Compatibilidad y restricciones de procesadores

Recuento máximo

Una canalización puede tener como máximo 20 procesadores

Ubicación del analizador

Los procesadores analizadores (OCSF, CSV, Grok, etc.), si se usan, deben ser el primer procesador de una canalización.

Procesadores únicos

Los siguientes procesadores solo pueden aparecer una vez por canalización:

Tipo de procesador	Origen de Registros de CloudWatch	Origen de S3	Orígenes basados en API
OCSF	Debe ser el primer procesador	Debe ser el primer procesador	Debe ser el primer procesador
parse_vpc	Debe ser el primer procesador	No aplicable	No aplicable
parse_route53	Debe ser el primer procesador	No aplicable	No aplicable
parse_json	Debe ser el primer procesador	Debe ser el primer procesador	Debe ser el primer procesador
grok	Debe ser el primer procesador	Debe ser el primer procesador	Debe ser el primer procesador
csv	Debe ser el primer procesador	No compatible	No compatible
key_value	Debe ser el primer procesador	Debe ser el primer procesador	Debe ser el primer procesador
add_entries	Debe ser el primer procesador	Debe ser el primer procesador	Debe ser el primer procesador
copy_values	Debe ser el primer procesador	Debe ser el primer procesador	Debe ser el primer procesador
Procesadores de cadenas (lowercase, uppercase, trim)	Debe ser el primer procesador	Debe ser el primer procesador	Debe ser el primer procesador
Procesadores de campos (move_keys, rename_keys)	Debe ser el primer procesador	Debe ser el primer procesador	Debe ser el primer procesador
Transformación de datos (date, flatten)	Debe ser el primer procesador	Debe ser el primer procesador	Debe ser el primer procesador

Debe ser el primer procesador: Cuando se usan, deben ser el primer procesador de la configuración de canalización.
No compatible: No se pueden usar con este tipo de origen.
No aplicable: El procesador no es pertinente para este tipo de origen.

Restricciones específicas del procesador

Restricciones del procesador por tipo de origen
Procesador	Tipo de origen	Restricciones
OCSF	Registros de CloudWatch con CloudTrail	Solo se permite cuando `data_source_name` es `aws_cloudtrail`. Debe usar una versión de esquema específica de CloudTrail. No se puede combinar con otros procesadores.
OCSF	Orígenes basados en API	Debe usar un esquema específico del origen (por ejemplo, microsoft_office365_management_activity para Office 365). Requiere una versión de asignación específica para cada tipo de origen. Debe ser el primer procesador de la canalización.
parse_vpc	Registros de CloudWatch	Solo es válido para registros de flujo de VPC. Debe ser el primer procesador La entrada debe contener el formato de registro de flujo de VPC sin procesar.
parse_route53	Registros de CloudWatch	Solo es válido para los registros de consulta de Route 53 Resolver. Debe ser el primer procesador La entrada debe contener el formato de registro de consulta de Route 53 Resolver.
add_entries	Todos los orígenes	Una instancia por canalización como máximo Los nombres de claves deben ser válidos de acuerdo con las reglas de nomenclatura de campos.
copy_values	Todos los orígenes	Una instancia por canalización como máximo Los campos de origen deben existir en el evento.

Cuando se usan procesadores con restricciones:

Valide siempre la configuración de la canalización mediante la API ValidateTelemetryPipelineConfiguration antes de la implementación.
Pruebe la canalización con datos de muestra mediante la API TestTelemetryPipeline para garantizar un procesamiento adecuado.
Supervise las métricas de la canalización después de la implementación para garantizar que los eventos se procesen según lo esperado.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Casos de uso de procesadores comunes

Receptores