New

The executive guide to generative AI

Read more
About usPartnersSupport|Login
« 解码 JSON 字段 解码 XML Wineventlog »
Elastic 文档 Auditbeat 参考 [8.17] 配置 Auditbeat 使用处理器过滤和增强数据

解码 XML

编辑

解码 XML

编辑

decode_xml 处理器解码存储在 field 键下的 XML 数据。它将结果输出到 target_field

此示例演示如何解码包含在 message 字段中的 XML 字符串,并将结果字段写入文档的根目录。任何已经存在的字段将被覆盖。

processors:
  - decode_xml:
      field: message
      target_field: ""
      overwrite_keys: true

默认情况下,发生的任何解码错误都将停止处理链,并将错误添加到 error.message 字段。要忽略所有错误并继续下一个处理器,您可以设置 ignore_failure: true。要专门忽略由 field 不存在而导致的失败,您可以设置 ignore_missing: true

processors:
  - decode_xml:
      field: example
      target_field: xml
      ignore_missing: true
      ignore_failure: true

默认情况下,从 XML 转换的所有键都将名称转换为小写。如果需要禁用此行为,可以使用以下示例

processors:
  - decode_xml:
      field: message
      target_field: xml
      to_lower: false

示例 XML 输入

<catalog>
  <book seq="1">
    <author>William H. Gaddis</author>
    <title>The Recognitions</title>
    <review>One of the great seminal American novels of the 20th century.</review>
  </book>
</catalog>

将产生以下输出

{
	"xml": {
		"catalog": {
			"book": {
				"author": "William H. Gaddis",
				"review": "One of the great seminal American novels of the 20th century.",
				"seq": "1",
				"title": "The Recognitions"
			}
		}
	}
}

支持的配置选项如下

field
(必需)包含 XML 的源字段。默认为 message
target_field
(可选)解码后的 XML 将写入的字段。默认情况下,解码后的 XML 对象会替换从中读取的字段。要将解码后的 XML 字段合并到事件的根目录中,请使用空字符串指定 target_field (target_field: "")。请注意,null 值 (target_field:) 被视为根本未设置该字段。
overwrite_keys
(可选)一个布尔值,指定事件中已存在的键是否会被解码后的 XML 对象中的键覆盖。默认值为 true
to_lower
(可选)将所有键转换为小写。接受 truefalse。默认值为 true
document_id
(可选)用作文档 ID 的 XML 键。如果已配置,则该字段将从原始 XML 文档中删除并存储在 @metadata._id 中。
ignore_missing
(可选)如果为 true,则当指定的字段不存在时,处理器不会返回错误。默认为 false
ignore_failure
(可选)忽略处理器产生的所有错误。默认为 false

有关支持的条件列表,请参阅 条件

« 解码 JSON 字段 解码 XML Wineventlog »
Was this helpful?
Feedback