プロセッサの互換性と制限事項
一般的なプロセッサルール
- 最大数
-
パイプラインには最大 20 個のプロセッサを含めることができます。
- パーサーの配置
-
パーサープロセッサ (OCSF、CSV、Grok など) を使用する場合、これらはパイプラインの最初のプロセッサである必要があります。
- 一意のプロセッサ
-
次のプロセッサは、パイプラインごとに 1 回のみ設定できます。
-
add_entries -
copy_values
-
| プロセッサタイプ | CloudWatch Logs ソース | S3 ソース | API ベースのソース |
|---|---|---|---|
| OCSF | 最初のプロセッサである必要があります | 最初のプロセッサである必要があります | 最初のプロセッサである必要があります |
| parse_vpc | 最初のプロセッサである必要があります | 該当しない | 該当しない |
| parse_route53 | 最初のプロセッサである必要があります | 該当しない | 該当しない |
| parse_json | 最初のプロセッサである必要があります | 最初のプロセッサである必要があります | 最初のプロセッサである必要があります |
| grok | 最初のプロセッサである必要があります | 最初のプロセッサである必要があります | 最初のプロセッサである必要があります |
| csv | 最初のプロセッサである必要があります | 互換性なし | 互換性なし |
| key_value | 最初のプロセッサである必要があります | 最初のプロセッサである必要があります | 最初のプロセッサである必要があります |
| add_entries | 最初のプロセッサである必要があります | 最初のプロセッサである必要があります | 最初のプロセッサである必要があります |
| copy_values | 最初のプロセッサである必要があります | 最初のプロセッサである必要があります | 最初のプロセッサである必要があります |
| 文字列プロセッサ (小文字、大文字、トリム) | 最初のプロセッサである必要があります | 最初のプロセッサである必要があります | 最初のプロセッサである必要があります |
| フィールドプロセッサ (move_keys、rename_keys) | 最初のプロセッサである必要があります | 最初のプロセッサである必要があります | 最初のプロセッサである必要があります |
| データ変換 (日付、フラット化) | 最初のプロセッサである必要があります | 最初のプロセッサである必要があります | 最初のプロセッサである必要があります |
互換性の定義
- 最初のプロセッサである必要があります
-
使用する場合、パイプライン設定の最初のプロセッサである必要があります
- 互換性なし
-
このソースタイプでは使用できません
- 該当しない
-
プロセッサはこのソースタイプに対応していません
プロセッサ固有の制限
| プロセッサ | ソースタイプ | 制限事項 |
|---|---|---|
| OCSF | CloudTrail を使用した CloudWatch Logs |
|
| OCSF | API ベースのソース |
|
| parse_vpc | CloudWatch Logs |
|
| parse_route53 | CloudWatch Logs |
|
| add_entries | すべてのソース |
|
| copy_values | すべてのソース |
|
重要
制限付きのプロセッサを使用する場合:
-
デプロイ前に必ず
ValidateTelemetryPipelineConfigurationAPI を使用してパイプライン設定を検証します -
TestTelemetryPipelineAPI を使用してサンプルデータでパイプラインをテストし、処理が適切であることを確認します -
デプロイ後にパイプラインのメトリクスをモニタリングして、イベントが期待どおりに処理されていることを確認します
