转换
编辑转换
编辑convert 处理器将事件中的字段转换为不同的类型,例如将字符串转换为整数。
支持的类型包括:integer、long、float、double、string、boolean 和 ip。
ip 类型实际上是 string 的别名,但附加了验证,以确保值为 IPv4 或 IPv6 地址。
processors:
- convert:
fields:
- {from: "src_ip", to: "source.ip", type: "ip"}
- {from: "src_port", to: "source.port", type: "integer"}
ignore_missing: true
fail_on_error: false
convert 处理器具有以下配置设置
-
fields - (必填) 这是要转换的字段列表。列表中必须包含至少一个项目。列表中的每个项目都必须具有一个
from键,用于指定源字段。to键是可选的,用于指定将转换后的值分配到哪里。如果省略了to,则会就地更新from字段。type键指定要将值转换为的数据类型。如果省略了type,则处理器将复制或重命名字段,而不会进行任何类型转换。 -
ignore_missing - (可选) 如果为
true,则当事件中未找到from键时,处理器将继续处理下一个字段。如果为 false,则处理器将返回错误,并且不会处理其余字段。默认值为false。 -
fail_on_error - (可选) 如果为 false,则忽略类型转换错误,并且处理器将继续处理下一个字段。默认值为
true。 -
tag - (可选) 此处理器的标识符。用于调试。
-
mode - (可选) 当为某个字段同时定义了
from和to时,mode控制在类型转换成功时是否要copy或rename字段。默认值为copy。