本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
parseToOCSF
parseToOCSF 处理器将日志转换为开放式网络安全架构框架 (OCSF) 事件。OCSF 是一种开放标准,它为安全数据提供了通用架构,从而能够在不同安全工具和平台之间实现更好的互操作性和分析。
该处理器对于安全分析工作流程特别有用,在这些工作流程中,您需要将来自各种 Amazon 服务的日志格式标准化为一致的架构以进行下游分析。
参数
eventSource(必需)-
指定生成要转换的日志事件的 Amazon 服务或进程。有效值为:
-
CloudTrail- CloudTrail 日志 -
Route53Resolver- Route 53 Resolver 日志 -
VPCFlow- Amazon VPC 流日志 -
EKSAudit- Amazon EKS 审计日志 -
AWSWAF- Amazon WAF 日志
-
ocsfVersion(必需)-
指定用于转换后的日志事件的 OCSF 架构版本。目前支持的版本:
V1.1, V1.5 mappingVersion(可选)-
指定 OCSF 转换映射版本。控制在将日志转换为 OCSF 格式时应用哪种转换逻辑。如果未指定,则在创建策略时使用最新的可用版本。发布新的映射版本时,现有策略不会自动升级。当前最新版本:
v1.5.0.注意:在支持时
ocsfVersion不支持V1.1。 source(可选)-
要解析的日志事件中字段的路径。如果省略,则解析整条日志消息。
示例
以下示例展示了如何使用 parseToOCSF 将 VPC 流日志转换为 OCSF 格式:
{ "parseToOCSF": { "eventSource": "VPCFlow", "ocsfVersion": "V1.1" } }
以下示例说明如何为一致的转换行为指定特定的映射版本:
{ "parseToOCSF": { "eventSource": "CloudTrail", "ocsfVersion": "V1.5", "mappingVersion": "v1.5.0" } }