Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Processeurs d'analyseur
Les processeurs d'analyse convertissent les données de journal brutes ou semi-structurées en formats structurés. Chaque pipeline peut avoir au plus un processeur d'analyse, qui doit être le premier processeur du pipeline.
**Traitement conditionnel non pris en charge**
Les processeurs d'analyse (sauf Grok) ne prennent pas en charge le traitement conditionnel avec le `when` paramètre. Cela inclut OCSF, CSV, JSON, VPC KeyValue, Route53, WAF, Postgres et les parseurs. CloudFront Pour de plus amples informations, veuillez consulter [Syntaxe d'expression pour le traitement conditionnel](conditional-processing.md).
## Processeur OCSF
Analyse et transforme les données des journaux conformément aux normes Open Cybersecurity Schema Framework (OCSF).
**Configuration**
Configurez le processeur OCSF avec les paramètres suivants :
```
processor:
- ocsf:
version: "1.5"
mapping_version: 1.5.0
schema:
microsoft_office365_management_activity:
```Parameters
`version` (obligatoire)
Version du schéma OCSF à utiliser pour la transformation. Doit être 1,5
`mapping_version` (obligatoire)
La version de mappage OCSF pour la transformation. Doit être 1.5.0.
`schema` (obligatoire)
Objet de schéma spécifiant le type de source de données. Les schémas pris en charge dépendent du type de source de pipeline : chaque type de source possède son propre ensemble de schémas OCSF compatibles. Vous devez utiliser un schéma correspondant au type de source de votre pipeline.
Ce tableau répertorie les combinaisons de schémas prises en charge.
| Type de source de pipeline | Schémas pris en charge | Version | Version de mappage |
| --- | --- | --- | --- |
| cloudwatch\$1logs | cloud\$1trail: | 1.5 | Facultatif |
| cloudwatch\$1logs | route53\$1resolver: | 1.5 | Facultatif |
| cloudwatch\$1logs | vpc\$1flow: | 1.5 | Facultatif |
| cloudwatch\$1logs | eks\$1audit: | 1.5 | Facultatif |
| cloudwatch\$1logs | aws\$1waf: | 1.5 | Facultatif |
| s3 | N'importe quel schéma OCSF | N’importe lequel | N’importe lequel |
| microsoft\$1office365 | microsoft\$1office365: | 1.5 | 1.5.0 |
| microsoft\$1entraid | microsoft\$1entraid: | 1.5 | 1.5.0 |
| microsoft\$1windows\$1event | microsoft\$1windows\$1event: | 1.5 | 1.5.0 |
| paloaltonetworks\$1nextgenerationfirewall | paloaltonetworks\$1nextgenerationfirewall: | 1.5 | 1.5.0 |
| okta\$1auth0 | okta\$1auth0: | 1.5 | 1.5.0 |
| okta\$1sso | okta\$1sso: | 1.5 | 1.5.0 |
| crowdstrike\$1falcon | crowdstrike\$1falcon: | 1.5 | 1.5.0 |
| github\$1auditlogs | github\$1auditlogs: | 1.5 | 1.5.0 |
| sentinelone\$1endpointsecurity | sentinelone\$1endpointsecurity: | 1.5 | 1.5.0 |
| servicenow\$1cmdb | servicenow\$1cmdb: | 1.5 | 1.5.0 |
| wiz\$1cnapp | wiz\$1cnapp: | 1.5 | 1.5.0 |
| zscaler\$1internetaccess | zscaler\$1internetaccess: | 1.5 | 1.5.0 |
## Processeur CSV
Analyse les données au format CSV dans des champs structurés.
**Configuration**
Configurez le processeur CSV avec les paramètres suivants :
```
processor:
- csv:
column_names: ["col1", "col2", "col3"]
delimiter: ","
quote_character: '"'
```Parameters
`column_names` (facultatif)
Tableau de noms de colonnes pour les champs analysés. 100 colonnes maximum, chaque nom comportant jusqu'à 128 caractères. Si ce n'est pas le cas, la valeur par défaut est column\$11, column\$12, etc.
`delimiter` (facultatif)
Caractère utilisé pour séparer les champs CSV. Il doit s'agir d'un seul caractère. La valeur par défaut est virgule (,).
`quote_character` (facultatif)
Caractère utilisé pour citer les champs CSV contenant des délimiteurs. Il doit s'agir d'un seul caractère. La valeur par défaut est entre guillemets («).
Pour utiliser le processeur sans spécifier de paramètres supplémentaires, utilisez la commande suivante :
```
processor:
- csv: {}
```
## Processeur Grok
Analyse les données non structurées à l'aide de modèles Grok. Au maximum 1 Grok est pris en charge par pipeline. Pour plus de détails sur le transformateur Grok dans CloudWatch Logs, voir [Processeurs que vous pouvez utiliser](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatch-Logs-Transformation-Processors.html) dans le *Guide de l'utilisateur de CloudWatch Logs*.
**Configuration**
Configurez le processeur Grok avec les paramètres suivants :
Lorsque la source de données est un dictionnaire, vous pouvez utiliser cette configuration :
```
processor:
- grok:
match:
source_key: ["%{WORD:level} %{GREEDYDATA:msg}"]
```
Lorsque la source de données est CloudWatch Logs, vous pouvez utiliser cette configuration :
```
processor:
- grok:
match:
source_key: ["%{WORD:level} %{GREEDYDATA:msg}"]
```Parameters
`match` (obligatoire)
Cartographie de terrain avec des modèles Grok. Un seul mappage de champs est autorisé.
`match.` (obligatoire)
Tableau avec un seul motif Grok. 512 caractères maximum par modèle.
`when` (facultatif)
Expression conditionnelle qui détermine si ce processeur s'exécute. La longueur maximale est de 256 caractères. Consultez [Syntaxe d'expression pour le traitement conditionnel](conditional-processing.md).
**Important**
Si le processeur Grok est utilisé comme analyseur (premier processeur) dans un pipeline et que sa `when` condition est fausse, le pipeline entier ne s'exécute pas pour cet événement de journal. Les analyseurs doivent fonctionner pour que les processeurs en aval reçoivent des données structurées.
## Processeur VPC
Analyse les données du journal de flux VPC dans des champs structurés.
**Configuration**
Configurez le processeur VPC avec les paramètres suivants :
```
processor:
- parse_vpc: {}
```
## Processeur JSON
Analyse les données JSON dans des champs structurés.
**Configuration**
Configurez le processeur JSON avec les paramètres suivants :
```
processor:
- parse_json:
source: "message"
destination: "parsed_json"
```Parameters
`source` (facultatif)
Champ contenant les données JSON à analyser. En cas d'omission, l'intégralité du message du journal est traitée
`destination` (facultatif)
Le champ dans lequel le JSON analysé sera stocké. En cas d'omission, les champs analysés sont ajoutés au niveau racine
## Processeur Route 53
Analyse les données du journal du résolveur Route 53 dans des champs structurés.
**Configuration**
Configurez le processeur Route 53 avec les paramètres suivants :
```
processor:
- parse_route53: {}
```
## Processeur clé-valeur
Analyse les données formatées par paire clé-valeur dans des champs structurés.
**Configuration**
Configurez le processeur clé-valeur avec les paramètres suivants :
```
processor:
- key_value:
source: "message"
destination: "parsed_kv"
field_delimiter: "&"
key_value_delimiter: "="
```Parameters
`source` (facultatif)
Champ contenant des données clé-valeur. 128 caractères maximum.
`destination` (facultatif)
Champ cible pour les paires clé-valeur analysées. 128 caractères maximum.
`field_delimiter` (facultatif)
Modèle pour diviser les paires clé-valeur. 10 caractères maximum.
`key_value_delimiter` (facultatif)
Modèle pour séparer les clés des valeurs. 10 caractères maximum.
`overwrite_if_destination_exists` (facultatif)
S'il faut remplacer le champ de destination existant.
`prefix` (facultatif)
Préfixe à ajouter aux clés extraites. 128 caractères maximum.
`non_match_value` (facultatif)
Valeur pour les clés sans correspondance. 128 caractères maximum.
Pour utiliser le processeur sans spécifier de paramètres supplémentaires, utilisez la commande suivante :
```
processor:
- key_value: {}
```