转换
编辑转换
编辑convert 处理器将事件中的字段转换为不同的类型,例如将字符串转换为整数。
支持的类型包括:integer、long、float、double、string、boolean 和 ip。
ip 类型实际上是 string 的别名,但添加了对值是否为 IPv4 或 IPv6 地址的验证。
processors:
- convert:
fields:
- {from: "src_ip", to: "source.ip", type: "ip"}
- {from: "src_port", to: "source.port", type: "integer"}
ignore_missing: true
fail_on_error: false
convert 处理器具有以下配置设置:
-
fields - (必需)这是要转换的字段列表。列表中必须包含至少一项。列表中的每一项都必须有一个
from键,指定源字段。to键是可选的,指定转换后的值分配到哪里。如果省略to,则from字段将就地更新。type键指定将值转换为的数据类型。如果省略type,则处理器将复制或重命名该字段,而无需进行任何类型转换。 -
ignore_missing - (可选)如果为
true,则当在事件中未找到from键时,处理器将继续处理下一个字段。如果为 false,则处理器返回错误,并且不处理剩余的字段。默认为false。 -
fail_on_error - (可选)如果为 false,则忽略类型转换失败,处理器将继续处理下一个字段。默认为
true。 -
tag - (可选)此处理器的标识符。用于调试。
-
mode - (可选)当为字段同时定义
from和to时,mode控制在类型转换成功时是copy还是rename该字段。默认为copy。