파서 프로세서
파서 프로세서는 원시 또는 반정형 로그 데이터를 정형 형식으로 변환합니다. 각 파이프라인에는 파서 프로세서가 최대 1개씩 포함될 수 있으며, 파서는 파이프라인의 첫 번째 프로세서여야 합니다.
OCSF 프로세서
OCSF(Open Cybersecurity Schema Framework) 표준에 따라 로그 데이터를 구문 분석하고 변환합니다.
구성
다음과 같은 파라미터를 사용하여 OCSF 프로세서를 구성합니다.
processor: - ocsf: version: "1.5" mapping_version: 1.5.0 schema: microsoft_office365_management_activity:
Parameters
version(필수)-
변환에 사용할 OCSF 스키마 버전입니다. 1.5 버전이어야 합니다.
mapping_version(필수)-
변환을 위한 OCSF 매핑 버전입니다. 1.5.0 버전이어야 합니다.
schema(필수)-
데이터 소스 유형을 지정하는 스키마 객체입니다. 지원되는 스키마는 파이프라인 소스 유형에 따라 다르며, 소스 유형마다 각자 호환되는 자체 OCSF 스키마 세트가 있습니다. 파이프라인의 소스 유형과 일치하는 스키마를 사용해야 합니다.
아래 표에는 지원되는 스키마 조합이 나와 있습니다.
| 파이프라인 소스 유형 | 지원되는 스키마 | 버전 | 매핑 버전 |
|---|---|---|---|
cloudwatch_logs |
cloud_trail: |
1.5 |
불필요 |
cloudwatch_logs |
route53_resolver: |
1.5 |
불필요 |
cloudwatch_logs |
vpc_flow: |
1.5 |
불필요 |
cloudwatch_logs |
eks_audit: |
1.5 |
불필요 |
cloudwatch_logs |
aws_waf: |
1.5 |
불필요 |
s3 |
모든 OCSF 스키마 | 임의 | 임의 |
microsoft_office365 |
microsoft_office365: |
1.5 |
1.5.0 |
microsoft_entraid |
microsoft_entraid: |
1.5 |
1.5.0 |
microsoft_windows_event |
microsoft_windows_event: |
1.5 |
1.5.0 |
paloaltonetworks_nextgenerationfirewall |
paloaltonetworks_nextgenerationfirewall: |
1.5 |
1.5.0 |
okta_auth0 |
okta_auth0: |
1.5 |
1.5.0 |
okta_sso |
okta_sso: |
1.5 |
1.5.0 |
crowdstrike_falcon |
crowdstrike_falcon: |
1.5 |
1.5.0 |
github_auditlogs |
github_auditlogs: |
1.5 |
1.5.0 |
sentinelone_endpointsecurity |
sentinelone_endpointsecurity: |
1.5 |
1.5.0 |
servicenow_cmdb |
servicenow_cmdb: |
1.5 |
1.5.0 |
wiz_cnapp |
wiz_cnapp: |
1.5 |
1.5.0 |
zscaler_internetaccess |
zscaler_internetaccess: |
1.5 |
1.5.0 |
CSV 프로세서
CSV 형식의 데이터를 정형 필드로 구문 분석합니다.
구성
다음과 같은 파라미터를 사용하여 CSV 프로세서를 구성합니다.
processor: - csv: column_names: ["col1", "col2", "col3"] delimiter: "," quote_character: '"'
Parameters
column_names(선택 사항)-
구문 분석된 필드의 열 이름 배열입니다. 열의 최대 수는 100개이며, 각 열의 이름은 최대 128자입니다. 이름이 제공되지 않은 경우 column_1, column_2 등으로 기본 설정됩니다.
delimiter(선택 사항)-
CSV 필드를 구분하는 데 사용되는 문자입니다. 단일 문자여야 합니다. 기본값은 쉼표(,)입니다.
quote_character(선택 사항)-
구분 기호가 포함된 CSV 필드를 인용하는 데 사용되는 문자입니다. 단일 문자여야 합니다. 기본값은 큰따옴표(")입니다.
추가 파라미터를 지정하지 않고 프로세서를 사용하려면 아래의 명령을 사용합니다.
processor: - csv: {}
Grok 프로세서
Grok 패턴을 사용하여 비정형 데이터를 구문 분석합니다. 파이프라인당 최대 1개의 Grok이 지원됩니다. CloudWatch Logs의 Grok 트랜스포머에 대한 자세한 내용은 CloudWatch Logs 사용 설명서의 사용할 수 있는 프로세서를 참조하세요.
구성
다음과 같은 파라미터를 사용하여 Grok 프로세서를 구성합니다.
데이터 소스가 사전인 경우, 아래의 구성을 사용할 수 있습니다.
processor: - grok: match: source_key: ["%{WORD:level} %{GREEDYDATA:msg}"]
데이터 소스가 CloudWatch Logs인 경우, 아래의 구성을 사용할 수 있습니다.
processor: - grok: match: source_key: ["%{WORD:level} %{GREEDYDATA:msg}"]
Parameters
match(필수)-
Grok 패턴을 사용한 필드 매핑입니다. 필드 매핑은 1개만 허용됩니다.
match.<field>(필수)-
단일 Grok 패턴을 사용한 배열입니다. 패턴당 최대 문자 수는 512자입니다.
VPC 프로세서
VPC 흐름 로그 데이터를 정형 필드로 구문 분석합니다.
구성
다음과 같은 파라미터를 사용하여 VPC 프로세서를 구성합니다.
processor: - parse_vpc: {}
JSON 프로세서
JSON 데이터를 정형 필드로 구문 분석합니다.
구성
다음과 같은 파라미터를 사용하여 JSON 프로세서를 구성합니다.
processor: - parse_json: source: "message" destination: "parsed_json"
Parameters
source(선택 사항)-
구문 분석할 JSON 데이터가 포함된 필드입니다. 이를 생략하면 전체 로그 메시지가 처리됩니다.
destination(선택 사항)-
구문 분석된 JSON을 저장할 필드입니다. 이를 생략하면 구문 분석된 필드가 루트 수준에 추가됩니다.
Route 53 프로세서
Route 53 리졸버 로그 데이터를 정형 필드로 구문 분석합니다.
구성
다음과 같은 파라미터를 사용하여 Route 53 프로세서를 구성합니다.
processor: - parse_route53: {}
키-값 프로세서
키-값 페어 형식의 데이터를 정형 필드로 구문 분석합니다.
구성
다음과 같은 파라미터를 사용하여 키-값 프로세서를 구성합니다.
processor: - key_value: source: "message" destination: "parsed_kv" field_delimiter: "&" key_value_delimiter: "="
Parameters
source(선택 사항)-
키-값 데이터가 포함된 필드입니다. 최대 128자입니다.
destination(선택 사항)-
구문 분석된 키-값 페어의 대상 필드입니다. 최대 128자입니다.
field_delimiter(선택 사항)-
키-값 페어를 분할하는 패턴입니다. 최대 10자입니다.
key_value_delimiter(선택 사항)-
값에서 키를 분할하는 패턴입니다. 최대 10자입니다.
overwrite_if_destination_exists(선택 사항)-
기존 대상 필드를 덮어쓸지 설정합니다.
prefix(선택 사항)-
추출된 키에 추가할 접두사입니다. 최대 128자입니다.
non_match_value(선택 사항)-
일치 항목이 없는 키의 값입니다. 최대 128자입니다.
추가 파라미터를 지정하지 않고 프로세서를 사용하려면 아래의 명령을 사용합니다.
processor: - key_value: {}
