更新时间:2023-03-29 10:21:19
在规则配置页面,对原始日志完成解析并验证通过后,点击【修改字段】可对解析后已提取的字段进行替换、删除、重命名并支持添加字段操作,实现对解析规则的进一步优化,具体配置如下:
• 替换字段值
• 替换字段值
-直接替换
在修改方法下拉列表中选中【替换字段值】,在替换详情下拉列表(已解析字段)中选择需替换掉的字段名称,并在"="后的文本框中输入替换值。例如:若需要将【任务类型】字段的值替换为【定时备份】,替换方法如下图所示,替换后的结果可在右侧解析结果中查看;
- 引用替换
如果替换后的值需要引用已解析出的其他字段的值,您可在修改方法下拉列表中选择【替换字段值】,在“替换详情”下拉列表(已解析字段)中选择需替换掉的字段名称,并在"="后的文本框中输入"%{要引用的字段名称}"。例如:在下图所示的解析结果中,已解析出的字段【EventType】的值为 “event”,字段【Body.Type】的值为“doc_operation”:
- 引用替换
如果替换后的值需要引用已解析出的其他字段的值,您可在修改方法下拉列表中选择【替换字段值】,在“替换详情”下拉列表(已解析字段)中选择需替换掉的字段名称,并在"="后的文本框中输入"%{要引用的字段名称}"。例如:在下图所示的解析结果中,已解析出的字段【EventType】的值为 “event”,字段【Body.Type】的值为“doc_operation”:
若需要将字段【EventType】的值替换为【Body.Type】的值“doc_operation”,替换方法如下图所示,替换后的结果可在右侧解析结果中进行查看。
• 删除字段
在修改方法下拉列表中,选择【删除字段】,在已解析字段中选择需删除的字段。若需要删除多个字段,可点击
添加需删除的字段,如下所示:
• 添加字段
在修改方法下拉列表中,选择【添加字段】,选择需添加的字段类型(string/int/float)、字段名、字段值,点击【验证】后可在右侧解析结果中查看增加的字段信息。
若需要添加多个字段,可点击按钮,如下所示:
• 重命名字段
在修改方法下拉列表中,选择【重命名字段】,在已解析字段中选择需重命名的字段,点击【验证】后可在右侧解析结果中查看已重命名的字段信息。
若需重命名多个字段,可点击按钮,如下所示:
在修改方法下拉列表中,选择【删除字段】,在已解析字段中选择需删除的字段。若需要删除多个字段,可点击
添加需删除的字段,如下所示:• 添加字段
在修改方法下拉列表中,选择【添加字段】,选择需添加的字段类型(string/int/float)、字段名、字段值,点击【验证】后可在右侧解析结果中查看增加的字段信息。
若需要添加多个字段,可点击
按钮,如下所示:• 重命名字段
在修改方法下拉列表中,选择【重命名字段】,在已解析字段中选择需重命名的字段,点击【验证】后可在右侧解析结果中查看已重命名的字段信息。
若需重命名多个字段,可点击
按钮,如下所示:
< 上一篇:
下一篇: >