« 解码 JSON 字段 解码 XML Wineventlog »
Elastic 文档 Auditbeat 参考 [8.14] 配置 Auditbeat 使用处理器过滤和增强数据

解码 XML

编辑

解码 XML编辑

decode_xml 处理器解码存储在 field 键下的 XML 数据。它将结果输出到 target_field 中。

此示例演示如何解码 message 字段中包含的 XML 字符串并将结果字段写入文档的根目录。任何已存在的字段都将被覆盖。

processors:
  - decode_xml:
      field: message
      target_field: ""
      overwrite_keys: true

默认情况下,发生的任何解码错误都会停止处理链,并将错误添加到 error.message 字段中。要忽略所有错误并继续执行下一个处理器,可以设置 ignore_failure: true。要专门忽略由 field 不存在引起的故障,可以设置 ignore_missing: true

processors:
  - decode_xml:
      field: example
      target_field: xml
      ignore_missing: true
      ignore_failure: true

默认情况下,从 XML 转换的所有键的名称都将转换为小写。如果需要禁用此行为,可以使用以下示例

processors:
  - decode_xml:
      field: message
      target_field: xml
      to_lower: false

示例 XML 输入

<catalog>
  <book seq="1">
    <author>William H. Gaddis</author>
    <title>The Recognitions</title>
    <review>One of the great seminal American novels of the 20th century.</review>
  </book>
</catalog>

将产生以下输出

{
	"xml": {
		"catalog": {
			"book": {
				"author": "William H. Gaddis",
				"review": "One of the great seminal American novels of the 20th century.",
				"seq": "1",
				"title": "The Recognitions"
			}
		}
	}
}

支持的配置选项有

字段
(必填)包含 XML 的源字段。默认为 message
目标字段
(可选)将在其下写入解码后的 XML 的字段。默认情况下,解码后的 XML 对象将替换从中读取的字段。要将解码后的 XML 字段合并到事件的根目录中,请使用空字符串指定 target_fieldtarget_field: "")。请注意,null 值(target_field:)的处理方式与根本未设置该字段一样。
覆盖键
(可选)一个布尔值,指定事件中已存在的键是否被解码后的 XML 对象中的键覆盖。默认值为 true
转换为小写
(可选)将所有键转换为小写。接受 truefalse。默认值为 true
文档 ID
(可选)用作文档 ID 的 XML 键。如果配置了,该字段将从原始 XML 文档中删除并存储在 @metadata._id 中。
忽略缺失
(可选)如果为 true,则当指定的字段不存在时,处理器不会返回错误。默认为 false
忽略失败
(可选)忽略处理器产生的所有错误。默认为 false

有关支持的条件列表,请参阅条件

« 解码 JSON 字段 解码 XML Wineventlog »