添加字段

add_fields 处理器将其他字段添加到事件中。字段可以是标量值、数组、字典或它们的任何嵌套组合。add_fields 处理器会覆盖目标字段（如果已存在）。默认情况下，您指定的字段将分组在事件中的 fields 子字典下。要将字段分组在不同的子字典下，请使用 target 设置。要将字段存储为顶级字段，请设置 target: ''。

例如，此配置

processors:
  - add_fields:
      target: project
      fields:
        name: myproject
        id: '574734885120952459'

将这些字段添加到任何事件

{
  "project": {
    "name": "myproject",
    "id": "574734885120952459"
  }
}

此配置将更改事件元数据

processors:
  - add_fields:
      target: '@metadata'
      fields:
        op_type: "index"

当事件被摄取时（例如，由 Elasticsearch 摄取），文档将具有设置为元数据字段的 op_type: "index"。