parseToOCSF
parseToOCSF 处理器将日志转换为开放式网络安全架构框架 (OCSF) 事件。OCSF 是一种开放标准,它为安全数据提供了通用架构,从而能够在不同安全工具和平台之间实现更好的互操作性和分析。
此处理器对于安全分析工作流尤其有用,在这些工作流中,您需要将各种 AWS 服务的日志格式标准化为一致的架构以进行下游分析。
参数
eventSource(必需)-
指定生成要转换的日志事件的 AWS 服务或进程。有效值为:
CloudTrail- CloudTrail 日志Route53Resolver- Route 53 Resolver 日志VPCFlow- Amazon VPC 流日志EKSAudit- Amazon EKS 审计日志AWSWAF- AWS WAF 日志
ocsfVersion(必需)-
指定用于转换后的日志事件的 OCSF 架构版本。目前支持的版本:
V1.1 source(可选)-
要解析的日志事件中字段的路径。如果省略,则解析整条日志消息。
示例:
以下示例展示了如何使用 parseToOCSF 将 VPC 流日志转换为 OCSF 格式:
{ "parseToOCSF": { "eventSource": "VPCFlow", "ocsfVersion": "V1.1" } }
