本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
parseToOCSF
parseToOCSF 處理器會將日誌轉換為開放網路安全結構描述架構 (OCSF) 事件。OCSF 是一項開放標準,提供常見的安全資料結構描述,可在不同的安全工具和平台上提供更佳的互通性和分析。
此處理器特別適用於您需要將各種 AWS 服務的日誌格式標準化為一致結構描述以進行下游分析的安全分析工作流程。
參數
eventSource(必要)-
指定產生要轉換之日誌事件 AWS 的服務或程序。有效的 值如下:
CloudTrail- CloudTrail 日誌Route53Resolver- Route 53 Resolver 日誌VPCFlow- Amazon VPC 流程日誌EKSAudit- Amazon EKS 稽核日誌AWSWAF- AWS WAF logs
ocsfVersion(必要)-
指定要用於轉換日誌事件的 OCSF 結構描述版本。目前支援的版本:
V1.1 source(選用)-
您要剖析之日誌事件中 欄位的路徑。如果省略,則會剖析整個日誌訊息。
範例
下列範例示範如何使用 parseToOCSF將 VPC 流程日誌轉換為 OCSF 格式:
{ "parseToOCSF": { "eventSource": "VPCFlow", "ocsfVersion": "V1.1" } }
