转换
编辑转换编辑
convert 处理器将事件中的字段转换为不同的类型,例如将字符串转换为整数。
支持的类型包括:integer、long、float、double、string、boolean 和 ip。
ip 类型实际上是 string 的别名,但增加了对值是 IPv4 或 IPv6 地址的验证。
processors:
- convert:
fields:
- {from: "src_ip", to: "source.ip", type: "ip"}
- {from: "src_port", to: "source.port", type: "integer"}
ignore_missing: true
fail_on_error: false
convert 处理器具有以下配置设置
-
字段 - (必填) 这是要转换的字段列表。列表中必须包含至少一项。列表中的每一项都必须包含一个
from键,用于指定源字段。to键是可选的,用于指定要将转换后的值分配到的位置。如果省略to,则from字段将就地更新。type键指定要将值转换为的数据类型。如果省略type,则处理器将在不进行任何类型转换的情况下复制或重命名字段。 -
忽略缺失 - (可选) 如果为
true,则当事件中未找到from键时,处理器将继续处理下一个字段。如果为 false,则处理器将返回错误,并且不会处理其余字段。默认值为false。 -
错误时失败 - (可选) 如果为 false,则忽略类型转换失败,处理器将继续处理下一个字段。默认值为
true。 -
标签 - (可选) 此处理器的标识符。这对调试很有用。
-
模式 - (可选) 当字段同时定义了
from和to时,mode控制在类型转换成功时是copy还是rename字段。默认值为copy。