› ›

复制字段

copy_fields 处理器获取字段的值并将其复制到新字段。

您不能使用此处理器替换现有字段。如果目标字段已存在，则必须在使用 copy_fields 之前删除或重命名该字段。

此配置

  - copy_fields:
      fields:
        - from: message
          to: event.original
      fail_on_error: false
      ignore_missing: true

将原始 message 字段复制到 event.original

{
  "message": "my-interesting-message",
  "event": {
      "original": "my-interesting-message"
  }
}

Elastic Agent 处理器在摄取管道之前执行，这意味着您的处理器配置不能引用摄取管道或 Logstash 创建的字段。有关更多限制，请参阅使用处理器的某些限制是什么？

名称	必需	默认值	描述
`fields`	是		要复制的 `from` 和 `to` 对的列表。您可以使用 `@metadata.` 前缀从事件元数据复制值或到事件元数据。
`fail_on_error`	否	`true`	如果发生错误是否失败。如果 `true` 并且发生错误，则任何更改都会回滚，并且返回原始值。如果 `false`，即使发生错误，处理也会继续。
`ignore_missing`	否	`false`	是否忽略缺少源字段的事件。如果 `false`，则如果缺少字段，则事件的处理将失败。