› ›

从事件中删除字段

drop_fields 处理器指定在满足特定条件时要删除哪些字段。条件是可选的。如果缺少条件，则始终删除指定的字段。即使@timestamp 和 type 字段出现在 drop_fields 列表中，也不能删除它们。

  - drop_fields:
      when:
        condition
      fields: ["field1", "field2", ...]
      ignore_missing: false

如果在 drop_fields 下定义一个空字段列表，则不会删除任何字段。

Elastic Agent 处理器在摄取管道之前执行，这意味着您的处理器配置不能引用由摄取管道或 Logstash 创建的字段。有关更多限制，请参阅使用处理器的某些限制是什么？

名称	必需	默认值	描述
`fields`	是		如果非空，则将删除匹配字段名称的列表。数组中的任何元素都可以包含由两个斜杠（* /reg_exp/*）分隔的正则表达式，以便匹配（名称）并删除多个字段。
`ignore_missing`	否	`false`	如果 `true`，则处理器会忽略缺失的字段并且不会返回错误。

请参阅条件，了解支持的条件列表。