« 社区 ID 网络流量哈希 复制字段 »
Elastic 文档 Fleet 和 Elastic Agent 指南 [8.16] 定义处理器

转换字段类型

编辑

转换字段类型

编辑

convert 处理器将事件中的字段转换为不同的类型,例如将字符串转换为整数。

支持的类型包括:integerlongfloatdoublestringbooleanip

ip 类型实际上是 string 的别名,但额外添加了值必须是 IPv4 或 IPv6 地址的验证。

示例

编辑
  - convert:
      fields:
        - {from: "src_ip", to: "source.ip", type: "ip"}
        - {from: "src_port", to: "source.port", type: "integer"}
      ignore_missing: true
      fail_on_error: false

配置设置

编辑

Elastic Agent 处理器在摄取管道之前执行,这意味着您的处理器配置不能引用由摄取管道或 Logstash 创建的字段。有关更多限制,请参阅 使用处理器有哪些限制?

名称 必填 默认值 描述

fields

要转换的字段列表。列表必须包含至少一个项目。每个项目必须具有一个 from 键,用于指定源字段。 to 键是可选的,用于指定分配转换值的目的地。如果省略 to,则 from 字段将就地更新。 type 键指定要将值转换为的数据类型。如果省略 type,则处理器将复制或重命名字段,而无需任何类型转换。

ignore_missing

false

是否忽略缺少的 from 键。如果为 true 且在事件中找不到 from 键,则处理器将继续处理下一个字段。如果为 false,则处理器将返回错误,并且不会处理其余字段。

fail_on_error

true

发生类型转换错误时是否失败。如果为 false,则忽略类型转换错误,处理器将继续处理下一个字段。

tag

此处理器的标识符。对调试很有用。

mode

copy

当为字段同时定义了 fromto 时, mode 控制在类型转换成功时是否 copyrename 字段。
« 社区 ID 网络流量哈希 复制字段 »