重命名事件中的字段
编辑重命名事件中的字段
编辑rename处理器指定要重命名的字段列表。在fields键下,每个条目包含一个from: old-key和一个to: new-key对,其中
-
from是原始字段名。支持使用@metadata.前缀用于from,并重命名事件元数据中的键,而不是事件字段。 -
to是目标字段名
rename处理器不能用于覆盖字段。要覆盖字段,请先重命名目标字段,或使用drop_fields处理器删除该字段,然后再重命名该字段。
您可以重命名字段以解决字段名称冲突。例如,如果一个事件有两个字段c和c.b(其中b是c的子字段),则分配标量值会导致在摄取时出现 Elasticsearch 错误。赋值{"c": 1, "c.b": 2}将导致错误,因为c是一个对象,不能分配标量值。为了避免此冲突,请在赋值之前将c重命名为c.value。
processors:
- rename:
fields:
- from: "a.g"
to: "e.d"
ignore_missing: false
fail_on_error: true
rename处理器具有以下配置设置
-
ignore_missing - (可选)如果设置为true,则如果缺少应重命名的键,则不会记录错误。默认为
false。 -
fail_on_error - (可选)如果设置为true,则如果发生错误,则字段的重命名将停止,并返回原始事件。如果设置为false,即使重命名期间发生错误,重命名也会继续。默认为
true。
请参阅条件以获取支持的条件列表。
您可以在processors部分下指定多个rename处理器。