解压 gzip 字段
编辑解压 gzip 字段
编辑decompress_gzip_field 处理器指定要进行 gzip 解压的字段。field 键包含一个 from: old-key 和一个 to: new-key 对。from 是字段的来源,to 是目标字段的名称。
要覆盖字段,要么先重命名目标字段,要么使用 drop_fields 处理器删除该字段,然后再解压该字段。
processors:
- decompress_gzip_field:
field:
from: "field1"
to: "field2"
ignore_missing: false
fail_on_error: true
在上面的示例中:- field1 被解码到 field2 中
decompress_gzip_field 处理器具有以下配置设置
-
ignore_missing - (可选)如果设置为 true,则在缺少应解压的键时,不会记录错误。默认值为
false。 -
fail_on_error - (可选)如果设置为 true,则在发生错误时,字段的解压缩会停止,并返回原始事件。如果设置为 false,即使在解码过程中发生错误,解压缩也会继续进行。默认值为
true。
有关支持的条件的列表,请参阅 条件。