添加字段
编辑添加字段
编辑add_fields 处理器会向事件添加字段。字段可以是标量值、数组、字典或这些的任何嵌套组合。add_fields 处理器会覆盖已存在的目标字段。默认情况下,您指定的字段会分组到事件中的 fields 子字典下。要将字段分组到其他子字典下,请使用 target 设置。要将字段存储为顶级字段,请设置 target: ''。
示例
编辑此配置
- add_fields:
target: project
fields:
name: myproject
id: '574734885120952459'
将这些字段添加到任何事件
{
"project": {
"name": "myproject",
"id": "574734885120952459"
}
}
此配置会更改事件元数据
- add_fields:
target: '@metadata'
fields:
op_type: "index"
当 Elasticsearch 摄取事件时,文档将具有 op_type: "index" 设置为元数据字段。
配置设置
编辑Elastic Agent 处理器在摄取管道 *之前* 执行,这意味着它们处理的是原始事件数据,而不是发送到 Elasticsearch 的最终事件。有关相关限制,请参阅 使用处理器的某些限制是什么?
| 名称 | 必需 | 默认值 | 描述 |
|---|---|---|---|
|
否 |
|
用于放置所有字段的子字典。将 |
|
是 |
要添加的字段。 |