从事件中删除字段
drop_fields 处理器指定了在满足特定条件时要删除哪些字段。条件是可选的。如果条件缺失,则始终删除指定的字段。@timestamp 和 type 字段不能被删除,即使它们出现在 drop_fields 列表中。
- drop_fields:
when:
condition
fields: ["field1", "field2", ...]
ignore_missing: false
注意
如果在 drop_fields 下定义了一个空的字段列表,则不会删除任何字段。
注意
Elastic Agent 处理器在 ingest pipeline 之前 执行,这意味着您的处理器配置不能引用由 ingest pipeline 或 Logstash 创建的字段。有关更多限制,请参阅 使用处理器有哪些限制?
| 名称 | 必需 | 默认值 | 描述 |
|---|---|---|---|
fields |
是 | 如果非空,将删除匹配字段名称的列表。数组中的任何元素都可以包含由两个斜杠(/reg_exp/)分隔的正则表达式,以便匹配(名称)并删除多个字段。 | |
ignore_missing |
否 | false |
如果为 true,则处理器会忽略缺失字段并且不返回错误。 |
有关支持的条件列表,请参阅 条件。