› › ›

KV 处理器

KV 处理器编辑

此处理器有助于自动解析 foo=bar 格式的消息（或特定事件字段）。

例如，如果您有一个包含 ip=1.2.3.4 error=REFUSED 的日志消息，您可以通过配置自动解析这些字段

{
  "kv": {
    "field": "message",
    "field_split": " ",
    "value_split": "="
  }
}

使用 KV 处理器可能会导致您无法控制的字段名称。请考虑使用扁平化数据类型，它将整个对象映射为单个字段，并允许对内容进行简单搜索。

表 30. KV 选项

名称	必需	默认值	描述
`field`	是	-	要解析的字段。支持模板片段。
`field_split`	是	-	用于拆分键值对的正则表达式模式
`value_split`	是	-	用于在键值对中拆分键和值的正则表达式模式
`target_field`	否	`null`	要插入提取的键的字段。默认为文档的根。支持模板片段。
`include_keys`	否	`null`	要过滤并插入文档的键列表。默认为包含所有键
`exclude_keys`	否	`null`	要从文档中排除的键列表
`ignore_missing`	否	`false`	如果 `true` 且 `field` 不存在或为 `null`，则处理器将静默退出，不会修改文档
`prefix`	否	`null`	要添加到提取的键的前缀
`trim_key`	否	`null`	要从提取的键中修剪的字符字符串
`trim_value`	否	`null`	要从提取的值中修剪的字符字符串
`strip_brackets`	否	`false`	如果 `true`，则从提取的值中删除括号 `()`、`<>`、`[]` 以及引号 `'` 和 `"`
`description`	否	-	处理器的描述。用于描述处理器的目的或其配置。
`if`	否	-	有条件地执行处理器。请参阅有条件地运行处理器。
`ignore_failure`	否	`false`	忽略处理器的错误。请参阅处理管道错误。
`on_failure`	否	-	处理处理器的错误。请参阅处理管道错误。
`tag`	否	-	处理器的标识符。用于调试和指标。