添加字段

add_fields 处理器为事件添加其他字段。字段可以是标量值、数组、字典或这些的任何嵌套组合。如果目标字段已存在，add_fields 处理器将覆盖它。默认情况下，您指定的字段将分组在事件的 fields 子字典下。要将字段分组到不同的子字典下，请使用 target 设置。要将字段存储为顶层字段，请将 target 设置为 ''。

target

（可选）用于放置所有字段的子字典。默认为 fields。将其设置为 @metadata 将把值添加到事件元数据而不是字段中。

字段

要添加的字段。

例如，此配置

processors:
  - add_fields:
      target: project
      fields:
        name: myproject
        id: '574734885120952459'

将这些字段添加到任何事件中

{
  "project": {
    "name": "myproject",
    "id": "574734885120952459"
  }
}

此配置将修改事件元数据

processors:
  - add_fields:
      target: '@metadata'
      fields:
        op_type: "index"

当事件被摄取时（例如，通过 Elasticsearch），文档将设置 op_type: "index" 作为元数据字段。