› ›

从事件中删除字段

从事件中删除字段编辑

drop_fields 处理器指定在满足特定条件时要删除的字段。该条件是可选的。如果缺少该条件，则始终删除指定的字段。即使 @timestamp 和 type 字段显示在 drop_fields 列表中，也不能删除它们。

  - drop_fields:
      when:
        condition
      fields: ["field1", "field2", ...]
      ignore_missing: false

如果在 drop_fields 下定义了一个空字段列表，则不会删除任何字段。

Elastic Agent 处理器在摄取管道*之前*执行，这意味着您的处理器配置不能引用由摄取管道或 Logstash 创建的字段。有关更多限制，请参阅使用处理器有哪些限制？

名称	必需	默认	描述
`字段`	是		如果非空，则将删除匹配字段名称的列表。数组中的任何元素都可以包含由两个斜杠 (/reg_exp/) 分隔的正则表达式，以便匹配（名称）并删除多个字段。
`ignore_missing`	否	`false`	如果为 `true`，则处理器会忽略缺少的字段，并且不会返回错误。

有关支持的条件列表，请参阅条件。