› › ›

从事件中替换字段

从事件中替换字段edit

replace 处理器会获取一个字段列表，在列表中查找匹配的值，然后用指定的字符串替换匹配的值。

replace 处理器不能用于创建完全新的值。

您可以使用此处理器截断字段值或用新字符串值替换它。您还可以使用此处理器来屏蔽 PII 信息。

示例edit

以下示例将路径从 /usr/bin 更改为 /usr/local/bin

  - replace:
      fields:
        - field: "file.path"
          pattern: "/usr/"
          replacement: "/usr/local/"
      ignore_missing: false
      fail_on_error: true

配置设置edit

名称	必需	默认值	说明
`字段`	是		一个或多个项目的列表。每个项目包含一个 `field: field-name`、`pattern: regex-pattern` 和 `replacement: replacement-string`，其中 `field` 是原始字段名称。您可以使用 `@metadata.` 前缀在此字段中，以替换事件元数据中的值而不是事件字段中的值。 `pattern` 是与字段值匹配的正则表达式模式。 `replacement` 是用于更新字段值的替换字符串。
`ignore_missing`	否	`false`	是否忽略丢失的字段。如果为 `true`，则如果指定字段丢失，则不会记录任何错误。
`fail_on_error`	否	`true`	如果发生错误，是否要使字段值的替换失败。如果为 `true` 并且存在错误，则字段值的替换将停止，并返回原始事件。如果为 `false`，即使在替换期间发生错误，替换也会继续。

有关支持条件的列表，请参阅条件。

« 重命名事件中的字段脚本处理器 »