› ›

Cef 编解码插件

编辑

Cef 编解码插件

编辑

插件版本：v6.2.8
发布日期：2024-10-22
更新日志

有关其他版本，请参阅版本化插件文档。

获取帮助

编辑

有关插件的问题，请在Discuss论坛中开一个主题。对于错误或功能请求，请在Github中打开一个 issue。有关 Elastic 支持的插件列表，请查阅Elastic 支持矩阵。

描述

编辑

ArcSight 通用事件格式 (CEF) 的 Logstash 编解码器实现。它基于实施 ArcSight CEF 修订版 25，2017 年 9 月。

如果此编解码器从输入接收到不是有效 CEF 消息的有效负载，则它会生成一个事件，其中有效负载作为 message 字段，并带有一个 _cefparsefailure 标签。

与 Elastic 通用模式 (ECS) 的兼容性

编辑

此插件可用于将 CEF 事件解码到 Elastic 通用模式中，或将与 ECS 兼容的事件编码为 CEF。它也可以在不使用 ECS 的情况下使用，仅使用 CEF 定义的字段名称和键来编码和解码事件。

可以通过在定义编解码器时设置ecs_compatibility来控制特定插件实例的 ECS 兼容模式

    input {
      tcp {
        # ...
        codec => cef {
          ecs_compatibility => v1
        }
      }
    }

如果未指定，则使用pipeline.ecs_compatibility设置的值。

时间戳和 ECS 兼容性

编辑

在 ECS 兼容模式下解码时，时间戳类型的字段将被解析并规范化到时间线上的特定点。

由于 CEF 格式允许使用不明确的时间戳格式，因此会做出一些合理的假设

当时间戳不包含年份时，我们假设它发生在最近的过去（或非常接近的将来，以适应不同步的时钟和时区偏移）。
当时间戳不包含 UTC 偏移信息时，我们使用事件的时区（dtz 或 deviceTimeZone 字段），或者回退到此插件的default_timezone。
本地化的时间戳使用提供的locale进行解析。

字段映射

编辑

每个 CEF 有效负载的标头字段都会扩展到以下字段，具体取决于是否启用了 ECS。

标头字段映射

编辑

禁用 ECS	ECS 字段
`cefVersion`	`[cef][version]`
`deviceVendor`	`[observer][vendor]`
`deviceProduct`	`[observer][product]`
`deviceVersion`	`[observer][version]`
`deviceEventClassId`	`[event][code]`
`name`	`[cef][name]`
`severity`	`[event][severity]`

当使用 ecs_compatibility => disabled 解码 CEF 有效负载时，将展开扩展中找到的缩写 CEF 键，并将 CEF 字段名称插入到事件的根级别。

在 ECS 兼容模式下解码时，将使用有效负载扩展中找到的相应 CEF 字段名称或 CEF 键填充 ECS 字段。

以下是这些字段之间的映射。

扩展字段映射

编辑

CEF 字段名称（可选 CEF 键）	ECS 字段
`agentAddress` (`agt`)	`[agent][ip]`
`agentDnsDomain`	`[cef][agent][registered_domain]` 多个可能的 CEF 字段映射到此 ECS 字段。解码时，遇到的最后一个条目获胜。编码时，此字段具有更高的优先级。
`agentHostName` (`ahost`)	`[agent][name]`
`agentId` (`aid`)	`[agent][id]`
`agentMacAddress` (`amac`)	`[agent][mac]`
`agentNtDomain`	`[cef][agent][registered_domain]` 多个可能的 CEF 字段映射到此 ECS 字段。解码时，遇到的最后一个条目获胜。编码时，此字段具有较低的优先级。
`agentReceiptTime` (`art`)	`[event][created]` 此字段包含时间戳。在 ECS 兼容模式下，它将被解析为时间上的特定点。
`agentTimeZone` (`atz`)	`[cef][agent][timezone]`
`agentTranslatedAddress`	`[cef][agent][nat][ip]`
`agentTranslatedZoneExternalID`	`[cef][agent][translated_zone][external_id]`
`agentTranslatedZoneURI`	`[cef][agent][translated_zone][uri]`
`agentType` (`at`)	`[agent][type]`
`agentVersion` (`av`)	`[agent][version]`
`agentZoneExternalID`	`[cef][agent][zone][external_id]`
`agentZoneURI`	`[cef][agent][zone][uri]`
`applicationProtocol` (`app`)	`[network][protocol]`
`baseEventCount` (`cnt`)	`[cef][base_event_count]`
`bytesIn` (`in`)	`[source][bytes]`
`bytesOut` (`out`)	`[destination][bytes]`
`categoryDeviceType` (`catdt`)	`[cef][device_type]`
`customerExternalID`	`[organization][id]`
`customerURI`	`[organization][name]`
`destinationAddress` (`dst`)	`[destination][ip]`
`destinationDnsDomain`	`[destination][registered_domain]` 多个可能的 CEF 字段映射到此 ECS 字段。解码时，遇到的最后一个条目获胜。编码时，此字段具有更高的优先级。
`destinationGeoLatitude` (`dlat`)	`[destination][geo][location][lat]`
`destinationGeoLongitude` (`dlong`)	`[destination][geo][location][lon]`
`destinationHostName` (`dhost`)	`[destination][domain]`
`destinationMacAddress` (`dmac`)	`[destination][mac]`
`destinationNtDomain` (`dntdom`)	`[destination][registered_domain]` 多个可能的 CEF 字段映射到此 ECS 字段。解码时，遇到的最后一个条目获胜。编码时，此字段具有较低的优先级。
`destinationPort` (`dpt`)	`[destination][port]`
`destinationProcessId` (`dpid`)	`[destination][process][pid]`
`destinationProcessName` (`dproc`)	`[destination][process][name]`
`destinationServiceName`	`[destination][service][name]`
`destinationTranslatedAddress`	`[destination][nat][ip]`
`destinationTranslatedPort`	`[destination][nat][port]`
`destinationTranslatedZoneExternalID`	`[cef][destination][translated_zone][external_id]`
`destinationTranslatedZoneURI`	`[cef][destination][translated_zone][uri]`
`destinationUserId` (`duid`)	`[destination][user][id]`
`destinationUserName` (`duser`)	`[destination][user][name]`
`destinationUserPrivileges` (`dpriv`)	`[destination][user][group][name]`
`destinationZoneExternalID`	`[cef][destination][zone][external_id]`
`destinationZoneURI`	`[cef][destination][zone][uri]`
`deviceAction` (`act`)	`[event][action]`
`deviceAddress` (`dvc`)	`[observer][ip]` 当插件配置为 `device => observer` 时
`deviceAddress` (`dvc`)	`[host][ip]` 当插件配置为 `device => host` 时
`deviceCustomFloatingPoint1` (`cfp1`)	`[cef][device_custom_floating_point_1][value]`
`deviceCustomFloatingPoint1Label` (`cfp1Label`)	`[cef][device_custom_floating_point_1][label]`
`deviceCustomFloatingPoint2` (`cfp2`)	`[cef][device_custom_floating_point_2][value]`
`deviceCustomFloatingPoint2Label` (`cfp2Label`)	`[cef][device_custom_floating_point_2][label]`
`deviceCustomFloatingPoint3` (`cfp3`)	`[cef][device_custom_floating_point_3][value]`
`deviceCustomFloatingPoint3Label` (`cfp3Label`)	`[cef][device_custom_floating_point_3][label]`
`deviceCustomFloatingPoint4` (`cfp4`)	`[cef][device_custom_floating_point_4][value]`
`deviceCustomFloatingPoint4Label` (`cfp4Label`)	`[cef][device_custom_floating_point_4][label]`
`deviceCustomFloatingPoint5` (`cfp5`)	`[cef][device_custom_floating_point_5][value]`
`deviceCustomFloatingPoint5Label` (`cfp5Label`)	`[cef][device_custom_floating_point_5][label]`
`deviceCustomFloatingPoint6` (`cfp6`)	`[cef][device_custom_floating_point_6][value]`
`deviceCustomFloatingPoint6Label` (`cfp6Label`)	`[cef][device_custom_floating_point_6][label]`
`deviceCustomFloatingPoint7` (`cfp7`)	`[cef][device_custom_floating_point_7][value]`
`deviceCustomFloatingPoint7Label` (`cfp7Label`)	`[cef][device_custom_floating_point_7][label]`
`deviceCustomFloatingPoint8` (`cfp8`)	`[cef][device_custom_floating_point_8][value]`
`deviceCustomFloatingPoint8Label` (`cfp8Label`)	`[cef][device_custom_floating_point_8][label]`
`deviceCustomFloatingPoint9` (`cfp9`)	`[cef][device_custom_floating_point_9][value]`
`deviceCustomFloatingPoint9Label` (`cfp9Label`)	`[cef][device_custom_floating_point_9][label]`
`deviceCustomFloatingPoint10` (`cfp10`)	`[cef][device_custom_floating_point_10][value]`
`deviceCustomFloatingPoint10Label` (`cfp10Label`)	`[cef][device_custom_floating_point_10][label]`
`deviceCustomFloatingPoint11` (`cfp11`)	`[cef][device_custom_floating_point_11][value]`
`deviceCustomFloatingPoint11Label` (`cfp11Label`)	`[cef][device_custom_floating_point_11][label]`
`deviceCustomFloatingPoint12` (`cfp12`)	`[cef][device_custom_floating_point_12][value]`
`deviceCustomFloatingPoint12Label` (`cfp12Label`)	`[cef][device_custom_floating_point_12][label]`
`deviceCustomFloatingPoint13` (`cfp13`)	`[cef][device_custom_floating_point_13][value]`
`deviceCustomFloatingPoint13Label` (`cfp13Label`)	`[cef][device_custom_floating_point_13][label]`
`deviceCustomFloatingPoint14` (`cfp14`)	`[cef][device_custom_floating_point_14][value]`
`deviceCustomFloatingPoint14Label` (`cfp14Label`)	`[cef][device_custom_floating_point_14][label]`
`deviceCustomFloatingPoint15` (`cfp15`)	`[cef][device_custom_floating_point_15][value]`
`deviceCustomFloatingPoint15Label` (`cfp15Label`)	`[cef][device_custom_floating_point_15][label]`
`deviceCustomIPv6Address1` (`c6a1`)	`[cef][device_custom_ipv6_address_1][value]`
`deviceCustomIPv6Address1Label` (`c6a1Label`)	`[cef][device_custom_ipv6_address_1][label]`
`deviceCustomIPv6Address2` (`c6a2`)	`[cef][device_custom_ipv6_address_2][value]`
`deviceCustomIPv6Address2Label` (`c6a2Label`)	`[cef][device_custom_ipv6_address_2][label]`
`deviceCustomIPv6Address3` (`c6a3`)	`[cef][device_custom_ipv6_address_3][value]`
`deviceCustomIPv6Address3Label` (`c6a3Label`)	`[cef][device_custom_ipv6_address_3][label]`
`deviceCustomIPv6Address4` (`c6a4`)	`[cef][device_custom_ipv6_address_4][value]`
`deviceCustomIPv6Address4Label` (`c6a4Label`)	`[cef][device_custom_ipv6_address_4][label]`
`deviceCustomIPv6Address5` (`c6a5`)	`[cef][device_custom_ipv6_address_5][value]`
`deviceCustomIPv6Address5Label` (`c6a5Label`)	`[cef][device_custom_ipv6_address_5][label]`
`deviceCustomIPv6Address6` (`c6a6`)	`[cef][device_custom_ipv6_address_6][value]`
`deviceCustomIPv6Address6Label` (`c6a6Label`)	`[cef][device_custom_ipv6_address_6][label]`
`deviceCustomIPv6Address7` (`c6a7`)	`[cef][device_custom_ipv6_address_7][value]`
`deviceCustomIPv6Address7Label` (`c6a7Label`)	`[cef][device_custom_ipv6_address_7][label]`
`deviceCustomIPv6Address8` (`c6a8`)	`[cef][device_custom_ipv6_address_8][value]`
`deviceCustomIPv6Address8Label` (`c6a8Label`)	`[cef][device_custom_ipv6_address_8][label]`
`deviceCustomIPv6Address9` (`c6a9`)	`[cef][device_custom_ipv6_address_9][value]`
`deviceCustomIPv6Address9Label` (`c6a9Label`)	`[cef][device_custom_ipv6_address_9][label]`
`deviceCustomIPv6Address10` (`c6a10`)	`[cef][device_custom_ipv6_address_10][value]`
`deviceCustomIPv6Address10Label` (`c6a10Label`)	`[cef][device_custom_ipv6_address_10][label]`
`deviceCustomIPv6Address11` (`c6a11`)	`[cef][device_custom_ipv6_address_11][value]`
`deviceCustomIPv6Address11Label` (`c6a11Label`)	`[cef][device_custom_ipv6_address_11][label]`
`deviceCustomIPv6Address12` (`c6a12`)	`[cef][device_custom_ipv6_address_12][value]`
`deviceCustomIPv6Address12Label` (`c6a12Label`)	`[cef][device_custom_ipv6_address_12][label]`
`deviceCustomIPv6Address13` (`c6a13`)	`[cef][device_custom_ipv6_address_13][value]`
`deviceCustomIPv6Address13Label` (`c6a13Label`)	`[cef][device_custom_ipv6_address_13][label]`
`deviceCustomIPv6Address14` (`c6a14`)	`[cef][device_custom_ipv6_address_14][value]`
`deviceCustomIPv6Address14Label` (`c6a14Label`)	`[cef][device_custom_ipv6_address_14][label]`
`deviceCustomIPv6Address15` (`c6a15`)	`[cef][device_custom_ipv6_address_15][value]`
`deviceCustomIPv6Address15Label` (`c6a15Label`)	`[cef][device_custom_ipv6_address_15][label]`
`deviceCustomNumber1` (`cn1`)	`[cef][device_custom_number_1][value]`
`deviceCustomNumber1Label` (`cn1Label`)	`[cef][device_custom_number_1][label]`
`deviceCustomNumber2` (`cn2`)	`[cef][device_custom_number_2][value]`
`deviceCustomNumber2Label` (`cn2Label`)	`[cef][device_custom_number_2][label]`
`deviceCustomNumber3` (`cn3`)	`[cef][device_custom_number_3][value]`
`deviceCustomNumber3Label` (`cn3Label`)	`[cef][device_custom_number_3][label]`
`deviceCustomNumber4` (`cn4`)	`[cef][device_custom_number_4][value]`
`deviceCustomNumber4Label` (`cn4Label`)	`[cef][device_custom_number_4][label]`
`deviceCustomNumber5` (`cn5`)	`[cef][device_custom_number_5][value]`
`deviceCustomNumber5Label` (`cn5Label`)	`[cef][device_custom_number_5][label]`
`deviceCustomNumber6` (`cn6`)	`[cef][device_custom_number_6][value]`
`deviceCustomNumber6Label` (`cn6Label`)	`[cef][device_custom_number_6][label]`
`deviceCustomNumber7` (`cn7`)	`[cef][device_custom_number_7][value]`
`deviceCustomNumber7Label` (`cn7Label`)	`[cef][device_custom_number_7][label]`
`deviceCustomNumber8` (`cn8`)	`[cef][device_custom_number_8][value]`
`deviceCustomNumber8Label` (`cn8Label`)	`[cef][device_custom_number_8][label]`
`deviceCustomNumber9` (`cn9`)	`[cef][device_custom_number_9][value]`
`deviceCustomNumber9Label` (`cn9Label`)	`[cef][device_custom_number_9][label]`
`deviceCustomNumber10` (`cn10`)	`[cef][device_custom_number_10][value]`
`deviceCustomNumber10Label` (`cn10Label`)	`[cef][device_custom_number_10][label]`
`deviceCustomNumber11` (`cn11`)	`[cef][device_custom_number_11][value]`
`deviceCustomNumber11Label` (`cn11Label`)	`[cef][device_custom_number_11][label]`
`deviceCustomNumber12` (`cn12`)	`[cef][device_custom_number_12][value]`
`deviceCustomNumber12Label` (`cn12Label`)	`[cef][device_custom_number_12][label]`
`deviceCustomNumber13` (`cn13`)	`[cef][device_custom_number_13][value]`
`deviceCustomNumber13Label` (`cn13Label`)	`[cef][device_custom_number_13][label]`
`deviceCustomNumber14` (`cn14`)	`[cef][device_custom_number_14][value]`
`deviceCustomNumber14Label` (`cn14Label`)	`[cef][device_custom_number_14][label]`
`deviceCustomNumber15` (`cn15`)	`[cef][device_custom_number_15][value]`
`deviceCustomNumber15Label` (`cn15Label`)	`[cef][device_custom_number_15][label]`
`deviceCustomString1` (`cs1`)	`[cef][device_custom_string_1][value]`
`deviceCustomString1Label` (`cs1Label`)	`[cef][device_custom_string_1][label]`
`deviceCustomString2` (`cs2`)	`[cef][device_custom_string_2][value]`
`deviceCustomString2Label` (`cs2Label`)	`[cef][device_custom_string_2][label]`
`deviceCustomString3` (`cs3`)	`[cef][device_custom_string_3][value]`
`deviceCustomString3Label` (`cs3Label`)	`[cef][device_custom_string_3][label]`
`deviceCustomString4` (`cs4`)	`[cef][device_custom_string_4][value]`
`deviceCustomString4Label` (`cs4Label`)	`[cef][device_custom_string_4][label]`
`deviceCustomString5` (`cs5`)	`[cef][device_custom_string_5][value]`
`deviceCustomString5Label` (`cs5Label`)	`[cef][device_custom_string_5][label]`
`deviceCustomString6` (`cs6`)	`[cef][device_custom_string_6][value]`
`deviceCustomString6Label` (`cs6Label`)	`[cef][device_custom_string_6][label]`
`deviceCustomString7` (`cs7`)	`[cef][device_custom_string_7][value]`
`deviceCustomString7Label` (`cs7Label`)	`[cef][device_custom_string_7][label]`
`deviceCustomString8` (`cs8`)	`[cef][device_custom_string_8][value]`
`deviceCustomString8Label` (`cs8Label`)	`[cef][device_custom_string_8][label]`
`deviceCustomString9` (`cs9`)	`[cef][device_custom_string_9][value]`
`deviceCustomString9Label` (`cs9Label`)	`[cef][device_custom_string_9][label]`
`deviceCustomString10` (`cs10`)	`[cef][device_custom_string_10][value]`
`deviceCustomString10Label` (`cs10Label`)	`[cef][device_custom_string_10][label]`
`deviceCustomString11` (`cs11`)	`[cef][device_custom_string_11][value]`
`deviceCustomString11Label` (`cs11Label`)	`[cef][device_custom_string_11][label]`
`deviceCustomString12` (`cs12`)	`[cef][device_custom_string_12][value]`
`deviceCustomString12Label` (`cs12Label`)	`[cef][device_custom_string_12][label]`
`deviceCustomString13` (`cs13`)	`[cef][device_custom_string_13][value]`
`deviceCustomString13Label` (`cs13Label`)	`[cef][device_custom_string_13][label]`
`deviceCustomString14` (`cs14`)	`[cef][device_custom_string_14][value]`
`deviceCustomString14Label` (`cs14Label`)	`[cef][device_custom_string_14][label]`
`deviceCustomString15` (`cs15`)	`[cef][device_custom_string_15][value]`
`deviceCustomString15Label` (`cs15Label`)	`[cef][device_custom_string_15][label]`
`deviceDirection`	`[network][direction]`
`deviceDnsDomain`	`[observer][registered_domain]` 当插件配置为 `device => observer` 时。
`deviceDnsDomain`	`[host][registered_domain]` 当插件配置为 `device => host` 时。
`deviceEventCategory` (`cat`)	`[cef][category]`
`deviceExternalId`	`[observer][name]` 当插件配置为 `device => observer` 时。
`deviceExternalId`	`[host][id]` 当插件配置为 `device => host` 时。
`deviceFacility`	`[log][syslog][facility][code]`
`deviceHostName` (`dvchost`)	`[observer][hostname]` 当插件配置为 `device => observer` 时。
`deviceHostName` (`dvchost`)	`[host][name]` 当插件配置为 `device => host` 时。
`deviceInboundInterface`	`[observer][ingress][interface][name]`
`deviceMacAddress` (`dvcmac`)	`[observer][mac]` 当插件配置为 `device => observer` 时。
`deviceMacAddress` (`dvcmac`)	`[host][mac]` 当插件配置为 `device => host` 时。
`deviceNtDomain`	`[cef][nt_domain]`
`deviceOutboundInterface`	`[observer][egress][interface][name]`
`devicePayloadId`	`[cef][payload_id]`
`deviceProcessId` (`dvcpid`)	`[process][pid]`
`deviceProcessName`	`[process][name]`
`deviceReceiptTime` (`rt`)	`@timestamp` 此字段包含时间戳。在 ECS 兼容模式下，它将被解析为时间上的特定点。
`deviceTimeZone` (`dtz`)	`[event][timezone]`
`deviceTranslatedAddress`	`[host][nat][ip]`
`deviceTranslatedZoneExternalID`	`[cef][translated_zone][external_id]`
`deviceTranslatedZoneURI`	`[cef][translated_zone][uri]`
`deviceVersion`	`[observer][version]`
`deviceZoneExternalID`	`[cef][zone][external_id]`
`deviceZoneURI`	`[cef][zone][uri]`
`endTime` (`end`)	`[event][end]` 此字段包含时间戳。在 ECS 兼容模式下，它将被解析为时间上的特定点。
`eventId`	`[event][id]`
`eventOutcome` (`outcome`)	`[event][outcome]`
`externalId`	`[cef][external_id]`
`fileCreateTime`	`[file][created]`
`fileHash`	`[file][hash]`
`fileId`	`[file][inode]`
`fileModificationTime`	`[file][mtime]` 此字段包含时间戳。在 ECS 兼容模式下，它将被解析为时间上的特定点。
`fileName` (`fname`)	`[file][name]`
`filePath`	`[file][path]`
`filePermission`	`[file][group]`
`fileSize` (`fsize`)	`[file][size]`
`fileType`	`[file][extension]`
`managerReceiptTime` (`mrt`)	`[event][ingested]` 此字段包含时间戳。在 ECS 兼容模式下，它将被解析为时间上的特定点。
`message` (`msg`)	`[message]`
`oldFileCreateTime`	`[cef][old_file][created]` 此字段包含时间戳。在 ECS 兼容模式下，它将被解析为时间上的特定点。
`oldFileHash`	`[cef][old_file][hash]`
`oldFileId`	`[cef][old_file][inode]`
`oldFileModificationTime`	`[cef][old_file][mtime]` 此字段包含时间戳。在 ECS 兼容模式下，它将被解析为时间上的特定点。
`oldFileName`	`[cef][old_file][name]`
`oldFilePath`	`[cef][old_file][path]`
`oldFilePermission`	`[cef][old_file][group]`
`oldFileSize`	`[cef][old_file][size]`
`oldFileType`	`[cef][old_file][extension]`
`rawEvent`	`[event][original]`
`Reason` (`reason`)	`[event][reason]`
`requestClientApplication`	`[user_agent][original]`
`requestContext`	`[http][request][referrer]`
`requestCookies`	`[cef][request][cookies]`
`requestMethod`	`[http][request][method]`
`requestUrl` (`request`)	`[url][original]`
`sourceAddress` (`src`)	`[source][ip]`
`sourceDnsDomain`	`[source][registered_domain]` 多个可能的 CEF 字段映射到此 ECS 字段。解码时，遇到的最后一个条目获胜。编码时，此字段具有更高的优先级。
`sourceGeoLatitude` (`slat`)	`[source][geo][location][lat]`
`sourceGeoLongitude` (`slong`)	`[source][geo][location][lon]`
`sourceHostName` (`shost`)	`[source][domain]`
`sourceMacAddress` (`smac`)	`[source][mac]`
`sourceNtDomain` (`sntdom`)	`[source][registered_domain]` 多个可能的 CEF 字段映射到此 ECS 字段。解码时，遇到的最后一个条目获胜。编码时，此字段具有较低的优先级。
`sourcePort` (`spt`)	`[source][port]`
`sourceProcessId` (`spid`)	`[source][process][pid]`
`sourceProcessName` (`sproc`)	`[source][process][name]`
`sourceServiceName`	`[source][service][name]`
`sourceTranslatedAddress`	`[source][nat][ip]`
`sourceTranslatedPort`	`[source][nat][port]`
`sourceTranslatedZoneExternalID`	`[cef][source][translated_zone][external_id]`
`sourceTranslatedZoneURI`	`[cef][source][translated_zone][uri]`
`sourceUserId` (`suid`)	`[source][user][id]`
`sourceUserName` (`suser`)	`[source][user][name]`
`sourceUserPrivileges` (`spriv`)	`[source][user][group][name]`
`sourceZoneExternalID`	`[cef][source][zone][external_id]`
`sourceZoneURI`	`[cef][source][zone][uri]`
`startTime` (`start`)	`[event][start]` 此字段包含时间戳。在 ECS 兼容模式下，它将被解析为时间上的特定点。
`transportProtocol` (`proto`)	`[network][transport]`
`type`	`[cef][type]`

Cef 编解码器配置选项

编辑

设置	输入类型	必需
`default_timezone`	字符串	否
`delimiter`	字符串	否
`device`	字符串	否
`ecs_compatibility`	字符串	否
`fields`	数组	否
`locale`	字符串	否
`name`	字符串	否
`product`	字符串	否
`raw_data_field`	字符串	否
`reverse_mapping`	布尔值	否
`severity`	字符串	否
`signature`	字符串	否
`vendor`	字符串	否
`version`	字符串	否

`default_timezone`

编辑

值类型是字符串
支持的值为
- 时区名称（例如 Europe/Moscow、America/Argentina/Buenos_Aires）
- UTC 偏移量（例如 -08:00、+03:00）
默认值是您的系统时区
此选项在编码时无效。

在 ECS 模式下解析时间戳字段并遇到不包含 UTC 偏移信息的时间戳时，将使用 CEF 有效负载中的 deviceTimeZone (dtz) 字段来解释给定的时间。如果事件不包含时区信息，则改用此 default_timezone。

`delimiter`

编辑

值类型是字符串
此设置没有默认值。

如果您的输入在每个 CEF 事件之间放置分隔符，您需要将其设置为该分隔符。

诸如 TCP 之类的字节流输入需要指定分隔符。否则，输入可能会被截断或错误地拆分。

示例

    input {
      tcp {
        codec => cef { delimiter => "\r\n" }
        # ...
      }
    }

此设置允许以下字符序列具有特殊含义

\r（反斜杠 "r"）- 表示回车符 (ASCII 0x0D)
\n（反斜杠 "n"）- 表示换行符 (ASCII 0x0A)

`device`

编辑

值类型是字符串
支持的值为
- observer：表示特定于设备的字段表示用于观察事件的设备。
- host：表示特定于设备的字段表示事件发生所在的设备。
此设置的默认值为 observer。
当 ecs_compatibility => disabled 时，此选项无效。
当编码时，此选项无效

将一组特定于设备的 CEF 字段定义为表示事件发生所在的设备，或者仅表示从中观察到事件的设备。这会导致相关字段路由到 host 或 observer 顶层分组。

如果编解码器处理来自各种来源的数据，则 ECS 建议使用 observer。

`ecs_compatibility`

编辑

值类型是字符串
支持的值为
- disabled：在事件中使用 CEF 定义的字段名称（例如，bytesIn、sourceAddress）
- v1：支持与 ECS 兼容的事件字段（例如，[source][bytes]、[source][ip]）
默认值取决于正在运行的 Logstash 的版本
- 当 Logstash 提供 pipeline.ecs_compatibility 设置时，其值用作默认值
- 否则，默认值为 disabled。