解压 gzip 字段

编辑

decompress_gzip_field 处理器指定要进行 gzip 解压的字段。 field 键包含一个 from: old-key 和一个 to: new-key 对。 from 是字段的来源,to 是字段的目标名称。

要覆盖字段,可以先重命名目标字段,或者使用 drop_fields 处理器删除该字段,然后再解压该字段。

processors:
  - decompress_gzip_field:
      field:
        from: "field1"
        to: "field2"
      ignore_missing: false
      fail_on_error: true

在上面的示例中: - field1 被解码到 field2 中

decompress_gzip_field 处理器具有以下配置设置

ignore_missing
(可选)如果设置为 true,则在缺少应解压的键时,不会记录错误。默认为 false
fail_on_error
(可选)如果设置为 true,则在发生错误时,将停止字段的解压,并返回原始事件。 如果设置为 false,即使在解码过程中发生错误,解压也会继续进行。默认为 true

有关支持的条件列表,请参阅条件