保留事件中的字段
编辑保留事件中的字段
编辑include_fields 处理器指定在满足特定条件时要导出的字段。条件是可选的。如果条件缺失,则始终导出指定的字段。@timestamp、@metadata 和 type 字段始终导出,即使它们未在 include_fields 列表中定义。
示例
编辑 - include_fields:
when:
condition
fields: ["field1", "field2", ...]
有关支持条件的列表,请参阅 条件。
Elastic Agent 处理器在摄取管道之前执行,这意味着您的处理器配置不能引用由摄取管道或 Logstash 创建的字段。有关更多限制,请参阅 使用处理器有哪些限制?
您可以在 processors 部分下指定多个 include_fields 处理器。
如果在 include_fields 下定义一个空字段列表,则仅导出必需的字段 @timestamp 和 type。