› › ›

替换事件中的字段

编辑

替换事件中的字段

编辑

replace处理器接收一个字段列表，用于搜索匹配的值，并将匹配的值替换为指定的字符串。

replace处理器不能用于创建完全新的值。

您可以使用此处理器截断字段值或将其替换为新的字符串值。您还可以使用此处理器屏蔽PII信息。

示例

编辑

以下示例将路径从/usr/bin更改为/usr/local/bin

  - replace:
      fields:
        - field: "file.path"
          pattern: "/usr/"
          replacement: "/usr/local/"
      ignore_missing: false
      fail_on_error: true

配置设置

编辑

名称	必填	默认值	描述
`fields`	是		一个或多个项目的列表。每个项目包含`field: field-name`、`pattern: regex-pattern`和`replacement: replacement-string`，其中 `field`是原始字段名称。您可以在此字段中使用`@metadata.`前缀来替换事件元数据中的值，而不是事件字段。 `pattern`是用于匹配字段值的正则表达式模式。 `replacement`是要用于更新字段值的替换字符串。
`ignore_missing`	否	`false`	是否忽略缺失的字段。如果为`true`，则如果指定的字段缺失，则不会记录错误。
`fail_on_error`	否	`true`	如果发生错误，是否使字段值的替换失败。如果为`true`且发生错误，则字段值的替换将停止，并将返回原始事件。如果为`false`，即使在替换过程中发生错误，替换也会继续。

请参阅条件以了解支持的条件列表。

« 重命名事件中的字段脚本处理器 »