« Avro 编解码插件 Cloudfront 编解码插件 »
Elastic 文档 Logstash 参考 [8.14] 编解码插件

Cef 编解码插件

编辑

Cef 编解码插件编辑

  • 插件版本: v6.2.7
  • 发布日期: 2023-05-12
  • 变更日志

有关其他版本,请参阅 版本化插件文档.

获取帮助编辑

有关插件的问题,请在 Discuss 论坛中发布主题。对于错误或功能请求,请在 Github 中创建问题。有关 Elastic 支持的插件列表,请参阅 Elastic 支持矩阵.

描述编辑

ArcSight 通用事件格式 (CEF) 的 Logstash 编解码器实现。它基于 实施 ArcSight CEF 修订版 25,2017 年 9 月.

如果此编解码器从输入接收到的有效负载不是有效的 CEF 消息,则它会生成一个事件,其中有效负载作为 message 字段,并带有 _cefparsefailure 标签。

与 Elastic 通用模式 (ECS) 的兼容性编辑

此插件可用于将 CEF 事件解码为 Elastic 通用模式,或将与 ECS 兼容的事件编码为 CEF。它也可以不使用 ECS,仅使用 CEF 定义的字段名称和键来编码和解码事件。

特定插件实例的 ECS 兼容性模式可以通过在定义编解码器时设置 ecs_compatibility 来控制。

    input {
      tcp {
        # ...
        codec => cef {
          ecs_compatibility => v1
        }
      }
    }

如果未指定,则使用 pipeline.ecs_compatibility 设置的值。

时间戳和 ECS 兼容性编辑

在 ECS 兼容性模式下解码时,时间戳类型字段将被解析并规范化为时间轴上的特定点。

由于 CEF 格式允许使用模棱两可的时间戳格式,因此会做出一些合理的假设。

  • 当时间戳不包含年份时,我们假设它发生在最近的过去(或非常接近的未来,以适应不同步的时钟和时区偏移量)。
  • 当时间戳不包含 UTC 偏移信息时,我们使用事件的时区 (dtzdeviceTimeZone 字段),或者回退到此插件的 default_timezone.
  • 使用提供的时间戳 locale 解析本地化时间戳。

字段映射编辑

每个 CEF 有效负载的标头字段将扩展到以下字段,具体取决于是否启用了 ECS。

标头字段映射编辑
ECS 已禁用 ECS 字段

cefVersion

[cef][version]

deviceVendor

[observer][vendor]

deviceProduct

[observer][product]

deviceVersion

[observer][version]

deviceEventClassId

[event][code]

name

[cef][name]

severity

[event][severity]

当使用 ecs_compatibility => disabled 解码 CEF 有效负载时,扩展中找到的缩写 CEF 键将被扩展,并且 CEF 字段名称将插入事件的根级别。

在 ECS 兼容性模式下解码时,ECS 字段将从有效负载扩展中找到的相应 CEF 字段名称 CEF 键填充。

以下是这些字段之间的映射。

扩展字段映射编辑
CEF 字段名称(可选 CEF 键) ECS 字段

agentAddress (agt)

[agent][ip]

agentDnsDomain

[cef][agent][registered_domain]

多个可能的 CEF 字段映射到此 ECS 字段。解码时,遇到的最后一个条目获胜。编码时,此字段具有更高优先级。

agentHostName (ahost)

[agent][name]

agentId (aid)

[agent][id]

agentMacAddress (amac)

[agent][mac]

agentNtDomain

[cef][agent][registered_domain]

多个可能的 CEF 字段映射到此 ECS 字段。解码时,遇到的最后一个条目获胜。编码时,此字段具有较低优先级。

agentReceiptTime (art)

[event][created]

此字段包含时间戳。在 ECS 兼容性模式下,它被解析为时间轴上的特定点。

agentTimeZone (atz)

[cef][agent][timezone]

agentTranslatedAddress

[cef][agent][nat][ip]

agentTranslatedZoneExternalID

[cef][agent][translated_zone][external_id]

agentTranslatedZoneURI

[cef][agent][translated_zone][uri]

agentType (at)

[agent][type]

agentVersion (av)

[agent][version]

agentZoneExternalID

[cef][agent][zone][external_id]

agentZoneURI

[cef][agent][zone][uri]

applicationProtocol (app)

[network][protocol]

baseEventCount (cnt)

[cef][base_event_count]

bytesIn (in)

[source][bytes]

bytesOut (out)

[destination][bytes]

categoryDeviceType (catdt)

[cef][device_type]

customerExternalID

[organization][id]

customerURI

[organization][name]

destinationAddress (dst)

[destination][ip]

destinationDnsDomain

[destination][registered_domain]

多个可能的 CEF 字段映射到此 ECS 字段。解码时,遇到的最后一个条目获胜。编码时,此字段具有更高优先级。

destinationGeoLatitude (dlat)

[destination][geo][location][lat]

destinationGeoLongitude (dlong)

[destination][geo][location][lon]

destinationHostName (dhost)

[destination][domain]

destinationMacAddress (dmac)

[destination][mac]

destinationNtDomain (dntdom)

[destination][registered_domain]

多个可能的 CEF 字段映射到此 ECS 字段。解码时,遇到的最后一个条目获胜。编码时,此字段具有较低优先级。

destinationPort (dpt)

[destination][port]

destinationProcessId (dpid)

[destination][process][pid]

destinationProcessName (dproc)

[destination][process][name]

destinationServiceName

[destination][service][name]

destinationTranslatedAddress

[destination][nat][ip]

destinationTranslatedPort

[destination][nat][port]

destinationTranslatedZoneExternalID

[cef][destination][translated_zone][external_id]

destinationTranslatedZoneURI

[cef][destination][translated_zone][uri]

destinationUserId (duid)

[destination][user][id]

destinationUserName (duser)

[destination][user][name]

destinationUserPrivileges (dpriv)

[destination][user][group][name]

destinationZoneExternalID

[cef][destination][zone][external_id]

destinationZoneURI

[cef][destination][zone][uri]

deviceAction (act)

[event][action]

deviceAddress (dvc)

[observer][ip]

当插件配置为 device => observer

[host][ip]

当插件配置为 device => host

deviceCustomFloatingPoint1 (cfp1)

[cef][device_custom_floating_point_1][value]

deviceCustomFloatingPoint1Label (cfp1Label)

[cef][device_custom_floating_point_1][label]

deviceCustomFloatingPoint2 (cfp2)

[cef][device_custom_floating_point_2][value]

deviceCustomFloatingPoint2Label (cfp2Label)

[cef][device_custom_floating_point_2][label]

deviceCustomFloatingPoint3 (cfp3)

[cef][device_custom_floating_point_3][value]

deviceCustomFloatingPoint3Label (cfp3Label)

[cef][device_custom_floating_point_3][label]

deviceCustomFloatingPoint4 (cfp4)

[cef][device_custom_floating_point_4][value]

deviceCustomFloatingPoint4Label (cfp4Label)

[cef][device_custom_floating_point_4][label]

deviceCustomFloatingPoint5 (cfp5)

[cef][device_custom_floating_point_5][value]

deviceCustomFloatingPoint5Label (cfp5Label)

[cef][device_custom_floating_point_5][label]

deviceCustomFloatingPoint6 (cfp6)

[cef][device_custom_floating_point_6][value]

deviceCustomFloatingPoint6Label (cfp6Label)

[cef][device_custom_floating_point_6][label]

deviceCustomFloatingPoint7 (cfp7)

[cef][device_custom_floating_point_7][value]

deviceCustomFloatingPoint7Label (cfp7Label)

[cef][device_custom_floating_point_7][label]

deviceCustomFloatingPoint8 (cfp8)

[cef][device_custom_floating_point_8][value]

deviceCustomFloatingPoint8Label (cfp8Label)

[cef][device_custom_floating_point_8][label]

deviceCustomFloatingPoint9 (cfp9)

[cef][device_custom_floating_point_9][value]

deviceCustomFloatingPoint9Label (cfp9Label)

[cef][device_custom_floating_point_9][label]

deviceCustomFloatingPoint10 (cfp10)

[cef][device_custom_floating_point_10][value]

deviceCustomFloatingPoint10Label (cfp10Label)

[cef][device_custom_floating_point_10][label]

deviceCustomFloatingPoint11 (cfp11)

[cef][device_custom_floating_point_11][value]

deviceCustomFloatingPoint11Label (cfp11Label)

[cef][device_custom_floating_point_11][label]

deviceCustomFloatingPoint12 (cfp12)

[cef][device_custom_floating_point_12][value]

deviceCustomFloatingPoint12Label (cfp12Label)

[cef][device_custom_floating_point_12][label]

deviceCustomFloatingPoint13 (cfp13)

[cef][device_custom_floating_point_13][value]

deviceCustomFloatingPoint13Label (cfp13Label)

[cef][device_custom_floating_point_13][label]

deviceCustomFloatingPoint14 (cfp14)

[cef][device_custom_floating_point_14][value]

deviceCustomFloatingPoint14Label (cfp14Label)

[cef][device_custom_floating_point_14][label]

deviceCustomFloatingPoint15 (cfp15)

[cef][device_custom_floating_point_15][value]

deviceCustomFloatingPoint15Label (cfp15Label)

[cef][device_custom_floating_point_15][label]

deviceCustomIPv6Address1 (c6a1)

[cef][device_custom_ipv6_address_1][value]

deviceCustomIPv6Address1Label (c6a1Label)

[cef][device_custom_ipv6_address_1][label]

deviceCustomIPv6Address2 (c6a2)

[cef][device_custom_ipv6_address_2][value]

deviceCustomIPv6Address2Label (c6a2Label)

[cef][device_custom_ipv6_address_2][label]

deviceCustomIPv6Address3 (c6a3)

[cef][device_custom_ipv6_address_3][value]

deviceCustomIPv6Address3Label (c6a3Label)

[cef][device_custom_ipv6_address_3][label]

deviceCustomIPv6Address4 (c6a4)

[cef][device_custom_ipv6_address_4][value]

deviceCustomIPv6Address4Label (c6a4Label)

[cef][device_custom_ipv6_address_4][label]

deviceCustomIPv6Address5 (c6a5)

[cef][device_custom_ipv6_address_5][value]

deviceCustomIPv6Address5Label (c6a5Label)

[cef][device_custom_ipv6_address_5][label]

deviceCustomIPv6Address6 (c6a6)

[cef][device_custom_ipv6_address_6][value]

deviceCustomIPv6Address6Label (c6a6Label)

[cef][device_custom_ipv6_address_6][label]

deviceCustomIPv6Address7 (c6a7)

[cef][device_custom_ipv6_address_7][value]

deviceCustomIPv6Address7Label (c6a7Label)

[cef][device_custom_ipv6_address_7][label]

deviceCustomIPv6Address8 (c6a8)

[cef][device_custom_ipv6_address_8][value]

deviceCustomIPv6Address8Label (c6a8Label)

[cef][device_custom_ipv6_address_8][label]

deviceCustomIPv6Address9 (c6a9)

[cef][device_custom_ipv6_address_9][value]

deviceCustomIPv6Address9Label (c6a9Label)

[cef][device_custom_ipv6_address_9][label]

deviceCustomIPv6Address10 (c6a10)

[cef][device_custom_ipv6_address_10][value]

deviceCustomIPv6Address10Label (c6a10Label)

[cef][device_custom_ipv6_address_10][label]

deviceCustomIPv6Address11 (c6a11)

[cef][device_custom_ipv6_address_11][value]

deviceCustomIPv6Address11Label (c6a11Label)

[cef][device_custom_ipv6_address_11][label]

deviceCustomIPv6Address12 (c6a12)

[cef][device_custom_ipv6_address_12][value]

deviceCustomIPv6Address12Label (c6a12Label)

[cef][device_custom_ipv6_address_12][label]

deviceCustomIPv6Address13 (c6a13)

[cef][device_custom_ipv6_address_13][value]

deviceCustomIPv6Address13Label (c6a13Label)

[cef][device_custom_ipv6_address_13][label]

deviceCustomIPv6Address14 (c6a14)

[cef][device_custom_ipv6_address_14][value]

deviceCustomIPv6Address14Label (c6a14Label)

[cef][device_custom_ipv6_address_14][label]

deviceCustomIPv6Address15 (c6a15)

[cef][device_custom_ipv6_address_15][value]

deviceCustomIPv6Address15Label (c6a15Label)

[cef][device_custom_ipv6_address_15][label]

deviceCustomNumber1 (cn1)

[cef][device_custom_number_1][value]

deviceCustomNumber1Label (cn1Label)

[cef][device_custom_number_1][label]

deviceCustomNumber2 (cn2)

[cef][device_custom_number_2][value]

deviceCustomNumber2Label (cn2Label)

[cef][device_custom_number_2][label]

deviceCustomNumber3 (cn3)

[cef][device_custom_number_3][value]

deviceCustomNumber3Label (cn3Label)

[cef][device_custom_number_3][label]

deviceCustomNumber4 (cn4)

[cef][device_custom_number_4][value]

deviceCustomNumber4Label (cn4Label)

[cef][device_custom_number_4][label]

deviceCustomNumber5 (cn5)

[cef][device_custom_number_5][value]

deviceCustomNumber5Label (cn5Label)

[cef][device_custom_number_5][label]

deviceCustomNumber6 (cn6)

[cef][device_custom_number_6][value]

deviceCustomNumber6Label (cn6Label)

[cef][device_custom_number_6][label]

deviceCustomNumber7 (cn7)

[cef][device_custom_number_7][value]

deviceCustomNumber7Label (cn7Label)

[cef][device_custom_number_7][label]

deviceCustomNumber8 (cn8)

[cef][device_custom_number_8][value]

deviceCustomNumber8Label (cn8Label)

[cef][device_custom_number_8][label]

deviceCustomNumber9 (cn9)

[cef][device_custom_number_9][value]

deviceCustomNumber9Label (cn9Label)

[cef][device_custom_number_9][label]

deviceCustomNumber10 (cn10)

[cef][device_custom_number_10][value]

deviceCustomNumber10Label (cn10Label)

[cef][device_custom_number_10][label]

deviceCustomNumber11 (cn11)

[cef][device_custom_number_11][value]

deviceCustomNumber11Label (cn11Label)

[cef][device_custom_number_11][label]

deviceCustomNumber12 (cn12)

[cef][device_custom_number_12][value]

deviceCustomNumber12Label (cn12Label)

[cef][device_custom_number_12][label]

deviceCustomNumber13 (cn13)

[cef][device_custom_number_13][value]

deviceCustomNumber13Label (cn13Label)

[cef][device_custom_number_13][label]

deviceCustomNumber14 (cn14)

[cef][device_custom_number_14][value]

deviceCustomNumber14Label (cn14Label)

[cef][device_custom_number_14][label]

deviceCustomNumber15 (cn15)

[cef][device_custom_number_15][value]

deviceCustomNumber15Label (cn15Label)

[cef][device_custom_number_15][label]

deviceCustomString1 (cs1)

[cef][device_custom_string_1][value]

deviceCustomString1Label (cs1Label)

[cef][device_custom_string_1][label]

deviceCustomString2 (cs2)

[cef][device_custom_string_2][value]

deviceCustomString2Label (cs2Label)

[cef][device_custom_string_2][label]

deviceCustomString3 (cs3)

[cef][device_custom_string_3][value]

deviceCustomString3Label (cs3Label)

[cef][device_custom_string_3][label]

deviceCustomString4 (cs4)

[cef][device_custom_string_4][value]

deviceCustomString4Label (cs4Label)

[cef][device_custom_string_4][label]

deviceCustomString5 (cs5)

[cef][device_custom_string_5][value]

deviceCustomString5Label (cs5Label)

[cef][device_custom_string_5][label]

deviceCustomString6 (cs6)

[cef][device_custom_string_6][value]

deviceCustomString6Label (cs6Label)

[cef][device_custom_string_6][label]

deviceCustomString7 (cs7)

[cef][device_custom_string_7][value]

deviceCustomString7Label (cs7Label)

[cef][device_custom_string_7][label]

deviceCustomString8 (cs8)

[cef][device_custom_string_8][value]

deviceCustomString8Label (cs8Label)

[cef][device_custom_string_8][label]

deviceCustomString9 (cs9)

[cef][device_custom_string_9][value]

deviceCustomString9Label (cs9Label)

[cef][device_custom_string_9][label]

deviceCustomString10 (cs10)

[cef][device_custom_string_10][value]

deviceCustomString10Label (cs10Label)

[cef][device_custom_string_10][label]

deviceCustomString11 (cs11)

[cef][device_custom_string_11][value]

deviceCustomString11Label (cs11Label)

[cef][device_custom_string_11][label]

deviceCustomString12 (cs12)

[cef][device_custom_string_12][value]

deviceCustomString12Label (cs12Label)

[cef][device_custom_string_12][label]

deviceCustomString13 (cs13)

[cef][device_custom_string_13][value]

deviceCustomString13Label (cs13Label)

[cef][device_custom_string_13][label]

deviceCustomString14 (cs14)

[cef][device_custom_string_14][value]

deviceCustomString14Label (cs14Label)

[cef][device_custom_string_14][label]

deviceCustomString15 (cs15)

[cef][device_custom_string_15][value]

deviceCustomString15Label (cs15Label)

[cef][device_custom_string_15][label]

deviceDirection

[network][direction]

deviceDnsDomain

[observer][registered_domain]

当插件配置为 device => observer 时。

[host][registered_domain]

当插件配置为 device => host 时。

deviceEventCategory (cat)

[cef][category]

deviceExternalId

[observer][name]

当插件配置为 device => observer 时。

[host][id]

当插件配置为 device => host 时。

deviceFacility

[log][syslog][facility][code]

deviceHostName (dvchost)

[observer][hostname]

当插件配置为 device => observer 时。

[host][name]

当插件配置为 device => host 时。

deviceInboundInterface

[observer][ingress][interface][name]

deviceMacAddress (dvcmac)

[observer][mac]

当插件配置为 device => observer 时。

[host][mac]

当插件配置为 device => host 时。

deviceNtDomain

[cef][nt_domain]

deviceOutboundInterface

[observer][egress][interface][name]

devicePayloadId

[cef][payload_id]

deviceProcessId (dvcpid)

[process][pid]

deviceProcessName

[process][name]

deviceReceiptTime (rt)

@timestamp

此字段包含时间戳。在 ECS 兼容性模式下,它被解析为时间轴上的特定点。

deviceTimeZone (dtz)

[event][timezone]

deviceTranslatedAddress

[host][nat][ip]

deviceTranslatedZoneExternalID

[cef][translated_zone][external_id]

deviceTranslatedZoneURI

[cef][translated_zone][uri]

deviceVersion

[observer][version]

deviceZoneExternalID

[cef][zone][external_id]

deviceZoneURI

[cef][zone][uri]

endTime (end)

[event][end]

此字段包含时间戳。在 ECS 兼容性模式下,它被解析为时间轴上的特定点。

eventId

[event][id]

eventOutcome (outcome)

[event][outcome]

externalId

[cef][external_id]

fileCreateTime

[file][created]

fileHash

[file][hash]

fileId

[file][inode]

fileModificationTime

[file][mtime]

此字段包含时间戳。在 ECS 兼容性模式下,它被解析为时间轴上的特定点。

fileName (fname)

[file][name]

filePath

[file][path]

filePermission

[file][group]

fileSize (fsize)

[file][size]

fileType

[file][extension]

managerReceiptTime (mrt)

[event][ingested]

此字段包含时间戳。在 ECS 兼容性模式下,它被解析为时间轴上的特定点。

message (msg)

[message]

oldFileCreateTime

[cef][old_file][created]

此字段包含时间戳。在 ECS 兼容性模式下,它被解析为时间轴上的特定点。

oldFileHash

[cef][old_file][hash]

oldFileId

[cef][old_file][inode]

oldFileModificationTime

[cef][old_file][mtime]

此字段包含时间戳。在 ECS 兼容性模式下,它被解析为时间轴上的特定点。

oldFileName

[cef][old_file][name]

oldFilePath

[cef][old_file][path]

oldFilePermission

[cef][old_file][group]

旧文件大小

[cef][old_file][size]

旧文件类型

[cef][old_file][extension]

原始事件

[event][original]

原因 (reason)

[event][reason]

请求客户端应用程序

[user_agent][original]

请求上下文

[http][request][referrer]

请求 Cookie

[cef][request][cookies]

请求方法

[http][request][method]

请求 URL (request)

[url][original]

源地址 (src)

[source][ip]

源 DNS 域名

[source][registered_domain]

多个可能的 CEF 字段映射到此 ECS 字段。解码时,遇到的最后一个条目获胜。编码时,此字段具有更高优先级。

源地理纬度 (slat)

[source][geo][location][lat]

源地理经度 (slong)

[source][geo][location][lon]

源主机名 (shost)

[source][domain]

源 MAC 地址 (smac)

[source][mac]

源 NT 域 (sntdom)

[source][registered_domain]

多个可能的 CEF 字段映射到此 ECS 字段。解码时,遇到的最后一个条目获胜。编码时,此字段具有较低优先级。

源端口 (spt)

[source][port]

源进程 ID (spid)

[source][process][pid]

源进程名称 (sproc)

[source][process][name]

源服务名称

[source][service][name]

源翻译地址

[source][nat][ip]

源翻译端口

[source][nat][port]

源翻译区域外部 ID

[cef][source][translated_zone][external_id]

源翻译区域 URI

[cef][source][translated_zone][uri]

源用户 ID (suid)

[source][user][id]

源用户名 (suser)

[source][user][name]

源用户权限 (spriv)

[source][user][group][name]

源区域外部 ID

[cef][source][zone][external_id]

源区域 URI

[cef][source][zone][uri]

开始时间 (start)

[event][start]

此字段包含时间戳。在 ECS 兼容性模式下,它被解析为时间轴上的特定点。

传输协议 (proto)

[network][transport]

类型

[cef][type]

Cef 编解码器配置选项edit

设置 输入类型 必需

default_timezone

字符串

delimiter

字符串

设备

字符串

ecs_compatibility

字符串

fields

数组

locale

字符串

name

字符串

产品

字符串

reverse_mapping

布尔值

severity

字符串

签名

字符串

供应商

字符串

版本

字符串

 

default_timezoneedit

  • 值类型为 字符串

  • 支持的值为

    • 时区名称(例如 Europe/MoscowAmerica/Argentina/Buenos_Aires
    • UTC 偏移量(例如 -08:00+03:00
  • 默认值为您的系统时区
  • 此选项在编码时无效。

在 ECS 模式下解析时间戳字段时,如果遇到不包含 UTC 偏移量信息的事件,则使用 CEF 负载中的 deviceTimeZone (dtz) 字段来解释给定的时间。如果事件不包含时区信息,则使用此 default_timezone

delimiteredit

  • 值类型为 字符串
  • 此设置没有默认值。

如果您的输入在每个 CEF 事件之间放置分隔符,则需要将此设置为该分隔符。

TCP 等字节流输入需要指定分隔符。否则,输入可能会被截断或错误地拆分。

示例

    input {
      tcp {
        codec => cef { delimiter => "\r\n" }
        # ...
      }
    }

此设置允许以下字符序列具有特殊含义

  • \r(反斜杠“r”) - 表示回车符(ASCII 0x0D)
  • \n(反斜杠“n”) - 表示换行符(ASCII 0x0A)

deviceedit

  • 值类型为 字符串

  • 支持的值为

    • observer:表示特定于设备的字段代表用于观察事件的设备。
    • host:表示特定于设备的字段代表发生事件的设备。
  • 此设置的默认值为 observer
  • 选项在 ecs_compatibility => disabled 时无效。
  • 选项在编码时无效

将一组特定于设备的 CEF 字段定义为表示发生事件的设备,还是仅仅表示观察事件的设备。这会导致相关字段被路由到 hostobserver 顶级分组。

如果编解码器处理来自各种来源的数据,ECS 建议使用 observer

ecs_compatibilityedit

  • 值类型为 字符串

  • 支持的值为

    • disabled:在事件中使用 CEF 定义的字段名称(例如,bytesInsourceAddress
    • v1:支持 ECS 兼容的事件字段(例如,[source][bytes][source][ip]

  • 默认值取决于运行的 Logstash 版本

    • 当 Logstash 提供 pipeline.ecs_compatibility 设置时,其值将用作默认值
    • 否则,默认值为 disabled

控制此插件与 Elastic Common Schema (ECS) 的兼容性。

fieldsedit

  • 值类型为 数组
  • 默认值为 []
  • 选项在解码时无效

当此编解码器在输出插件中使用时,可以提供一个字段列表,这些字段将作为键值对包含在 CEF 扩展部分中。

localeedit

  • 值类型为 字符串

  • 支持的值为

    • 缩写 language_COUNTRY 格式(例如,en_GBpt_BR
    • 有效的 IETF BCP 47 语言标签(例如,zh-cmn-Hans-CN
  • 默认值为您的系统区域设置
  • 选项在编码时无效

在 ECS 模式下解析时间戳字段时,如果遇到以本地化格式表示的时间戳,则使用此 locale 来解释本地化字符串,例如月份缩写。

nameedit

  • 值类型为 字符串
  • 默认值为 "Logstash"
  • 选项在解码时无效

当此编解码器在输出插件中使用时,此选项可用于指定 CEF 标头中名称字段的值。新值可以包含 %{foo} 字符串,以帮助您从事件的其他部分构建新值。

productedit

  • 值类型为 字符串
  • 默认值为 "Logstash"
  • 选项在解码时无效

当此编解码器在输出插件中使用时,此选项可用于指定 CEF 标头中设备产品字段的值。新值可以包含 %{foo} 字符串,以帮助您从事件的其他部分构建新值。

reverse_mappingedit

  • 值类型为 布尔值
  • 默认值为 false
  • 选项在解码时无效

设置为 true 以遵守规范并使用 CEF 字段名称的 CEF 键名称(简称)进行编码。

severityedit

  • 值类型为 字符串
  • 默认值为 "6"
  • 选项在解码时无效

当此编解码器在输出插件中使用时,此选项可用于指定 CEF 标头中严重性字段的值。新值可以包含 %{foo} 字符串,以帮助您从事件的其他部分构建新值。

定义为字符串类型字段以允许 sprintf。该值将被验证为介于 0 到 10(包括)之间的整数。所有无效值都将映射到默认值 6。

signatureedit

  • 值类型为 字符串
  • 默认值为 "Logstash"
  • 选项在解码时无效

当此编解码器在输出插件中使用时,此选项可用于指定 CEF 标头中签名 ID 字段的值。新值可以包含 %{foo} 字符串,以帮助您从事件的其他部分构建新值。

vendoredit

  • 值类型为 字符串
  • 默认值为 "Elasticsearch"
  • 选项在解码时无效

当此编解码器在输出插件中使用时,此选项可用于指定 CEF 标头中设备供应商字段的值。新值可以包含 %{foo} 字符串,以帮助您从事件的其他部分构建新值。

versionedit

  • 值类型为 字符串
  • 默认值为 "1.0"
  • 选项在解码时无效

当此编解码器在输出插件中使用时,此选项可用于指定 CEF 标头中设备版本字段的值。新值可以包含 %{foo} 字符串,以帮助您从事件的其他部分构建新值。

« Avro 编解码插件 Cloudfront 编解码插件 »