› › ›

从事件中删除字段

从事件中删除字段编辑

drop_fields 处理器指定在满足特定条件时要删除哪些字段。该条件是可选的。如果缺少，则始终删除指定的字段。即使 @timestamp 和 type 字段显示在 drop_fields 列表中，也不能删除它们。

processors:
  - drop_fields:
      when:
        condition
      fields: ["field1", "field2", ...]
      ignore_missing: false

有关支持条件的列表，请参阅条件。

如果在 drop_fields 下定义了一个空字段列表，则不会删除任何字段。

drop_fields 处理器具有以下配置设置

字段: 如果非空，则将删除匹配字段名称的列表。数组中的任何元素都可以包含由两个斜杠 (/reg_exp/) 分隔的正则表达式，以便匹配（名称）和删除多个字段。
ignore_missing: （可选）如果为 true，则当指定字段不存在时，处理器不会返回错误。默认为 false。