保留事件中的字段
编辑保留事件中的字段
编辑include_fields处理器指定在满足特定条件时要导出的字段。条件是可选的。如果缺少条件,则始终导出指定的字段。即使未在include_fields列表中定义,@timestamp、@metadata和type字段也会始终导出。
processors:
- include_fields:
when:
condition
fields: ["field1", "field2", ...]
请参阅条件以获取支持的条件列表。
您可以在processors部分下指定多个include_fields处理器。
如果在include_fields下定义一个空字段列表,则仅导出必需字段@timestamp和type。