转换
编辑转换
编辑convert处理器将事件中的字段转换为不同的类型,例如将字符串转换为整数。
支持的类型包括:integer、long、float、double、string、boolean和ip。
ip类型实际上是string的别名,但增加了对值是否为 IPv4 或 IPv6 地址的验证。
processors:
- convert:
fields:
- {from: "src_ip", to: "source.ip", type: "ip"}
- {from: "src_port", to: "source.port", type: "integer"}
ignore_missing: true
fail_on_error: false
convert处理器具有以下配置设置
-
字段 - (必填) 这是要转换的字段列表。列表中必须至少包含一项。列表中的每一项都必须具有一个
from键,用于指定源字段。to键是可选的,用于指定分配转换值的位置。如果省略to,则from字段将就地更新。type键指定要将值转换到的数据类型。如果省略type,则处理器将复制或重命名字段,而无需任何类型转换。 -
ignore_missing - (可选) 如果为
true,则当事件中找不到from键时,处理器将继续处理下一个字段。如果为false,则处理器将返回错误,并且不会处理剩余的字段。默认为false。 -
fail_on_error - (可选) 如果为false,则忽略类型转换失败,处理器将继续处理下一个字段。默认为
true。 -
标签 - (可选) 此处理器的标识符。对调试很有用。
-
模式 - (可选) 当为字段同时定义
from和to时,mode控制在类型转换成功时是copy(复制)还是rename(重命名)字段。默认为copy。