› ›

替换事件中的字段

编辑

替换事件中的字段

编辑

replace 处理器接收一个字段列表，用于搜索匹配值并用指定的字符串替换匹配值。

replace 处理器不能用于创建全新的值。

您可以使用此处理器截断字段值或将其替换为新的字符串值。您还可以使用此处理器屏蔽 PII 信息。

示例

编辑

以下示例将路径从 /usr/bin 更改为 /usr/local/bin

  - replace:
      fields:
        - field: "file.path"
          pattern: "/usr/"
          replacement: "/usr/local/"
      ignore_missing: false
      fail_on_error: true

配置设置

编辑

Elastic Agent 处理器在摄取管道之前执行，这意味着您的处理器配置不能引用由摄取管道或 Logstash 创建的字段。有关更多限制，请参阅使用处理器的某些限制是什么？

名称	必需	默认值	描述
`fields`	是		一个或多个项目的列表。每个项目包含 `field: field-name`、`pattern: regex-pattern` 和 `replacement: replacement-string`，其中 `field` 是原始字段名称。您可以在此字段中使用 `@metadata.` 前缀来替换事件元数据而不是事件字段中的值。 `pattern` 是用于匹配字段值的正则表达式模式 `replacement` 是用于更新字段值的替换字符串
`ignore_missing`	否	`false`	是否忽略缺失字段。如果 `true`，则如果指定的字段缺失，不会记录错误。
`fail_on_error`	否	`true`	如果发生错误，是否使字段值的替换失败。如果 `true` 且发生错误，则字段值的替换将停止，并且返回原始事件。如果 `false`，即使在替换过程中发生错误，替换也会继续。

请参阅条件以获取支持的条件列表。

« 重命名事件中的字段脚本处理器 »