添加字段
add_fields 处理器会向事件添加字段。字段可以是标量值、数组、字典或这些元素的任意嵌套组合。如果目标字段已存在,则 add_fields 处理器会覆盖它。默认情况下,您指定的字段会分组到事件中的 fields 子字典下。要将字段分组到不同的子字典下,请使用 target 设置。要将字段存储为顶层字段,请设置 target: ''。
此配置
- add_fields:
target: project
fields:
name: myproject
id: '574734885120952459'
将这些字段添加到任何事件
{
"project": {
"name": "myproject",
"id": "574734885120952459"
}
}
此配置更改事件元数据
- add_fields:
target: '@metadata'
fields:
op_type: "index"
当事件被 Elasticsearch 摄入时,该文档将设置 op_type: "index" 作为元数据字段。
注意
Elastic Agent 处理器在摄入管道之前执行,这意味着它们处理的是原始事件数据,而不是发送到 Elasticsearch 的最终事件。有关相关限制,请参阅 使用处理器有哪些限制?
| 名称 | 必需 | 默认值 | 描述 |
|---|---|---|---|
target |
否 | fields |
用于放置所有字段的子字典。将 target 设置为 @metadata 可以将值添加到事件元数据而不是字段中。 |
fields |
是 | 要添加的字段。 |