重命名事件中的字段
编辑重命名事件中的字段
编辑rename
处理器指定要重命名的字段列表。在 fields
键下,每个条目包含一个 from: old-key
和一个 to: new-key
对,其中
-
from
是原始字段名。支持使用@metadata.
前缀作为from
,并重命名事件元数据中的键,而不是事件字段。 -
to
是目标字段名
rename
处理器不能用于覆盖字段。要覆盖字段,请首先重命名目标字段,或者使用 drop_fields
处理器删除该字段,然后再重命名该字段。
您可以重命名字段以解决字段名称冲突。例如,如果一个事件有两个字段 c
和 c.b
(其中 b
是 c
的子字段),则分配标量值会导致在摄取时出现 Elasticsearch 错误。赋值 {"c": 1, "c.b": 2}
将导致错误,因为 c
是一个对象,不能赋值标量值。为了避免此冲突,请在赋值之前将 c
重命名为 c.value
。
processors: - rename: fields: - from: "a.g" to: "e.d" ignore_missing: false fail_on_error: true
rename
处理器具有以下配置设置
-
ignore_missing
- (可选) 如果设置为 true,则如果缺少应该重命名的键,则不会记录错误。默认为
false
。 -
fail_on_error
- (可选) 如果设置为 true,则在发生错误的情况下,字段的重命名将停止,并返回原始事件。如果设置为 false,即使在重命名过程中发生错误,重命名也会继续。默认为
true
。
有关支持的条件列表,请参阅 条件。
您可以在 processors
部分下指定多个 rename
处理器。