添加字段
编辑添加字段
编辑add_fields 处理器向事件添加字段。字段可以是标量值、数组、字典或这些的任何嵌套组合。add_fields 处理器会覆盖目标字段(如果该字段已存在)。默认情况下,您指定的字段会分组到事件中的 fields 子字典下。要将字段分组到不同的子字典下,请使用 target 设置。要将字段存储为顶级字段,请设置 target: ''。
示例
编辑此配置
- add_fields:
target: project
fields:
name: myproject
id: '574734885120952459'
向任何事件添加以下字段
{
"project": {
"name": "myproject",
"id": "574734885120952459"
}
}
此配置会更改事件元数据
- add_fields:
target: '@metadata'
fields:
op_type: "index"
当事件被 Elasticsearch 摄入时,文档的元数据字段将设置为 op_type: "index"。
配置设置
编辑Elastic Agent 处理器在摄入管道之前执行,这意味着它们处理原始事件数据,而不是发送到 Elasticsearch 的最终事件。有关相关限制,请参阅 使用处理器有哪些限制?
| 名称 | 必需 | 默认值 | 描述 |
|---|---|---|---|
|
否 |
|
将所有字段放入的子字典。将 |
|
fields |
是 |