配置文件数据类型

布尔值可以是 true 或 false。true 的替代名称是 yes 和 on。代替 false，可以使用值 no 和 off。

enabled: true
disabled: false

数字值需要您输入要使用的数字，无需使用单引号或双引号。但是，某些设置仅支持有限的数字范围。

integer: 123
negative: -1
float: 5.4

在 YAML[http://www.yaml.org] 中，支持多种字符串定义样式：双引号、单引号、无引号。

双引号样式通过用 " 包围字符串来指定。此样式支持使用 \ 转义不可打印的字符，但代价是必须转义 \ 和 " 字符。

单引号样式通过用 ' 包围字符串来指定。此样式不支持转义（使用 '' 来引用单引号）。使用此形式时，只能使用可打印字符。

无引号样式不需要引号，但不支持任何转义，并且需要注意不要使用任何在 YAML 中具有特殊含义的符号。

注意：在定义正则表达式、事件格式字符串、Windows 文件路径或非字母符号字符时，建议使用单引号样式。

持续时间需要一个数值，可以有可选的小数部分和必需的单位。有效的时间单位是 ns、us、ms、s、m、h。有时，可以通过使用零或负持续时间来禁用基于持续时间的功能。

duration1: 2.5s
duration2: 6h
duration_disabled: -1s

正则表达式是特殊字符串，在加载时会被编译为正则表达式。

由于正则表达式和 YAML 都使用 \ 来转义字符串中的字符，因此强烈建议在定义正则表达式时使用单引号字符串。当使用单引号字符串时，YAML 解析器不会将 \ 字符解释为转义符号。

格式化字符串允许您引用事件字段值，从而根据正在处理的当前事件创建字符串。变量扩展被括在扩展大括号 %{<accessor>:default value} 中。使用字段引用 [fieldname] 访问事件字段。如果事件中缺少字段名，则可以指定可选的默认值。

您还可以使用 +FORMAT 语法格式化存储在 @timestamp 字段中的时间，其中 FORMAT 是有效的 时间格式。

constant-format-string: 'constant string'
field-format-string: '%{[fieldname]} string'
format-string-with-date: '%{[fieldname]}-%{+yyyy.MM.dd}'