Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Prosesor transformasi
Prosesor transformasi memodifikasi struktur peristiwa log dengan menambahkan, menyalin, memindahkan, atau menghapus bidang.
prosesor add_entries
Menambahkan pasangan kunci-nilai statis untuk mencatat peristiwa. Paling banyak 1 add_entries prosesor dapat ditambahkan ke pipa.
Konfigurasi
Konfigurasikan prosesor add_entries dengan parameter berikut:
processor: - add_entries: entries: - key: "environment" value: "production" overwrite_if_key_exists: false
Parameter
entries(Diperlukan)-
Array pasangan kunci-nilai untuk ditambahkan ke setiap peristiwa log.
entries[].key(Diperlukan)-
Nama bidang untuk ditambahkan ke peristiwa log. Mendukung bidang bersarang menggunakan notasi titik.
entries[].value(Diperlukan)-
Nilai statis untuk menetapkan ke kunci.
entries[].overwrite_if_key_exists(opsional)-
Bendera Boolean yang menentukan perilaku ketika kunci sudah ada. Default ke false.
when(opsional)-
Processor-level ekspresi bersyarat. Ketika ditentukan, seluruh prosesor dilewati jika ekspresi dievaluasi menjadi false. Panjang maksimum adalah 256 karakter. Lihat Sintaks ekspresi untuk pemrosesan bersyarat.
entries[].when(opsional)-
Entry-level ekspresi bersyarat. Ketika ditentukan, hanya entri ini yang dilewati jika ekspresi dievaluasi menjadi false. Panjang maksimum adalah 256 karakter. Lihat Sintaks ekspresi untuk pemrosesan bersyarat.
entries[].when_else(opsional)-
Entri fallback yang dijalankan hanya ketika tidak ada
whenkondisi lain dalam prosesor yang sama yang cocok. Nilai ekspresi mengidentifikasiwhenkondisi mana yang harus dipertimbangkan. Panjang maksimum adalah 256 karakter. Lihat Sintaks ekspresi untuk pemrosesan bersyarat.
prosesor copy_values
Menyalin nilai dari satu bidang ke bidang lainnya. Paling banyak 1 copy_values prosesor dapat ditambahkan ke pipa.
Konfigurasi
Konfigurasikan prosesor copy_values dengan parameter berikut:
processor: - copy_values: entries: - from_key: "user_id" to_key: "backup_user" overwrite_if_to_key_exists: false
Parameter
entries(Diperlukan)-
Array operasi salinan untuk dilakukan pada setiap peristiwa log.
entries[].from_key(Diperlukan)-
Nama bidang untuk menyalin nilai dari. Menggunakan notasi titik untuk bidang bersarang.
entries[].to_key(Diperlukan)-
Nama bidang untuk menyalin nilai ke. Akan membuat struktur bersarang jika menggunakan notasi titik.
entries[].overwrite_if_to_key_exists(opsional)-
Perilaku pengendali bendera Boolean saat bidang target sudah ada. Default ke false.
when(opsional)-
Processor-level ekspresi bersyarat. Ketika ditentukan, seluruh prosesor dilewati jika ekspresi dievaluasi menjadi false. Panjang maksimum adalah 256 karakter. Lihat Sintaks ekspresi untuk pemrosesan bersyarat.
entries[].when(opsional)-
Entry-level ekspresi bersyarat. Ketika ditentukan, hanya entri ini yang dilewati jika ekspresi dievaluasi menjadi false. Panjang maksimum adalah 256 karakter. Lihat Sintaks ekspresi untuk pemrosesan bersyarat.
entries[].when_else(opsional)-
Entri fallback yang dijalankan hanya ketika tidak ada
whenkondisi lain dalam prosesor yang sama yang cocok. Nilai ekspresi mengidentifikasiwhenkondisi mana yang harus dipertimbangkan. Panjang maksimum adalah 256 karakter. Lihat Sintaks ekspresi untuk pemrosesan bersyarat.
prosesor delete_entries
Menghapus bidang tertentu dari peristiwa log.
Konfigurasi
Konfigurasikan prosesor delete_entries dengan parameter berikut:
processor: - delete_entries: with_keys: ["temp_field", "debug_info"]
Parameter
with_keys(Diperlukan)-
Array nama bidang untuk dihapus dari setiap peristiwa log. Mendukung penghapusan bidang bersarang menggunakan notasi titik.
when(opsional)-
Ekspresi bersyarat yang menentukan apakah prosesor ini mengeksekusi. Panjang maksimum adalah 256 karakter. Lihat Sintaks ekspresi untuk pemrosesan bersyarat.
prosesor move_keys
Memindahkan bidang dari satu lokasi ke lokasi lain.
Konfigurasi
Konfigurasikan prosesor move_keys dengan parameter berikut:
processor: - move_keys: entries: - from_key: "old_field" to_key: "new_field" overwrite_if_to_key_exists: true
Parameter
entries(Diperlukan)-
Array operasi pemindahan. Maksimal 5 entri.
entries[].from_key(Diperlukan)-
Nama bidang sumber. Maksimal 128 karakter.
entries[].to_key(Diperlukan)-
Nama bidang target. Maksimal 128 karakter.
entries[].overwrite_if_to_key_exists(opsional)-
Apakah akan menimpa bidang target yang ada.
when(opsional)-
Processor-level ekspresi bersyarat. Ketika ditentukan, seluruh prosesor dilewati jika ekspresi dievaluasi menjadi false. Panjang maksimum adalah 256 karakter. Lihat Sintaks ekspresi untuk pemrosesan bersyarat.
entries[].when(opsional)-
Entry-level ekspresi bersyarat. Ketika ditentukan, hanya entri ini yang dilewati jika ekspresi dievaluasi menjadi false. Panjang maksimum adalah 256 karakter. Lihat Sintaks ekspresi untuk pemrosesan bersyarat.
entries[].when_else(opsional)-
Entri fallback yang dijalankan hanya ketika tidak ada
whenkondisi lain dalam prosesor yang sama yang cocok. Nilai ekspresi mengidentifikasiwhenkondisi mana yang harus dipertimbangkan. Panjang maksimum adalah 256 karakter. Lihat Sintaks ekspresi untuk pemrosesan bersyarat.
prosesor ratakan
Meratakan struktur objek bersarang.
Konfigurasi
Konfigurasikan prosesor ratakan dengan parameter berikut:
processor: - flatten: source: "metadata" target: "flattened" remove_processed_fields: true exclude_keys: ["sensitive_data"]
Parameter
source(Diperlukan)-
Bidang berisi objek bersarang untuk diratakan.
target(Diperlukan)-
Awalan bidang target untuk kunci yang diratakan.
remove_processed_fields(opsional)-
Apakah akan menghapus bidang bersarang asli setelah diratakan.
exclude_keys(opsional)-
Array kunci untuk dikecualikan dari perataan. Maksimal 20 tombol, masing-masing hingga 128 karakter.
when(opsional)-
Ekspresi bersyarat yang menentukan apakah prosesor ini mengeksekusi. Panjang maksimum adalah 256 karakter. Lihat Sintaks ekspresi untuk pemrosesan bersyarat.
prosesor pencarian
Memperkaya peristiwa log dengan data dari tabel pencarian CloudWatch Log. Prosesor mencocokkan bidang dalam peristiwa log Anda dengan bidang di tabel pencarian dan menambahkan bidang tertentu ke peristiwa log Anda. Gunakan prosesor ini untuk skenario pengayaan data seperti memetakan ID pengguna ke detail pengguna, kode produk ke informasi produk, atau kode kesalahan untuk deskripsi kesalahan. Paling banyak 1 lookup prosesor dapat ditambahkan ke pipa.
catatan
Jika tabel pencarian digunakan dalam pipeline, Anda harus memberikan peran eksekusi dengan logs:GetLookupTable izin di atas tabel. Untuk informasi selengkapnya, lihat CloudWatch jalur pipa kebijakan dan izin IAM.
Konfigurasi
Konfigurasikan prosesor pencarian dengan parameter berikut:
processor: - lookup: lookup_table: "arn:aws:logs:us-east-1:123456789012:lookup-table:my_lookup_table" match_keys: - log_key: "src_ip" lookup_key: "ip_address" entries: - source: "hostname" target: "src_hostname" overwrite_if_exists: true
Parameter
lookup_table(Diperlukan)-
ARN dari tabel pencarian CloudWatch Log untuk digunakan untuk pengayaan. Panjang maksimum adalah 2048 karakter.
match_keys(Diperlukan)-
Array pasangan kunci yang menentukan cara mencocokkan bidang peristiwa log untuk mencari bidang tabel. Minimal 1, maksimum 5 tombol kecocokan. Ketika beberapa tombol kecocokan ditentukan, baris tabel pencarian harus cocok dengan semua kunci untuk menghasilkan hasil (DAN logika).
match_keys[].log_key(Diperlukan)-
Nama bidang dalam peristiwa log untuk dicocokkan. Maksimal 128 karakter.
match_keys[].lookup_key(Diperlukan)-
Nama kolom dalam tabel pencarian untuk mencocokkan. Maksimal 128 karakter.
entries(Diperlukan)-
Array bidang untuk ditambahkan ke peristiwa log dari baris tabel pencarian yang cocok. Minimal 1, maksimal 10 entri.
entries[].source(Diperlukan)-
Nama kolom dalam tabel pencarian untuk mengambil nilai dari. Maksimal 128 karakter.
entries[].target(opsional)-
Nama bidang untuk ditambahkan ke peristiwa log. Jika tidak ditentukan, nama
sourcekolom digunakan sebagai nama bidang. Maksimal 128 karakter. entries[].overwrite_if_exists(opsional)-
Bendera Boolean yang menentukan perilaku saat bidang target sudah ada dalam peristiwa log. Default ke false.
when(opsional)-
Ekspresi bersyarat yang menentukan apakah prosesor ini mengeksekusi. Panjang maksimum adalah 256 karakter. Lihat Sintaks ekspresi untuk pemrosesan bersyarat.
Contoh
Pertimbangkan tabel pencarian bernama network_assets dengan baris berikut:
| ip_alamat | hostname | owner | lokasi |
|---|---|---|---|
| 10.0.1.12 | web-server-01 | tim-alfa | us-east-1 |
| 10.0.2.45 | db-server-03 | tim-beta | us-west-2 |
| 10.0.3.78 | cache-node-07 | tim-alfa | eu-west-1 |
Mengingat peristiwa log berikut:
{ "timestamp": "2026-05-04T12:00:00Z", "src_ip": "10.0.2.45", "action": "connection_opened", "bytes": 2048 }
Dan konfigurasi prosesor berikut:
processor: - lookup: lookup_table: "arn:aws:logs:us-east-1:123456789012:lookup-table:network_assets" match_keys: - log_key: "src_ip" lookup_key: "ip_address" entries: - source: "hostname" target: "src_hostname" - source: "owner" - source: "location" target: "src_region" overwrite_if_exists: false
Prosesor menghasilkan peristiwa log yang diperkaya berikut:
{ "timestamp": "2026-05-04T12:00:00Z", "src_ip": "10.0.2.45", "action": "connection_opened", "bytes": 2048, "src_hostname": "db-server-03", "owner": "team-beta", "src_region": "us-west-2" }
Izin IAM
Ketika pipeline menggunakan prosesor pencarian, peran eksekusi pipeline harus menyertakan logs:GetLookupTable izin untuk tabel yang direferensikan. Contoh pernyataan kebijakan berikut memberikan izin ini:
{ "Effect": "Allow", "Action": "logs:GetLookupTable", "Resource": "arn:aws:logs:<region>:<account-id>:lookup-table:<table-name>" }