解压 gzip 字段
decompress_gzip_field 处理器指定要进行 gzip 解压的字段。
要覆盖字段,请先重命名目标字段,或者使用 drop_fields 处理器删除字段,然后再解压该字段。
在此示例中,field1 被解压到 field2 中。
- decompress_gzip_field:
field:
from: "field1"
to: "field2"
ignore_missing: false
fail_on_error: true
注意
Elastic Agent 处理器在采集管道(ingest pipelines)之前执行,这意味着您的处理器配置不能引用由采集管道或 Logstash 创建的字段。有关更多限制,请参阅使用处理器有哪些限制?
| 名称 | 必需 | 默认值 | 描述 |
|---|---|---|---|
field |
是 | 包含 * from: "old-key",其中 from 是源字段* to: "new-key",其中 to 是目标字段名 |
|
ignore_missing |
否 | false |
是否忽略缺失的键。如果为 true,则要解压的键缺失时不会记录错误。 |
fail_on_error |
否 | true |
如果为 true 且发生错误,则字段解压将停止,并返回原始事件。如果为 false,则即使在解码过程中发生错误,解压也会继续。 |
有关支持的条件的列表,请参阅条件。