Kompatibilitas dan pembatasan prosesor - Amazon CloudWatch
Pembatasan khusus prosesor

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kompatibilitas dan pembatasan prosesor

Aturan prosesor umum
Hitungan maksimum

Sebuah pipa dapat memiliki paling banyak 20 prosesor.

Penempatan parser

Prosesor parser (OCSF, CSV, Grok, dll.), Jika digunakan, harus menjadi prosesor pertama dalam pipa.

Prosesor unik

Prosesor berikut hanya dapat muncul sekali per pipeline:

  • add_entries

  • copy_values

Jenis Prosesor CloudWatch Sumber Log Sumber S3 Sumber Berbasis API
OCSF Harus prosesor pertama Harus prosesor pertama Harus prosesor pertama
parse_vpc Harus prosesor pertama Tidak berlaku Tidak berlaku
parse_route53 Harus prosesor pertama Tidak berlaku Tidak berlaku
parse_json Harus prosesor pertama Harus prosesor pertama Harus prosesor pertama
grok Harus prosesor pertama Harus prosesor pertama Harus prosesor pertama
csv Harus prosesor pertama Tidak kompatibel Tidak kompatibel
key_nilai Harus prosesor pertama Harus prosesor pertama Harus prosesor pertama
add_entri Harus prosesor pertama Harus prosesor pertama Harus prosesor pertama
copy_values Harus prosesor pertama Harus prosesor pertama Harus prosesor pertama
Prosesor string (huruf kecil, huruf besar, trim) Harus prosesor pertama Harus prosesor pertama Harus prosesor pertama
Prosesor lapangan (move_keys, rename_keys) Harus prosesor pertama Harus prosesor pertama Harus prosesor pertama
Transformasi data (tanggal, ratakan) Harus prosesor pertama Harus prosesor pertama Harus prosesor pertama
Definisi kompatibilitas
Harus prosesor pertama

Ketika digunakan, harus menjadi prosesor pertama dalam konfigurasi pipa

Tidak kompatibel

Tidak dapat digunakan dengan tipe sumber ini

Tidak berlaku

Prosesor tidak relevan untuk jenis sumber ini

Pembatasan khusus prosesor

Pembatasan prosesor berdasarkan jenis sumber
Prosesor Jenis Sumber Pembatasan
OCSF CloudWatch Log dengan CloudTrail

  • Hanya diperbolehkan data_source_name bila aws_cloudtrail

  • Harus menggunakan versi skema CloudTrail -spesifik

  • Tidak dapat digabungkan dengan prosesor lain
OCSF Sumber Berbasis API

  • Harus menggunakan skema khusus sumber (misalnya, microsoft_office365_management_activity untuk Office 365)

  • Memerlukan versi pemetaan khusus untuk setiap jenis sumber

  • Harus prosesor pertama dalam pipa
parse_vpc CloudWatch Log

  • Hanya berlaku untuk VPC Flow Logs

  • Harus prosesor pertama

  • Masukan harus berisi format Log Aliran VPC mentah
parse_route53 CloudWatch Log

  • Hanya berlaku untuk Route 53 Resolver Query Logs

  • Harus prosesor pertama

  • Masukan harus berisi format log kueri Route 53 Resolver
add_entri Semua Sumber

  • Maksimum satu contoh per pipa

  • Nama kunci harus valid sesuai dengan aturan penamaan bidang
copy_values Semua Sumber

  • Maksimum satu contoh per pipa

  • Bidang sumber harus ada dalam acara
penting

Saat menggunakan prosesor dengan batasan:

  • Selalu validasi konfigurasi pipeline Anda menggunakan ValidateTelemetryPipelineConfiguration API sebelum penerapan

  • Uji pipeline dengan data sampel menggunakan TestTelemetryPipeline API untuk memastikan pemrosesan yang tepat

  • Pantau metrik pipeline setelah penerapan untuk memastikan peristiwa sedang diproses seperti yang diharapkan