保留事件中的字段
编辑保留事件中的字段
编辑include_fields 处理器指定在满足特定条件时要导出的字段。该条件是可选的。如果缺少该条件,则始终导出指定的字段。@timestamp、@metadata 和 type 字段始终导出,即使它们未在 include_fields 列表中定义。
示例
编辑 - include_fields:
when:
condition
fields: ["field1", "field2", ...]
有关支持的条件的列表,请参阅 条件。
Elastic Agent 处理器在摄取管道之前执行,这意味着您的处理器配置无法引用由摄取管道或 Logstash 创建的字段。有关更多限制,请参阅 使用处理器的限制是什么?
您可以在 processors 部分下指定多个 include_fields 处理器。
如果您在 include_fields 下定义一个空的字段列表,则只会导出必需的字段,@timestamp 和 type。