost`)	`[source][domain]`
`sourceMacAddress` (`smac`)	`[source][mac]`
`sourceNtDomain` (`sntdom`)	`[source][registered_domain]` 多个可能的 CEF 字段映射到此 ECS 字段。解码时，遇到的最后一个条目获胜。编码时，此字段具有更低优先级。
`sourcePort` (`spt`)	`[source][port]`
`sourceProcessId` (`spid`)	`[source][process][pid]`
`sourceProcessName` (`sproc`)	`[source][process][name]`
`源服务名称`	`[source][service][name]`
`源转换地址`	`[source][nat][ip]`
`源转换端口`	`[source][nat][port]`
`源转换区域外部ID`	`[cef][source][translated_zone][external_id]`
`源转换区域URI`	`[cef][source][translated_zone][uri]`
`sourceUserId` (`suid`)	`[source][user][id]`
`sourceUserName` (`suser`)	`[source][user][name]`
`sourceUserPrivileges` (`spriv`)	`[source][user][group][name]`
`源区域外部ID`	`[cef][source][zone][external_id]`
`源区域URI`	`[cef][source][zone][uri]`
`startTime` (`start`)	`[event][start]` 此字段包含时间戳。在 ECS 兼容模式下，它会被解析为时间轴上的特定点。
`transportProtocol` (`proto`)	`[network][transport]`
`类型`	`[cef][type]`

Cef 编解码器配置选项

编辑

设置	输入类型	必填
`default_timezone`	字符串	否
`分隔符`	字符串	否
`设备`	字符串	否
`ecs_compatibility`	字符串	否
`字段`	数组	否
`区域设置`	字符串	否
`name`	字符串	否
`产品`	字符串	否
`原始数据字段`	字符串	否
`反向映射`	布尔值	否
`severity`	字符串	否
`签名`	字符串	否
`供应商`	字符串	否
`版本`	字符串	否

`default_timezone`

编辑

值类型为字符串
支持的值为
- 时区名称（例如Europe/Moscow、America/Argentina/Buenos_Aires）
- UTC 偏移量（例如-08:00、+03:00）
默认值为您的系统时区
此选项在编码时无效。

在 ECS 模式下解析时间戳字段并遇到不包含 UTC 偏移量信息的时间戳时，将使用 CEF 负载中的deviceTimeZone (dtz) 字段来解释给定的时间。如果事件不包含时区信息，则改为使用此default_timezone。

`delimiter`

编辑

值类型为字符串
此设置没有默认值。

如果您的输入在每个 CEF 事件之间放置分隔符，则需要将其设置为该分隔符。

诸如 TCP 之类的字节流输入需要指定分隔符。否则，输入可能会被截断或错误地拆分。

示例

    input {
      tcp {
        codec => cef { delimiter => "\r\n" }
        # ...
      }
    }

此设置允许以下字符序列具有特殊含义

\r（反斜杠“r”） - 表示回车符（ASCII 0x0D）
\n（反斜杠“n”） - 表示换行符（ASCII 0x0A）

`device`

编辑

值类型为字符串
支持的值为
- observer：表示设备特定字段代表用于观察事件的设备。
- host：表示设备特定字段代表发生事件的设备。
此设置的默认值为observer。
选项在ecs_compatibility => disabled时无效。
选项在编码时无效

将一组设备特定的 CEF 字段定义为表示发生事件的设备，或者仅仅是观察到事件的设备。这会导致相关字段被路由到host或observer顶级分组。

如果编解码器处理来自各种来源的数据，则 ECS 建议使用observer。

`ecs_compatibility`

编辑

值类型为字符串
支持的值为
- disabled：在事件中使用 CEF 定义的字段名称（例如，bytesIn、sourceAddress）
- v1：支持与 ECS 兼容的事件字段（例如，[source][bytes]、[source][ip]）
默认值取决于正在运行的 Logstash 版本
- 当 Logstash 提供pipeline.ecs_compatibility设置时，其值将用作默认值
- 否则，默认值为disabled。