从事件中删除字段
编辑从事件中删除字段编辑
如果满足特定条件,drop_fields 处理器会指定要删除的字段。条件是可选的。如果条件缺失,则始终会删除指定的字段。即使 drop_fields 列表中显示了 @timestamp 和 type 字段,它们也不能被删除。
processors:
- drop_fields:
when:
condition
fields: ["field1", "field2", ...]
ignore_missing: false
有关支持条件的列表,请参阅 条件。
如果在 drop_fields 下定义一个空的字段列表,则不会删除任何字段。
drop_fields 处理器具有以下配置设置
-
字段 - 如果非空,将删除匹配的字段名列表。数组中的任何元素都可以包含由两个斜杠 (/reg_exp/) 分隔的正则表达式,以便匹配(名称)并删除多个字段。
-
忽略缺失 - (可选)如果为
true,处理器在指定字段不存在时不会返回错误。默认值为false。