› › ›

KV 处理器

此处理器有助于自动解析 foo=bar 类型的消息（或特定的事件字段）。

例如，如果您有一条包含 ip=1.2.3.4 error=REFUSED 的日志消息，您可以通过配置自动解析这些字段

{
  "kv": {
    "field": "message",
    "field_split": " ",
    "value_split": "="
  }
}

使用 KV 处理器可能会导致您无法控制的字段名称。考虑改用扁平化数据类型，它将整个对象映射为单个字段，并允许对其内容进行简单搜索。

表 31. KV 选项

名称	必需	默认值	描述
`field`	是	-	要解析的字段。支持模板片段。
`field_split`	是	-	用于拆分键值对的正则表达式模式
`value_split`	是	-	用于从键值对中拆分键和值的正则表达式模式
`target_field`	否	`null`	将提取的键插入的字段。默认为文档的根。支持模板片段。
`include_keys`	否	`null`	要筛选并插入文档的键的列表。默认为包括所有键
`exclude_keys`	否	`null`	要从文档中排除的键的列表
`ignore_missing`	否	`否`	如果 `true` 且 `field` 不存在或为 `null`，则处理器会安静退出而不修改文档
`prefix`	否	`null`	要添加到提取的键的前缀
`trim_key`	否	`null`	要从提取的键中修剪的字符字符串
`trim_value`	否	`null`	要从提取的值中修剪的字符字符串
`strip_brackets`	否	`否`	如果 `true`，则从提取的值中去除括号 `()`，`<>`，`[]` 以及引号 `'` 和 `"`
`description`	否	-	处理器的描述。可用于描述处理器的目的或其配置。
`if`	否	-	有条件地执行处理器。请参阅有条件地运行处理器。
`ignore_failure`	否	`否`	忽略处理器的故障。请参阅处理管道故障。
`on_failure`	否	-	处理处理器的故障。请参阅处理管道故障。
`tag`	否	-	处理器的标识符。可用于调试和指标。