私のブックマーク
ブックマークを追加
ブックマークを削除コミュニティIDプロセッサ
ネットワークフローデータのコミュニティIDを計算します。これはコミュニティID仕様で定義されています。コミュニティIDを使用して、単一のフローに関連するネットワークイベントを相関させることができます。
コミュニティIDプロセッサは、デフォルトで関連するElastic Common Schema (ECS)フィールドからネットワークフローデータを読み取ります。ECSを使用する場合、設定は必要ありません。
| 名前 | 必須 | デフォルト | 説明 |
|---|---|---|---|
source_ip |
いいえ | source.ip |
ソースIPアドレスを含むフィールド。 |
source_port |
いいえ | source.port |
ソースポートを含むフィールド。 |
destination_ip |
いいえ | destination.ip |
宛先IPアドレスを含むフィールド。 |
destination_port |
いいえ | destination.port |
宛先ポートを含むフィールド。 |
iana_number |
いいえ | network.iana_number |
IANA番号を含むフィールド。現在サポートされているプロトコル番号は次のとおりです:1 ICMP、2 IGMP、6 TCP、17 UDP、47 GRE、58 ICMP IPv6、88 EIGRP、89 OSPF、103 PIM、および132 SCTP。 |
icmp_type |
いいえ | icmp.type |
ICMPタイプを含むフィールド。 |
icmp_code |
いいえ | icmp.code |
ICMPコードを含むフィールド。 |
transport |
いいえ | network.transport |
トランスポートプロトコルを含むフィールド。 |
使用されるのは、iana_numberフィールドが存在しない場合のみです。 |
| target_field | いいえ | network.community_id | コミュニティIDの出力フィールド。 |
| seed | いいえ | 0 | コミュニティIDハッシュのシード。0から65535(含む)の間でなければなりません。このシードは、同じアドレッシングスキームを使用するネットワークドメイン間のハッシュ衝突を防ぐことができます。 |
| ignore_missing | いいえ | true | trueおよび必要なフィールドが欠落している場合、
プロセッサは静かに終了し、ドキュメントを変更しません。 |
| description | いいえ | - | プロセッサの説明。プロセッサの目的や設定を説明するのに役立ちます。 |
| if | いいえ | - | 条件付きでプロセッサを実行します。プロセッサを条件付きで実行するを参照してください。 |
| ignore_failure | いいえ | false | プロセッサの失敗を無視します。パイプラインの失敗を処理するを参照してください。 |
| on_failure | いいえ | - | プロセッサの失敗を処理します。パイプラインの失敗を処理するを参照してください。 |
| tag | いいえ | - | プロセッサの識別子。デバッグやメトリクスに役立ちます。 |
コミュニティIDプロセッサの定義の例を以下に示します:
Js
{"description" : "...","processors" : [{"community_id": {}}]}
上記のプロセッサが次のドキュメントで実行されるとき:
Js
{"_source": {"source": {"ip": "123.124.125.126","port": 12345},"destination": {"ip": "55.56.57.58","port": 80},"network": {"transport": "TCP"}}}
これにより、次の結果が生成されます:
Js
"_source" : {"destination" : {"port" : 80,"ip" : "55.56.57.58"},"source" : {"port" : 12345,"ip" : "123.124.125.126"},"network" : {"community_id" : "1:9qr9Z1LViXcNwtLVOHZ3CL8MlyM=","transport" : "TCP"}}
