保留事件中的字段

include_fields 处理器指定在满足特定条件时要导出的字段。条件是可选的。如果条件缺失，则始终导出指定的字段。即使没有在 include_fields 列表中定义，@timestamp、@metadata 和 type 字段也始终被导出。

processors:
  - include_fields:
      when:
        condition
      fields: ["field1", "field2", ...]

有关支持的条件列表，请参阅 条件。

您可以在 processors 部分下指定多个 include_fields 处理器。