本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
parsetoocsf
parseToOCSF处理器将日志转换为开放网络安全架构框架 (OCSF) 事件。OCSF 是一种开放标准,它为安全数据提供了通用架构,从而能够在不同的安全工具和平台之间实现更好的互操作性和分析。
该处理器对于安全分析工作流程特别有用,在这些工作流程中,您需要将来自各种 AWS 服务的日志格式标准化为一致的架构以进行下游分析。
参数
eventSource(必需)-
指定生成要转换的日志事件的 AWS 服务或进程。有效值为:
CloudTrail- CloudTrail 日志Route53Resolver-Route 53 Resolver 日志VPCFlow-亚马逊 VPC 流日志EKSAudit-亚马逊 EKS 审核日志AWSWAF- AWS WAF 日志
ocsfVersion(必需)-
指定用于转换后的日志事件的 OCSF 架构版本。目前支持的版本:
V1.1 source(可选)-
要解析的日志事件中字段的路径。如果省略,则解析整个日志消息。
示例
以下示例说明如何使用parseToOCSF将 VPC 流日志转换为 OCSF 格式:
{ "parseToOCSF": { "eventSource": "VPCFlow", "ocsfVersion": "V1.1" } }
