› ›

提取数组

此功能处于技术预览阶段，可能会在将来的版本中更改或删除。Elastic 将致力于修复任何问题，但技术预览中的功能不受正式 GA 功能的支持 SLA 的约束。

extract_array 处理器使用从数组字段读取的值填充字段。

以下示例使用 my_array 字段的第一个元素填充 source.ip，使用第二个元素填充 destination.ip，并使用第三个元素填充 network.transport。

  - extract_array:
      field: my_array
      mappings:
        source.ip: 0
        destination.ip: 1
        network.transport: 2

Elastic Agent 处理器在摄取管道 *之前* 执行，这意味着您的处理器配置不能引用由摄取管道或 Logstash 创建的字段。有关更多限制，请参阅使用处理器的局限性是什么？

名称	必填	默认值	描述
`field`	是		要提取其元素的数组字段。
`mappings`	是		将每个字段名映射到数组索引。对数组中的第一个元素使用 0。多个字段可以映射到同一个数组元素。
`ignore_missing`	否	`false`	是否忽略数组字段缺失的事件。如果为 `false`，则如果指定的字段不存在，则事件处理将失败。
`overwrite_keys`	否	`false`	如果目标字段已存在，是否覆盖映射中指定的目标字段。如果为 `false`，则如果目标字段已存在，则处理将失败。
`fail_on_error`	否	`true`	如果为 `true` 并且发生错误，则会恢复对事件的任何更改，并返回原始事件。如果为 `false`，则即使发生错误，处理也会继续。
`omit_empty`	否	`false`	是否从数组中提取空值。如果为 `true`，则目标字段不会设置为空值，而是保持未设置状态。空字符串 (`""`)、空数组 (`[]`) 或空对象 (`{}`) 被认为是空值。