Compatibilidade e restrições de processador

Número máximo

Um pipeline pode ter no máximo 20 processadores.

Posicionamento do analisador

Os processadores de análise (OCSF, CSV, Grok etc.), se usados, devem ser o primeiro processador em um pipeline.

Processadores exclusivos

Os processadores a seguir só podem aparecer uma vez por pipeline:

Tipo de processador	Fonte do CloudWatch Logs	Fonte do S3	Fontes baseadas em API
OCSF	Deve ser o primeiro processador	Deve ser o primeiro processador	Deve ser o primeiro processador
parse_vpc	Deve ser o primeiro processador	Não aplicável	Não aplicável
parse_route53	Deve ser o primeiro processador	Não aplicável	Não aplicável
parse_json	Deve ser o primeiro processador	Deve ser o primeiro processador	Deve ser o primeiro processador
grok	Deve ser o primeiro processador	Deve ser o primeiro processador	Deve ser o primeiro processador
csv	Deve ser o primeiro processador	Não compatível	Não compatível
key_value	Deve ser o primeiro processador	Deve ser o primeiro processador	Deve ser o primeiro processador
add_entries	Deve ser o primeiro processador	Deve ser o primeiro processador	Deve ser o primeiro processador
copy_values	Deve ser o primeiro processador	Deve ser o primeiro processador	Deve ser o primeiro processador
Processadores de string (lowercase, uppercase, trim)	Deve ser o primeiro processador	Deve ser o primeiro processador	Deve ser o primeiro processador
Processadores de campo (move_keys, rename_keys)	Deve ser o primeiro processador	Deve ser o primeiro processador	Deve ser o primeiro processador
Transformação de dados (date, flatten)	Deve ser o primeiro processador	Deve ser o primeiro processador	Deve ser o primeiro processador

Deve ser o primeiro processador: Quando usado, deve ser o primeiro processador na configuração do pipeline
Não compatível: Não pode ser usado com esse tipo de origem
Não aplicável: O processador não é relevante para esse tipo de origem

Restrições específicas do processador

Restrições de processador por tipo de origem
Processor	Source type (Tipo de origem)	Restrições
OCSF	CloudWatch Logs com CloudTrail	Permitido apenas quando `data_source_name` é `aws_cloudtrail` Deve usar a versão de esquema específica do CloudTrail Não pode ser combinado com outros processadores
OCSF	Fontes baseadas em API	É necessário usar um esquema específico da origem (por exemplo, microsoft_office365_management_activity para Office 365) Requer uma versão de mapeamento específica para cada tipo de origem Deve ser o primeiro processador no pipeline
parse_vpc	CloudWatch Logs	Válido somente para VPC Flow Logs Deve ser o primeiro processador A entrada deve conter o formato bruto do VPC Flow Log
parse_route53	CloudWatch Logs	Válido somente para logs de consulta do Route 53 Resolver Deve ser o primeiro processador A entrada deve conter o formato de log de consultas do Route 53 Resolver
add_entries	Todas as origens	Máximo de uma instância por pipeline Os nomes das chaves devem ser válidos de acordo com as regras de nomenclatura de campo
copy_values	Todas as origens	Máximo de uma instância por pipeline Os campos de origem devem existir no evento

Ao usar processadores com restrições:

Sempre valide a configuração do pipeline usando a API ValidateTelemetryPipelineConfiguration antes da implantação
Teste o pipeline com dados de amostra usando a API TestTelemetryPipeline para garantir o processamento adequado
Monitore as métricas do pipeline após a implantação para garantir que os eventos sejam processados como esperado

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Casos de uso comuns de processador

Coletores