parseToOCSF - Amazon CloudWatch Logs

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

parseToOCSF

parseToOCSF 處理器會將日誌轉換為開放網路安全結構描述架構 (OCSF) 事件。OCSF 是一項開放標準,提供常見的安全資料結構描述,可在不同的安全工具和平台上提供更好的互通性和分析。

此處理器特別適用於您需要將各種 AWS 服務的日誌格式標準化為一致結構描述以進行下游分析的安全分析工作流程。

參數

eventSource (必要)

指定產生要轉換之日誌事件 AWS 的服務或程序。有效的值如下:

  • CloudTrail - CloudTrail 日誌

  • Route53Resolver - Route 53 Resolver 日誌

  • VPCFlow - Amazon VPC 流程日誌

  • EKSAudit - Amazon EKS 稽核日誌

  • AWSWAF - AWS WAF logs

ocsfVersion (必要)

指定要用於轉換日誌事件的 OCSF 結構描述版本。目前支援的版本: V1.1, V1.5

mappingVersion (選用)

指定 OCSF 轉換映射版本。控制將日誌轉換為 OCSF 格式時套用哪些轉換邏輯。如果未指定, 會在政策建立時使用最新的可用版本。發佈新的映射版本時,現有的政策不會自動升級。目前最新版本:v1.5.0

注意:ocsfVersion為 時,不支援 V1.1

source (選用)

您要剖析之日誌事件中 欄位的路徑。如果省略,則會剖析整個日誌訊息。

範例

下列範例示範如何使用 parseToOCSF將 VPC 流程日誌轉換為 OCSF 格式:

{
  "parseToOCSF": {
    "eventSource": "VPCFlow",
    "ocsfVersion": "V1.1"
  }
}

下列範例示範如何指定特定映射版本,以實現一致的轉換行為:

{
  "parseToOCSF": {
    "eventSource": "CloudTrail",
    "ocsfVersion": "V1.5",
    "mappingVersion": "v1.5.0"
  }
}