› ›

重命名事件中的字段

重命名事件中的字段编辑

rename 处理器指定要重命名的字段列表。此处理器不能用于覆盖字段。要覆盖字段，请先重命名目标字段，或使用 drop_fields 处理器删除该字段，然后再重命名该字段。

您可以重命名字段以解决字段名称冲突。例如，如果一个事件有两个字段，c 和 c.b（其中 b 是 c 的子字段），则分配标量值会导致 Elasticsearch 在摄取时出错。分配 {"c": 1,"c.b": 2} 将导致错误，因为 c 是一个对象，不能分配标量值。为了防止此冲突，请在分配值之前将 c 重命名为 c.value。

示例编辑

  - rename:
      fields:
        - from: "a.g"
          to: "e.d"
      ignore_missing: false
      fail_on_error: true

配置设置编辑

Elastic Agent 处理器在摄取管道之前执行，这意味着您的处理器配置不能引用由摄取管道或 Logstash 创建的字段。有关更多限制，请参阅使用处理器有哪些限制？

名称	必需	默认值	描述
`字段`	是		包含 `from: "旧键名"`，其中 `from` 是原始字段名称。您可以在此字段中使用 `@metadata.` 前缀来重命名事件元数据中的键，而不是事件字段。 `to: "新键名"`，其中 `to` 是目标字段名称。
`ignore_missing`	否	`false`	是否忽略缺少的键。如果为 `true`，则在缺少应重命名的键时不会记录错误。
`fail_on_error`	否	`true`	如果发生错误，是否停止重命名。如果为 `true` 并且发生错误，则停止字段重命名，并返回原始事件。如果为 `false`，即使在重命名期间发生错误，重命名也会继续。

有关支持的条件列表，请参阅条件。

您可以在 processors 部分下指定多个 rename 处理器。

« 注册域替换事件中的字段 »