保留事件中的字段
编辑保留事件中的字段
编辑include_fields处理器指定在满足特定条件时要导出的字段。条件是可选的。如果缺少条件,则始终导出指定的字段。@timestamp、@metadata和type字段始终导出,即使它们未在include_fields列表中定义。
processors:
- include_fields:
when:
condition
fields: ["field1", "field2", ...]
有关支持的条件列表,请参见条件。
您可以在processors部分下指定多个include_fields处理器。
如果在include_fields下定义一个空的字段列表,则仅导出必需的字段@timestamp和type。