ParseCEF
描述:
解析内容为CEF格式的消息,并将消息头作为数据流属性。注意:组件需要不带Syslog头的CEF消息 (比如由"CEF:0"开头)
标签:
logs, cef, attributes, system, event, message, 日志, 属性, 事件, 消息
参数:
如下列表中,必填参数则标识为加粗. 其他未加粗参数,则表示为可选参数。表中同时提到参数默认值设置.
| 名字 | 默认值 | 允许值列表 | 描述 |
|---|---|---|---|
| 解析输出 | 数据流内容 | - 数据流内容 - 数据流属性 | 指定CEF解析后的结果是作为属性还是内容输出。如果输出属性,则解析字段将作为属性。如果输出到内容,则CEF扩展字段将解析成JSON格式 |
| 添加原始消息到JSON | true | 当作为数据流内容输出 (比如 JSON 输出),添加原始的CEF消息到JSON中。原始消息将作为字段“_raw”的字符串值 | |
| 时区 | 本地时区 (系统默认) | - UTC - 本地时区 (系统默认) | 表示日期字段时要使用的时区。 UTC则将所有日期都转换成UTC日期,如果是本地时区,则根据当前平台的时区进行转换 |
| 区域设置 | en-US | 根据IETF BCP 47规定的区域设置来解析日期字段的全或缩写月份名字 (例如 may 对应 <en-US> 而 mai 对应 <fr-FR>. 通常默认值是安全的,除非解析出现问题而需要修改) |
连线:
| 名字 | 描述 |
|---|---|
| success | 所有成功解析CEF消息的输入数据流将输出到此连线 |
| failure | 任何输入数据流不能被解析成CEF消息,将路由到此连线 |
读取属性:
未提供。
写入属性:
| 名字 | 描述 |
|---|---|
| cef.header.version | CEF消息版本 |
| cef.header.deviceVendor | CEF消息的设备提供商 |
| cef.header.deviceProduct | CEF消息的设备产品 |
| cef.header.deviceVersion | CEF消息的设备版本 |
| cef.header.deviceEventClassId | CEF消息的设备事件类 |
| cef.header.name | CEF消息名字 |
| cef.header.severity | CEF消息级别 |
| cef.extension.* | 解析消息生成的键和值 |
状态管理:
该组件不保存状态。
限制:
该组件没有限制
输入流要求:
组件必须提供输入流。
系统资源考量:
未提供。