› ›

复制字段

复制字段编辑

copy_fields 处理器会获取字段的值并将其复制到新字段。

您不能使用此处理器来替换现有字段。如果目标字段已存在，您必须在使用 copy_fields 之前删除或重命名该字段。

此配置

  - copy_fields:
      fields:
        - from: message
          to: event.original
      fail_on_error: false
      ignore_missing: true

将原始 message 字段复制到 event.original

{
  "message": "my-interesting-message",
  "event": {
      "original": "my-interesting-message"
  }
}

Elastic Agent 处理器在摄取管道之前执行，这意味着您的处理器配置不能引用由摄取管道或 Logstash 创建的字段。有关更多限制，请参阅使用处理器的局限性是什么？

名称	必需	默认值	描述
`fields`	是		要复制的 `from` 和 `to` 对的列表。您可以使用 `@metadata.` 前缀来复制来自或到事件元数据的的值。
`fail_on_error`	否	`true`	如果发生错误是否失败。如果为 `true` 并且发生错误，则会还原任何更改，并返回原始值。如果为 `false`，即使发生错误，处理也会继续。
`ignore_missing`	否	`false`	是否忽略缺少源字段的事件。如果为 `false`，如果缺少字段，则事件的处理将失败。