프로세서 호환성 및 제한 사항
일반 프로세서 규칙
- 최대 개수
-
파이프라인 1개에 최대 20개의 프로세서까지 가능합니다.
- 파서 배치
-
파서 프로세서(OCSF, CSV, Grok 등)가 파이프라인의 첫 번째 프로세서여야 합니다.
- 고유 프로세서
-
다음 프로세서는 파이프라인당 한 번만 표시될 수 있습니다.
-
add_entries -
copy_values
-
| 프로세서 유형 | CloudWatch Logs 소스 | S3 소스 | API 기반 소스 |
|---|---|---|---|
| OCSF | 첫 번째 프로세서여야 합니다. | 첫 번째 프로세서여야 합니다. | 첫 번째 프로세서여야 합니다. |
| parse_vpc | 첫 번째 프로세서여야 합니다. | 해당 사항 없음 | 해당 사항 없음 |
| parse_route53 | 첫 번째 프로세서여야 합니다. | 해당 사항 없음 | 해당 사항 없음 |
| parse_json | 첫 번째 프로세서여야 합니다. | 첫 번째 프로세서여야 합니다. | 첫 번째 프로세서여야 합니다. |
| grok | 첫 번째 프로세서여야 합니다. | 첫 번째 프로세서여야 합니다. | 첫 번째 프로세서여야 합니다. |
| csv | 첫 번째 프로세서여야 합니다. | 호환되지 않음 | 호환되지 않음 |
| key_value | 첫 번째 프로세서여야 합니다. | 첫 번째 프로세서여야 합니다. | 첫 번째 프로세서여야 합니다. |
| add_entries | 첫 번째 프로세서여야 합니다. | 첫 번째 프로세서여야 합니다. | 첫 번째 프로세서여야 합니다. |
| copy_values | 첫 번째 프로세서여야 합니다. | 첫 번째 프로세서여야 합니다. | 첫 번째 프로세서여야 합니다. |
| 문자열 프로세서(소문자, 대문자, 자르기) | 첫 번째 프로세서여야 합니다. | 첫 번째 프로세서여야 합니다. | 첫 번째 프로세서여야 합니다. |
| 필드 프로세서(move_keys, rename_keys) | 첫 번째 프로세서여야 합니다. | 첫 번째 프로세서여야 합니다. | 첫 번째 프로세서여야 합니다. |
| 데이터 변환(날짜, 평면화) | 첫 번째 프로세서여야 합니다. | 첫 번째 프로세서여야 합니다. | 첫 번째 프로세서여야 합니다. |
호환성 정의
- 첫 번째 프로세서여야 합니다.
-
사용할 경우 파이프라인 구성에서 첫 번째 프로세서여야 합니다.
- 호환되지 않음
-
이 소스 유형과 함께 사용할 수 없습니다.
- 해당 사항 없음
-
프로세서가 이 소스 유형과 관련이 없습니다.
프로세서별 제한 사항
| 처리자 | 소스 유형 | 제한 사항 |
|---|---|---|
| OCSF | CloudWatch 로그를 CloudTrail과 함께 사용 |
|
| OCSF | API 기반 소스 |
|
| parse_vpc | CloudWatch Logs |
|
| parse_route53 | CloudWatch Logs |
|
| add_entries | 모든 소스 |
|
| copy_values | 모든 소스 |
|
중요
제한 사항이 있는 프로세서를 사용할 경우:
-
배포 전에 항상
ValidateTelemetryPipelineConfigurationAPI를 사용하여 파이프라인 구성을 검증합니다. -
TestTelemetryPipelineAPI를 사용해 샘플 데이터로 파이프라인을 테스트하여 올바르게 처리되도록 보장합니다. -
배포 후 파이프라인 지표를 모니터링하여 이벤트가 정상적으로 처리되고 있는지 확인합니다.
