配置文件数据类型

布尔值可以是 true 或 false。true 的替代名称是 yes 和 on。除了 false 之外，还可以使用值 no 和 off。

enabled: true
disabled: false

数字值要求您输入要使用的数字，不要使用单引号或双引号。但是，某些设置仅支持有限的数字范围。

integer: 123
negative: -1
float: 5.4

在 YAML[http://www.yaml.org] 中，支持多种类型的字符串定义：双引号、单引号、无引号。

双引号样式通过用 " 括起字符串来指定。此样式支持使用 \ 转义不可打印字符，但需要转义 \ 和 " 字符。

单引号样式通过用 ' 括起字符串来指定。此样式不支持任何转义（使用 '' 来引用单引号）。使用此形式时，只能使用可打印字符。

无引号样式不需要引号，但不支持任何转义，并且需要注意不要使用 YAML 中具有特殊含义的任何符号。

注意：在定义正则表达式、事件格式字符串、Windows 文件路径或非字母符号时，建议使用单引号样式。

持续时间需要一个数字值，该值具有可选的小数部分和必需的单位。有效的时间单位是 ns、us、ms、s、m、h。有时，基于持续时间的特性可以通过使用零或负持续时间来禁用。

duration1: 2.5s
duration2: 6h
duration_disabled: -1s

正则表达式是特殊字符串，在加载时被编译成正则表达式。

由于正则表达式和 YAML 使用 \ 来转义字符串中的字符，因此强烈建议在定义正则表达式时使用单引号字符串。当使用单引号字符串时，\ 字符不会被 YAML 解析器解释为转义符号。

格式字符串使您能够引用事件字段值，从而根据正在处理的当前事件创建字符串。变量扩展包含在扩展括号 %{<accessor>:default value} 中。事件字段使用字段引用 [fieldname] 访问。如果事件中缺少字段名称，则可以指定可选的默认值。

您还可以使用 +FORMAT 语法格式化存储在 @timestamp 字段中的时间，其中 FORMAT 是一个有效的 时间格式.

constant-format-string: 'constant string'
field-format-string: '%{[fieldname]} string'
format-string-with-date: '%{[fieldname]}-%{+yyyy.MM.dd}'