Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Prosesor parser
<a name="parser-processors"></a>

Prosesor parser mengubah data log mentah atau semi-terstruktur menjadi format terstruktur. Setiap pipa dapat memiliki paling banyak satu prosesor parser, yang harus menjadi prosesor pertama dalam pipa.

**Pemrosesan bersyarat tidak didukung**  
Prosesor parser (kecuali Grok) tidak mendukung pemrosesan bersyarat dengan parameter. `when` Ini termasuk OCSF, CSV, JSON,, KeyValue VPC, Route53, WAF, Postgres, dan parser. CloudFront Untuk informasi selengkapnya, lihat [Sintaks ekspresi untuk pemrosesan bersyarat](conditional-processing.md).

## Prosesor OCSF
<a name="ocsf-processor"></a>

Mem-parsing dan mengubah data log sesuai dengan standar Open Cybersecurity Schema Framework (OCSF).

**Konfigurasi**  
Konfigurasikan prosesor OCSF dengan parameter berikut:

```
processor:
  - ocsf:
      version: "1.5"
      mapping_version: 1.5.0
      schema:
          microsoft_office365_management_activity:
```Parameter

`version`(Diperlukan)  
Versi skema OCSF yang akan digunakan untuk transformasi. Harus 1,5

`mapping_version`(Diperlukan)  
Versi pemetaan OCSF untuk transformasi. Harus 1.5.0.

`schema`(Diperlukan)  
Objek skema menentukan tipe sumber data. Skema yang didukung bergantung pada jenis sumber pipa - setiap jenis sumber memiliki rangkaian skema OCSF yang kompatibel. Anda harus menggunakan skema yang cocok dengan tipe sumber pipeline Anda.

Tabel ini mencantumkan kombinasi skema yang didukung.


| Jenis Sumber Pipa | Skema yang Didukung | Versi | Versi Pemetaan | 
| --- | --- | --- | --- | 
| cloudwatch\$1logs | cloud\$1trail: | 1.5 | Tidak diperlukan | 
| cloudwatch\$1logs | route53\$1resolver: | 1.5 | Tidak diperlukan | 
| cloudwatch\$1logs | vpc\$1flow: | 1.5 | Tidak diperlukan | 
| cloudwatch\$1logs | eks\$1audit: | 1.5 | Tidak diperlukan | 
| cloudwatch\$1logs | aws\$1waf: | 1.5 | Tidak diperlukan | 
| s3 | Skema OCSF apa pun | Setiap | Setiap | 
| microsoft\$1office365 | microsoft\$1office365: | 1.5 | 1.5.0 | 
| microsoft\$1entraid | microsoft\$1entraid: | 1.5 | 1.5.0 | 
| microsoft\$1windows\$1event | microsoft\$1windows\$1event: | 1.5 | 1.5.0 | 
| paloaltonetworks\$1nextgenerationfirewall | paloaltonetworks\$1nextgenerationfirewall: | 1.5 | 1.5.0 | 
| okta\$1auth0 | okta\$1auth0: | 1.5 | 1.5.0 | 
| okta\$1sso | okta\$1sso: | 1.5 | 1.5.0 | 
| crowdstrike\$1falcon | crowdstrike\$1falcon: | 1.5 | 1.5.0 | 
| github\$1auditlogs | github\$1auditlogs: | 1.5 | 1.5.0 | 
| sentinelone\$1endpointsecurity | sentinelone\$1endpointsecurity: | 1.5 | 1.5.0 | 
| servicenow\$1cmdb | servicenow\$1cmdb: | 1.5 | 1.5.0 | 
| wiz\$1cnapp | wiz\$1cnapp: | 1.5 | 1.5.0 | 
| zscaler\$1internetaccess | zscaler\$1internetaccess: | 1.5 | 1.5.0 | 

## Prosesor CSV
<a name="csv-processor"></a>

Mem-parsing data yang diformat CSV ke dalam bidang terstruktur.

**Konfigurasi**  
Konfigurasikan prosesor CSV dengan parameter berikut:

```
processor:
  - csv:      
      column_names: ["col1", "col2", "col3"]
      delimiter: ","
      quote_character: '"'
```Parameter

`column_names` (opsional)  
Array nama kolom untuk bidang yang diuraikan. Maksimal 100 kolom, masing-masing nama hingga 128 karakter. Jika tidak disediakan, default ke column\$11, column\$12, dan seterusnya.

`delimiter` (opsional)  
Karakter yang digunakan untuk memisahkan bidang CSV. Harus satu karakter. Default ke koma (,).

`quote_character` (opsional)  
Karakter yang digunakan untuk mengutip bidang CSV yang berisi pembatas. Harus satu karakter. Default untuk kutipan ganda (“).

Untuk menggunakan prosesor tanpa menentukan parameter tambahan, gunakan perintah berikut:

```
processor:
  - csv: {}
```

## Prosesor Grok
<a name="grok-processor"></a>

Mem-parsing data tidak terstruktur menggunakan pola Grok. Paling banyak 1 Grok didukung per pipa. Untuk detail tentang transformator Grok di CloudWatch Log, lihat [Prosesor yang dapat Anda gunakan](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatch-Logs-Transformation-Processors.html) di *Panduan Pengguna CloudWatch Log*.

**Konfigurasi**  
Konfigurasikan prosesor Grok dengan parameter berikut:

Ketika sumber data adalah kamus, Anda dapat menggunakan konfigurasi ini:

```
processor:
  - grok:      
      match:
       source_key: ["%{WORD:level} %{GREEDYDATA:msg}"]
```

Ketika sumber data adalah CloudWatch Log, Anda dapat menggunakan konfigurasi ini:

```
processor:
  - grok:      
      match:
       source_key: ["%{WORD:level} %{GREEDYDATA:msg}"]
```Parameter

`match`(Diperlukan)  
Pemetaan lapangan dengan pola Grok. Hanya satu pemetaan bidang yang diizinkan.

`match.<field>`(Diperlukan)  
Array dengan pola Grok tunggal. Maksimal 512 karakter per pola.

`when` (opsional)  
Ekspresi bersyarat yang menentukan apakah prosesor ini mengeksekusi. Panjang maksimum adalah 256 karakter. Lihat [Sintaks ekspresi untuk pemrosesan bersyarat](conditional-processing.md).

**penting**  
Jika prosesor Grok digunakan sebagai parser (prosesor pertama) dalam pipeline dan `when` kondisinya dievaluasi menjadi false, seluruh pipeline tidak mengeksekusi untuk peristiwa log tersebut. Parser harus berjalan untuk prosesor hilir untuk menerima data terstruktur.

## Prosesor VPC
<a name="vpc-processor"></a>

Mem-parsing data VPC Flow Log ke dalam bidang terstruktur.

**Konfigurasi**  
Konfigurasikan prosesor VPC dengan parameter berikut:

```
processor:
  - parse_vpc: {}
```

## Prosesor JSON
<a name="json-processor"></a>

Mem-parsing data JSON ke dalam bidang terstruktur.

**Konfigurasi**  
Konfigurasikan prosesor JSON dengan parameter berikut:

```
processor:
  - parse_json:
      source: "message"
      destination: "parsed_json"
```Parameter

`source` (opsional)  
Bidang yang berisi data JSON untuk mengurai. Jika dihilangkan, seluruh pesan log diproses

`destination` (opsional)  
Bidang tempat JSON yang diurai akan disimpan. Jika dihilangkan, bidang yang diuraikan ditambahkan ke tingkat root

## Prosesor Route 53
<a name="route53-processor"></a>

Mem-parsing data log resolver Route 53 ke dalam bidang terstruktur.

**Konfigurasi**  
Konfigurasikan prosesor Route 53 dengan parameter berikut:

```
processor:
  - parse_route53: {}
```

## Prosesor nilai kunci
<a name="key-value-processor"></a>

Mem-parsing data yang diformat pasangan kunci-nilai ke dalam bidang terstruktur.

**Konfigurasi**  
Konfigurasikan prosesor nilai kunci dengan parameter berikut:

```
processor:
  - key_value:
      source: "message"
      destination: "parsed_kv"
      field_delimiter: "&"
      key_value_delimiter: "="
```Parameter

`source` (opsional)  
Bidang yang berisi data nilai kunci. Maksimal 128 karakter.

`destination` (opsional)  
Bidang target untuk pasangan nilai kunci yang diuraikan. Maksimal 128 karakter.

`field_delimiter` (opsional)  
Pola untuk membagi pasangan kunci-nilai. Maksimal 10 karakter.

`key_value_delimiter` (opsional)  
Pola untuk membagi kunci dari nilai. Maksimal 10 karakter.

`overwrite_if_destination_exists` (opsional)  
Apakah akan menimpa bidang tujuan yang ada.

`prefix` (opsional)  
Awalan untuk ditambahkan ke kunci yang diekstraksi. Maksimal 128 karakter.

`non_match_value` (opsional)  
Nilai untuk kunci tanpa kecocokan. Maksimal 128 karakter.

Untuk menggunakan prosesor tanpa menentukan parameter tambahan, gunakan perintah berikut:

```
processor:
  - key_value: {}
```