› ›

重命名事件中的字段

rename 处理器指定要重命名的字段列表。此处理器无法用于覆盖字段。要覆盖字段，请先重命名目标字段，或使用 drop_fields 处理器删除字段，然后重命名字段。

您可以重命名字段以解决字段名称冲突。例如，如果一个事件有两个字段，c 和 c.b（其中 b 是 c 的子字段），则分配标量值会导致在摄取时出现 Elasticsearch 错误。赋值 {"c": 1,"c.b": 2} 会导致错误，因为 c 是一个对象，无法分配标量值。为了防止此冲突，在分配值之前，将 c 重命名为 c.value。

示例

编辑

  - rename:
      fields:
        - from: "a.g"
          to: "e.d"
      ignore_missing: false
      fail_on_error: true

配置设置

编辑

Elastic Agent 处理器在摄取管道之前执行，这意味着您的处理器配置不能引用由摄取管道或 Logstash 创建的字段。有关更多限制，请参阅使用处理器的局限性是什么？

名称	必填	默认值	描述
`字段`	是		包含 `from: "old-key"`，其中 `from` 是原始字段名称。您可以在此字段中使用 `@metadata.` 前缀来重命名事件元数据中的键，而不是事件字段。 `to: "new-key"`，其中 `to` 是目标字段名称。
`ignore_missing`	否	`false`	是否忽略缺失的键。如果 `true`，则在缺少应重命名的键时不会记录错误。
`fail_on_error`	否	`true`	如果发生错误，是否失败重命名。如果 `true` 且发生错误，则重命名字段将停止，并返回原始事件。如果 `false`，则即使在重命名过程中发生错误，重命名也会继续。

有关支持条件的列表，请参阅条件。

您可以在 processors 部分下指定多个 rename 处理器。

« 已注册域名替换事件中的字段 »