- Auditbeat 参考其他版本
- Auditbeat 概述
- 快速入门:安装和配置
- 设置和运行
- 升级 Auditbeat
- 配置
- 模块
- 通用设置
- 项目路径
- 配置文件重新加载
- 输出
- Kerberos
- SSL
- 索引生命周期管理 (ILM)
- Elasticsearch 索引模板
- Kibana 端点
- Kibana 仪表板
- 处理器
- 定义处理器
- add_cloud_metadata
- add_cloudfoundry_metadata
- add_docker_metadata
- add_fields
- add_host_metadata
- add_id
- add_kubernetes_metadata
- add_labels
- add_locale
- add_network_direction
- add_nomad_metadata
- add_observer_metadata
- add_process_metadata
- add_session_metadata
- add_tags
- append
- community_id
- convert
- copy_fields
- decode_base64_field
- decode_duration
- decode_json_fields
- decode_xml
- decode_xml_wineventlog
- decompress_gzip_field
- detect_mime_type
- dissect
- dns
- drop_event
- drop_fields
- extract_array
- fingerprint
- include_fields
- move_fields
- rate_limit
- registered_domain
- rename
- replace
- syslog
- translate_ldap_attribute
- translate_sid
- truncate_fields
- urldecode
- 内部队列
- 日志
- HTTP 端点
- 正则表达式支持
- 检测
- 功能标志
- auditbeat.reference.yml
- 操作指南
- 模块
- 导出的字段
- 监控
- 安全
- 问题排查
- 为 Beats 贡献
转换
编辑转换
编辑convert 处理器将事件中的字段转换为不同的类型,例如将字符串转换为整数。
支持的类型包括:integer、long、float、double、string、boolean 和 ip。
ip 类型实际上是 string 的别名,但增加了对值是否为 IPv4 或 IPv6 地址的验证。
processors: - convert: fields: - {from: "src_ip", to: "source.ip", type: "ip"} - {from: "src_port", to: "source.port", type: "integer"} ignore_missing: true fail_on_error: false
convert 处理器具有以下配置设置
-
fields - (必需)这是要转换的字段列表。列表中必须至少包含一项。列表中的每一项都必须具有一个
from键,用于指定源字段。to键是可选的,用于指定将转换后的值分配到何处。如果省略了to,则from字段将就地更新。type键指定要将值转换成的数据类型。如果省略了type,则处理器会复制或重命名该字段,而不会进行任何类型转换。 -
ignore_missing - (可选)如果为
true,则当在事件中找不到from键时,处理器会继续处理下一个字段。如果为 false,则处理器会返回错误,并且不会处理剩余的字段。默认值为false。 -
fail_on_error - (可选)如果为 false,则会忽略类型转换失败,并且处理器会继续处理下一个字段。默认值为
true。 -
tag - (可选)此处理器的标识符。对于调试很有用。
-
mode - (可选)当为字段同时定义了
from和to时,mode控制在类型转换成功时是copy还是rename该字段。默认值为copy。
Was this helpful?
Thank you for your feedback.