本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # parseToOCSF `parseToOCSF` 处理器将日志转换为开放式网络安全架构框架(OCSF)事件。OCSF 是一种开放标准,它为安全数据提供了通用架构,从而能够在不同安全工具和平台之间实现更好的互操作性和分析。 该处理器对于安全分析工作流程特别有用,在这些工作流程中,您需要将来自各种 AWS 服务的日志格式标准化为一致的架构以进行下游分析。 **参数** `eventSource`(必需) 指定生成要转换的日志事件的 AWS 服务或进程。有效值为: + `CloudTrail`- CloudTrail 日志 + `Route53Resolver`:Route 53 Resolver 日志 + `VPCFlow`:Amazon VPC 流日志 + `EKSAudit`:Amazon EKS 审计日志 + `AWSWAF`- AWS WAF 日志 `ocsfVersion`(必需) 指定用于转换后的日志事件的 OCSF 架构版本。目前支持的版本:`V1.1, V1.5` `mappingVersion`(可选) 指定 OCSF 转换映射版本。控制在将日志转换为 OCSF 格式时应用哪种转换逻辑。如果未指定,则在创建策略时使用最新的可用版本。发布新的映射版本时,现有策略不会自动升级。当前最新版本:`v1.5.0`. **注意:**在支持时`ocsfVersion`不支持`V1.1`。 `source`(可选) 要解析的日志事件中字段的路径。如果省略,则解析整条日志消息。 **示例** 以下示例展示了如何使用 `parseToOCSF` 将 VPC 流日志转换为 OCSF 格式: ``` { "parseToOCSF": { "eventSource": "VPCFlow", "ocsfVersion": "V1.1" } } ``` 以下示例说明如何为一致的转换行为指定特定的映射版本: ``` { "parseToOCSF": { "eventSource": "CloudTrail", "ocsfVersion": "V1.5", "mappingVersion": "v1.5.0" } } ```