转换编辑

convert 处理器将事件中的字段转换为不同的类型,例如将字符串转换为整数。

支持的类型包括:integerlongfloatdoublestringbooleanip

ip 类型实际上是 string 的别名,但增加了对值是 IPv4 或 IPv6 地址的验证。

processors:
  - convert:
      fields:
        - {from: "src_ip", to: "source.ip", type: "ip"}
        - {from: "src_port", to: "source.port", type: "integer"}
      ignore_missing: true
      fail_on_error: false

convert 处理器具有以下配置设置

字段
(必填) 这是要转换的字段列表。列表中必须至少包含一个项目。列表中的每个项目都必须具有一个 from 键,指定源字段。 to 键是可选的,指定将转换后的值分配到哪里。如果省略 to,则 from 字段将就地更新。 type 键指定要将值转换到的数据类型。如果省略 type,则处理器会复制或重命名字段,而不进行任何类型转换。
忽略缺失
(可选) 如果为 true,则当事件中未找到 from 键时,处理器将继续处理下一个字段。如果为 false,则处理器将返回错误,并且不会处理剩余的字段。默认值为 false
错误时失败
(可选) 如果为 false,则忽略类型转换失败,并且处理器将继续处理下一个字段。默认值为 true
标签
(可选) 此处理器的标识符。对调试很有用。
模式
(可选) 当为字段定义了 fromto 时,mode 控制在类型转换成功时是 copy 还是 rename 字段。默认值为 copy