事件字段重命名
编辑事件字段重命名编辑
rename 处理器指定要重命名的字段列表。在 fields 键下,每个条目包含一个 from: old-key 和一个 to: new-key 对,其中
-
from是原始字段名称。支持使用@metadata.前缀来表示from,并重命名事件元数据中的键,而不是事件字段。 -
to是目标字段名称
rename 处理器不能用于覆盖字段。要覆盖字段,请首先重命名目标字段,或使用 drop_fields 处理器删除该字段,然后重命名该字段。
您可以重命名字段以解决字段名称冲突。例如,如果一个事件有两个字段,c 和 c.b(其中 b 是 c 的子字段),则分配标量值会导致在索引时出现 Elasticsearch 错误。分配 {"c": 1, "c.b": 2} 会导致错误,因为 c 是一个对象,不能分配标量值。为了防止这种冲突,在分配值之前将 c 重命名为 c.value。
processors:
- rename:
fields:
- from: "a.g"
to: "e.d"
ignore_missing: false
fail_on_error: true
rename 处理器具有以下配置设置
-
ignore_missing - (可选)如果设置为 true,则如果缺少要重命名的键,不会记录任何错误。默认值为
false。 -
fail_on_error - (可选)如果设置为 true,如果出现错误,则停止字段重命名,并返回原始事件。如果设置为 false,即使在重命名期间发生错误,重命名也会继续。默认值为
true。
有关支持条件的列表,请参见 条件。
您可以在 processors 部分下指定多个 rename 处理器。