保留事件中的字段

include_fields 处理器指定在满足特定条件时导出哪些字段。该条件是可选的。如果缺少该条件，则始终导出指定的字段。即使未在 include_fields 列表中定义，@timestamp、@metadata 和 type 字段也始终会被导出。

processors:
  - include_fields:
      when:
        condition
      fields: ["field1", "field2", ...]

有关支持的条件列表，请参阅条件。

您可以在 processors 部分下指定多个 include_fields 处理器。