Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Parser-Prozessoren
<a name="parser-processors"></a>

Parser-Prozessoren konvertieren rohe oder halbstrukturierte Protokolldaten in strukturierte Formate. Jede Pipeline kann höchstens einen Parser-Prozessor haben, der der erste Prozessor in der Pipeline sein muss.

**Bedingte Verarbeitung wird nicht unterstützt**  
Parser-Prozessoren (außer Grok) unterstützen die bedingte Verarbeitung mit dem `when` Parameter nicht. Dazu gehören OCSF, CSV, JSON, VPC KeyValue, Route53, WAF, Postgres und Parser. CloudFront Weitere Informationen finden Sie unter [Ausdruckssyntax für bedingte Verarbeitung](conditional-processing.md).

## OCSF-Prozessor
<a name="ocsf-processor"></a>

Analysiert und transformiert Protokolldaten gemäß den Standards des Open Cybersecurity Schema Framework (OCSF).

**Konfiguration**  
Konfigurieren Sie den OCSF-Prozessor mit den folgenden Parametern:

```
processor:
  - ocsf:
      version: "1.5"
      mapping_version: 1.5.0
      schema:
          microsoft_office365_management_activity:
```Parameters

`version` (Erforderlich)  
Die OCSF-Schemaversion, die für die Transformation verwendet werden soll. Muss 1.5 sein

`mapping_version` (Erforderlich)  
Die OCSF-Mapping-Version für die Transformation. Muss 1.5.0 sein.

`schema` (Erforderlich)  
Schemaobjekt, das den Datenquellentyp angibt. Die unterstützten Schemas hängen vom Pipeline-Quelltyp ab — jeder Quelltyp hat seinen eigenen Satz kompatibler OCSF-Schemas. Sie müssen ein Schema verwenden, das dem Quelltyp Ihrer Pipeline entspricht.

In dieser Tabelle sind die unterstützten Schemakombinationen aufgeführt.


| Typ der Pipeline-Quelle | Unterstützte Schemas | Version | Version zuordnen | 
| --- | --- | --- | --- | 
| cloudwatch\$1logs | cloud\$1trail: | 1.5 | Nicht erforderlich | 
| cloudwatch\$1logs | route53\$1resolver: | 1.5 | Nicht erforderlich | 
| cloudwatch\$1logs | vpc\$1flow: | 1.5 | Nicht erforderlich | 
| cloudwatch\$1logs | eks\$1audit: | 1.5 | Nicht erforderlich | 
| cloudwatch\$1logs | aws\$1waf: | 1.5 | Nicht erforderlich | 
| s3 | Beliebiges OCSF-Schema | Beliebig | Beliebig | 
| microsoft\$1office365 | microsoft\$1office365: | 1.5 | 1.5.0 | 
| microsoft\$1entraid | microsoft\$1entraid: | 1.5 | 1.5.0 | 
| microsoft\$1windows\$1event | microsoft\$1windows\$1event: | 1.5 | 1.5.0 | 
| paloaltonetworks\$1nextgenerationfirewall | paloaltonetworks\$1nextgenerationfirewall: | 1.5 | 1.5.0 | 
| okta\$1auth0 | okta\$1auth0: | 1.5 | 1.5.0 | 
| okta\$1sso | okta\$1sso: | 1.5 | 1.5.0 | 
| crowdstrike\$1falcon | crowdstrike\$1falcon: | 1.5 | 1.5.0 | 
| github\$1auditlogs | github\$1auditlogs: | 1.5 | 1.5.0 | 
| sentinelone\$1endpointsecurity | sentinelone\$1endpointsecurity: | 1.5 | 1.5.0 | 
| servicenow\$1cmdb | servicenow\$1cmdb: | 1.5 | 1.5.0 | 
| wiz\$1cnapp | wiz\$1cnapp: | 1.5 | 1.5.0 | 
| zscaler\$1internetaccess | zscaler\$1internetaccess: | 1.5 | 1.5.0 | 

## CSV-Prozessor
<a name="csv-processor"></a>

Analysiert CSV-formatierte Daten in strukturierte Felder.

**Konfiguration**  
Konfigurieren Sie den CSV-Prozessor mit den folgenden Parametern:

```
processor:
  - csv:      
      column_names: ["col1", "col2", "col3"]
      delimiter: ","
      quote_character: '"'
```Parameters

`column_names` (optional)  
Array von Spaltennamen für analysierte Felder. Maximal 100 Spalten, jeder Name bis zu 128 Zeichen. Falls nicht angegeben, wird standardmäßig column\$11, column\$12 usw. verwendet.

`delimiter` (optional)  
Zeichen, das zur Trennung von CSV-Feldern verwendet wird. Muss ein einzelnes Zeichen sein. Die Standardeinstellung ist Komma (,).

`quote_character` (optional)  
Zeichen, das verwendet wird, um CSV-Felder mit Trennzeichen in Anführungszeichen zu setzen. Muss ein einzelnes Zeichen sein. Standardmäßig wird ein doppeltes Anführungszeichen („) verwendet.

Verwenden Sie den folgenden Befehl, um den Prozessor ohne Angabe zusätzlicher Parameter zu verwenden:

```
processor:
  - csv: {}
```

## Grok-Prozessor
<a name="grok-processor"></a>

Analysiert unstrukturierte Daten mithilfe von Grok-Mustern. Pro Pipeline wird höchstens 1 Grok unterstützt. Einzelheiten zum Grok-Transformer in CloudWatch Logs finden Sie im *Logs-Benutzerhandbuch* unter [Prozessoren, die CloudWatch Sie verwenden können](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatch-Logs-Transformation-Processors.html).

**Konfiguration**  
Konfigurieren Sie den Grok-Prozessor mit den folgenden Parametern:

Wenn es sich bei der Datenquelle um ein Wörterbuch handelt, können Sie diese Konfiguration verwenden:

```
processor:
  - grok:      
      match:
       source_key: ["%{WORD:level} %{GREEDYDATA:msg}"]
```

Wenn die Datenquelle CloudWatch Logs ist, können Sie diese Konfiguration verwenden:

```
processor:
  - grok:      
      match:
       source_key: ["%{WORD:level} %{GREEDYDATA:msg}"]
```Parameters

`match` (Erforderlich)  
Feldzuordnung mit Grok-Mustern. Nur eine Feldzuordnung ist zulässig.

`match.<field>` (Erforderlich)  
Array mit einem einzigen Grok-Muster. Maximal 512 Zeichen pro Muster.

`when` (optional)  
Bedingter Ausdruck, der bestimmt, ob dieser Prozessor ausgeführt wird. Die maximale Länge beträgt 256 Zeichen. Siehe [Ausdruckssyntax für bedingte Verarbeitung](conditional-processing.md).

**Wichtig**  
Wenn der Grok-Prozessor als Parser (erster Prozessor) in einer Pipeline verwendet wird und sein `when` Zustand als falsch ausgewertet wird, wird die gesamte Pipeline für dieses Protokollereignis nicht ausgeführt. Parser müssen laufen, damit Downstream-Prozessoren strukturierte Daten empfangen können.

## VPC-Prozessor
<a name="vpc-processor"></a>

Analysiert VPC Flow Log-Daten in strukturierte Felder.

**Konfiguration**  
Konfigurieren Sie den VPC-Prozessor mit den folgenden Parametern:

```
processor:
  - parse_vpc: {}
```

## JSON-Prozessor
<a name="json-processor"></a>

Analysiert JSON-Daten in strukturierte Felder.

**Konfiguration**  
Konfigurieren Sie den JSON-Prozessor mit den folgenden Parametern:

```
processor:
  - parse_json:
      source: "message"
      destination: "parsed_json"
```Parameters

`source` (optional)  
Das Feld, das die zu analysierenden JSON-Daten enthält. Wenn es weggelassen wird, wird die gesamte Protokollnachricht verarbeitet

`destination` (optional)  
Das Feld, in dem der geparste JSON gespeichert wird. Wenn es weggelassen wird, werden analysierte Felder zur Stammebene hinzugefügt

## Route 53-Prozessor
<a name="route53-processor"></a>

Analysiert die Protokolldaten des Route 53-Resolvers in strukturierte Felder.

**Konfiguration**  
Konfigurieren Sie den Route 53-Prozessor mit den folgenden Parametern:

```
processor:
  - parse_route53: {}
```

## Prozessor mit Schlüsselwert
<a name="key-value-processor"></a>

Analysiert mit Schlüssel-Wert-Paaren formatierte Daten in strukturierte Felder.

**Konfiguration**  
Konfigurieren Sie den Schlüssel-Wert-Prozessor mit den folgenden Parametern:

```
processor:
  - key_value:
      source: "message"
      destination: "parsed_kv"
      field_delimiter: "&"
      key_value_delimiter: "="
```Parameters

`source` (optional)  
Feld, das Schlüsselwertdaten enthält. Maximal 128 Zeichen.

`destination` (optional)  
Zielfeld für analysierte Schlüssel-Wert-Paare. Maximal 128 Zeichen.

`field_delimiter` (optional)  
Muster zum Aufteilen von Schlüssel-Wert-Paaren. Maximal 10 Zeichen.

`key_value_delimiter` (optional)  
Muster zum Trennen von Schlüsseln von Werten. Maximal 10 Zeichen.

`overwrite_if_destination_exists` (optional)  
Ob ein vorhandenes Zielfeld überschrieben werden soll.

`prefix` (optional)  
Präfix, das den extrahierten Schlüsseln hinzugefügt werden soll. Maximal 128 Zeichen.

`non_match_value` (optional)  
Wert für Schlüssel ohne Treffer. Maximal 128 Zeichen.

Verwenden Sie den folgenden Befehl, um den Prozessor ohne Angabe zusätzlicher Parameter zu verwenden:

```
processor:
  - key_value: {}
```