Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Processori parser
<a name="parser-processors"></a>

I processori parser convertono i dati di registro grezzi o semistrutturati in formati strutturati. Ogni pipeline può avere al massimo un processore parser, che deve essere il primo processore della pipeline.

**L'elaborazione condizionale non è supportata**  
I processori parser (eccetto Grok) non supportano l'elaborazione condizionale con il parametro. `when` Ciò include OCSF, CSV, JSON, KeyValue VPC, Route53, WAF, Postgres e parser. CloudFront Per ulteriori informazioni, consulta [Sintassi delle espressioni per l'elaborazione condizionale](conditional-processing.md).

## Processore OCSF
<a name="ocsf-processor"></a>

Analizza e trasforma i dati di registro secondo gli standard Open Cybersecurity Schema Framework (OCSF).

**Configurazione**  
Configura il processore OCSF con i seguenti parametri:

```
processor:
  - ocsf:
      version: "1.5"
      mapping_version: 1.5.0
      schema:
          microsoft_office365_management_activity:
```Parameters

`version`(richiesto)  
La versione dello schema OCSF da utilizzare per la trasformazione. Deve essere 1.5

`mapping_version`(richiesto)  
La versione di mappatura OCSF per la trasformazione. Deve essere la 1.5.0.

`schema`(richiesto)  
Oggetto dello schema che specifica il tipo di origine dati. Gli schemi supportati dipendono dal tipo di origine della pipeline: ogni tipo di origine ha il proprio set di schemi OCSF compatibili. È necessario utilizzare uno schema che corrisponda al tipo di origine della pipeline.

Questa tabella elenca le combinazioni di schemi supportate.


| Tipo di origine della pipeline | Schemi supportati | Versione | Versione di mappatura | 
| --- | --- | --- | --- | 
| cloudwatch\$1logs | cloud\$1trail: | 1.5 | Campo non obbligatorio | 
| cloudwatch\$1logs | route53\$1resolver: | 1.5 | Campo non obbligatorio | 
| cloudwatch\$1logs | vpc\$1flow: | 1.5 | Campo non obbligatorio | 
| cloudwatch\$1logs | eks\$1audit: | 1.5 | Campo non obbligatorio | 
| cloudwatch\$1logs | aws\$1waf: | 1.5 | Campo non obbligatorio | 
| s3 | Qualsiasi schema OCSF | Qualsiasi | Qualsiasi | 
| microsoft\$1office365 | microsoft\$1office365: | 1.5 | 1.5.0 | 
| microsoft\$1entraid | microsoft\$1entraid: | 1.5 | 1.5.0 | 
| microsoft\$1windows\$1event | microsoft\$1windows\$1event: | 1.5 | 1.5.0 | 
| paloaltonetworks\$1nextgenerationfirewall | paloaltonetworks\$1nextgenerationfirewall: | 1.5 | 1.5.0 | 
| okta\$1auth0 | okta\$1auth0: | 1.5 | 1.5.0 | 
| okta\$1sso | okta\$1sso: | 1.5 | 1.5.0 | 
| crowdstrike\$1falcon | crowdstrike\$1falcon: | 1.5 | 1.5.0 | 
| github\$1auditlogs | github\$1auditlogs: | 1.5 | 1.5.0 | 
| sentinelone\$1endpointsecurity | sentinelone\$1endpointsecurity: | 1.5 | 1.5.0 | 
| servicenow\$1cmdb | servicenow\$1cmdb: | 1.5 | 1.5.0 | 
| wiz\$1cnapp | wiz\$1cnapp: | 1.5 | 1.5.0 | 
| zscaler\$1internetaccess | zscaler\$1internetaccess: | 1.5 | 1.5.0 | 

## Processore CSV
<a name="csv-processor"></a>

Analizza i dati in formato CSV in campi strutturati.

**Configurazione**  
Configura il processore CSV con i seguenti parametri:

```
processor:
  - csv:      
      column_names: ["col1", "col2", "col3"]
      delimiter: ","
      quote_character: '"'
```Parameters

`column_names` (facoltativo)  
Matrice di nomi di colonne per i campi analizzati. Massimo 100 colonne, ogni nome può contenere fino a 128 caratteri. Se non viene fornito, il valore predefinito è column\$11, column\$12 e così via.

`delimiter` (facoltativo)  
Carattere usato per separare i campi CSV. Deve essere un carattere singolo. Il valore predefinito è la virgola (,).

`quote_character` (facoltativo)  
Carattere usato per citare campi CSV contenenti delimitatori. Deve essere un carattere singolo. Il valore predefinito è tra virgolette doppie («).

Per utilizzare il processore senza specificare parametri aggiuntivi, utilizzate il seguente comando:

```
processor:
  - csv: {}
```

## Processore Grok
<a name="grok-processor"></a>

Analizza i dati non strutturati utilizzando i modelli Grok. È supportato al massimo 1 Grok per pipeline. *Per i dettagli sul trasformatore Grok in CloudWatch Logs, consulta [Processori che puoi usare](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatch-Logs-Transformation-Processors.html) nella Logs User Guide. CloudWatch *

**Configurazione**  
Configura il processore Grok con i seguenti parametri:

Quando l'origine dati è un dizionario, puoi usare questa configurazione:

```
processor:
  - grok:      
      match:
       source_key: ["%{WORD:level} %{GREEDYDATA:msg}"]
```

Quando l'origine dati è CloudWatch Logs, puoi usare questa configurazione:

```
processor:
  - grok:      
      match:
       source_key: ["%{WORD:level} %{GREEDYDATA:msg}"]
```Parameters

`match`(richiesto)  
Mappatura dei campi con modelli Grok. È consentita una sola mappatura dei campi.

`match.<field>`(richiesto)  
Array con pattern Grok singolo. Massimo 512 caratteri per pattern.

`when` (facoltativo)  
Espressione condizionale che determina se questo processore viene eseguito. La lunghezza massima è 256 caratteri. Per informazioni, consulta [Sintassi delle espressioni per l'elaborazione condizionale](conditional-processing.md).

**Importante**  
Se il processore Grok viene utilizzato come parser (primo processore) in una pipeline e la sua `when` condizione risulta falsa, l'intera pipeline non viene eseguita per quell'evento di registro. I parser devono essere eseguiti affinché i processori a valle ricevano dati strutturati.

## Processore VPC
<a name="vpc-processor"></a>

Analizza i dati del VPC Flow Log in campi strutturati.

**Configurazione**  
Configura il processore VPC con i seguenti parametri:

```
processor:
  - parse_vpc: {}
```

## Processore JSON
<a name="json-processor"></a>

Analizza i dati JSON in campi strutturati.

**Configurazione**  
Configura il processore JSON con i seguenti parametri:

```
processor:
  - parse_json:
      source: "message"
      destination: "parsed_json"
```Parameters

`source` (facoltativo)  
Il campo contenente i dati JSON da analizzare. Se omesso, viene elaborato l'intero messaggio di registro

`destination` (facoltativo)  
Il campo in cui verrà archiviato il codice JSON analizzato. Se omesso, i campi analizzati vengono aggiunti al livello principale

## Processore Route 53
<a name="route53-processor"></a>

Analizza i dati del registro del resolver Route 53 in campi strutturati.

**Configurazione**  
Configura il processore Route 53 con i seguenti parametri:

```
processor:
  - parse_route53: {}
```

## Processore chiave-valore
<a name="key-value-processor"></a>

Analizza i dati formattati della coppia chiave-valore in campi strutturati.

**Configurazione**  
Configura il processore chiave-valore con i seguenti parametri:

```
processor:
  - key_value:
      source: "message"
      destination: "parsed_kv"
      field_delimiter: "&"
      key_value_delimiter: "="
```Parameters

`source` (facoltativo)  
Campo contenente dati chiave-valore. Massimo 128 caratteri.

`destination` (facoltativo)  
Campo di destinazione per coppie chiave-valore analizzate. Massimo 128 caratteri.

`field_delimiter` (facoltativo)  
Schema per dividere coppie chiave-valore. Massimo 10 caratteri.

`key_value_delimiter` (facoltativo)  
Schema per dividere le chiavi dai valori. Massimo 10 caratteri.

`overwrite_if_destination_exists` (facoltativo)  
Se sovrascrivere il campo di destinazione esistente.

`prefix` (facoltativo)  
Prefisso da aggiungere alle chiavi estratte. Massimo 128 caratteri.

`non_match_value` (facoltativo)  
Valore per le chiavi senza corrispondenze. Massimo 128 caratteri.

Per utilizzare il processore senza specificare parametri aggiuntivi, utilizzate il seguente comando:

```
processor:
  - key_value: {}
```