› › ›

从事件中删除字段

drop_fields处理器指定在满足特定条件时要删除哪些字段。条件是可选的。如果条件缺失，则始终删除指定的字段。即使drop_fields列表中显示了@timestamp和type字段，它们也不能被删除。

processors:
  - drop_fields:
      when:
        condition
      fields: ["field1", "field2", ...]
      ignore_missing: false

请参阅条件，了解受支持的条件列表。

如果在drop_fields下定义了一个空字段列表，则不会删除任何字段。

drop_fields处理器具有以下配置设置

字段: 如果非空，则将删除匹配的字段名称列表。数组中的任何元素都可以包含用两个斜杠（*/reg_exp/*）分隔的正则表达式，以便匹配（名称）并删除多个字段。
忽略缺失: (可选) 如果为true，则当指定的字段不存在时，处理器不会返回错误。默认为false。