› ›

复制字段

copy_fields 处理器获取字段的值并将其复制到一个新字段。

您不能使用此处理器来替换现有字段。如果目标字段已存在，则必须先删除或重命名该字段，然后才能使用 copy_fields。

此配置

  - copy_fields:
      fields:
        - from: message
          to: event.original
      fail_on_error: false
      ignore_missing: true

将原始 message 字段复制到 event.original

{
  "message": "my-interesting-message",
  "event": {
      "original": "my-interesting-message"
  }
}

Elastic Agent 处理器在摄取管道之前执行，这意味着您的处理器配置不能引用由摄取管道或 Logstash 创建的字段。有关更多限制，请参阅使用处理器有哪些限制？

名称	必需	默认值	描述
`fields`	是		要复制的 `from` 和 `to` 配对列表。您可以使用 `@metadata.` 前缀从事件元数据复制值或将值复制到事件元数据。
`fail_on_error`	否	`true`	如果发生错误是否失败。如果为 `true` 且发生错误，则所有更改都将还原，并返回原始值。如果为 `false`，则即使发生错误也会继续处理。
`ignore_missing`	否	`false`	是否忽略缺少源字段的事件。如果为 `false`，则如果缺少字段，事件的处理将失败。