转换
编辑转换编辑
convert 处理器将事件中的字段转换为不同的类型,例如将字符串转换为整数。
支持的类型包括:integer、long、float、double、string、boolean 和 ip。
ip 类型实际上是 string 的别名,但附加了验证,以确保值为 IPv4 或 IPv6 地址。
processors:
- convert:
fields:
- {from: "src_ip", to: "source.ip", type: "ip"}
- {from: "src_port", to: "source.port", type: "integer"}
ignore_missing: true
fail_on_error: false
convert 处理器具有以下配置设置
-
字段 - (必填) 这是要转换的字段列表。列表中必须至少包含一个项目。列表中的每个项目都必须具有一个
from键,用于指定源字段。to键是可选的,用于指定分配转换后的值的位置。如果省略to,则会更新from字段。 -
忽略缺失 - (可选) 如果为
true,则当事件中找不到from键时,处理器会继续处理下一个字段。如果为 false,则处理器会返回错误,并且不会处理剩余字段。默认值为false。 -
错误时失败 - (可选) 如果为 false,则会忽略类型转换错误,处理器会继续处理下一个字段。默认值为
true。 -
标签 - (可选) 此处理器的标识符。在调试时很有用。
-
模式 - (可选) 当为字段定义了
from和to时,mode控制在类型转换成功时是copy还是rename字段。默认值为copy。