本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
處理器相容性和限制
一般處理器規則
- 計數上限
-
管道最多可以有 20 個處理器。
- 剖析器置放
-
剖析器處理器 (OCSF、CSV、Grok 等),如果使用的話,必須是管道中的第一個處理器。
- 唯一處理器
-
下列處理器每個管道只能顯示一次:
-
add_entries -
copy_values
-
| 處理器類型 | CloudWatch Logs 來源 | S3 來源 | 以 API 為基礎的來源 |
|---|---|---|---|
| OCSF | 必須是第一個處理器 | 必須是第一個處理器 | 必須是第一個處理器 |
| parse_vpc | 必須是第一個處理器 | 不適用 | 不適用 |
| parse_route53 | 必須是第一個處理器 | 不適用 | 不適用 |
| parse_json | 必須是第一個處理器 | 必須是第一個處理器 | 必須是第一個處理器 |
| grok | 必須是第一個處理器 | 必須是第一個處理器 | 必須是第一個處理器 |
| csv | 必須是第一個處理器 | 不相容 | 不相容 |
| key_value | 必須是第一個處理器 | 必須是第一個處理器 | 必須是第一個處理器 |
| add_entries | 必須是第一個處理器 | 必須是第一個處理器 | 必須是第一個處理器 |
| copy_values | 必須是第一個處理器 | 必須是第一個處理器 | 必須是第一個處理器 |
| 字串處理器 (小寫、大寫、修剪) | 必須是第一個處理器 | 必須是第一個處理器 | 必須是第一個處理器 |
| 欄位處理器 (move_keys、rename_keys) | 必須是第一個處理器 | 必須是第一個處理器 | 必須是第一個處理器 |
| 資料轉換 (日期、平面) | 必須是第一個處理器 | 必須是第一個處理器 | 必須是第一個處理器 |
相容性定義
- 必須是第一個處理器
-
使用時, 必須是管道組態中的第一個處理器
- 不相容
-
無法與此來源類型搭配使用
- 不適用
-
處理器與此來源類型無關
處理器特定限制
| 處理器 | 來源類型 | 限制 |
|---|---|---|
| OCSF | 使用 CloudTrail 的 CloudWatch Logs CloudTrail |
|
| OCSF | 以 API 為基礎的來源 |
|
| parse_vpc | CloudWatch Logs |
|
| parse_route53 | CloudWatch Logs |
|
| add_entries | 所有來源 |
|
| copy_values | 所有來源 |
|
重要
使用具有限制的處理器時:
-
在部署之前,請務必使用
ValidateTelemetryPipelineConfigurationAPI 驗證管道組態 -
使用
TestTelemetryPipelineAPI 使用範例資料測試管道,以確保適當處理 -
在部署後監控管道指標,以確保事件如預期般處理
