Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Prozessoren zur Bearbeitung von Zeichenketten
Zeichenkettenprozessoren ändern Textwerte innerhalb von Protokollereignissen durch Operationen wie Groß-/Kleinschreibung, Kürzen und Musterabgleich.
Lowercase_String-Prozessor
Konvertiert angegebene Felder in Kleinbuchstaben.
Konfiguration
Konfigurieren Sie den Lowercase_String-Prozessor mit den folgenden Parametern:
processor: - lowercase_string: with_keys: ["status", "method"]
Parameters
with_keys(Erforderlich)-
Array von Feldnamen, die in Kleinbuchstaben umgewandelt werden sollen. Verarbeitet nur Zeichenkettenwerte.
Prozessor „uppercase_string“
Konvertiert angegebene Felder in Großbuchstaben.
Konfiguration
Konfigurieren Sie den Prozessor uppercase_string mit den folgenden Parametern:
processor: - uppercase_string: with_keys: ["status_code", "method"]
Parameters
with_keys(Erforderlich)-
Array von Feldnamen, die in Großbuchstaben umgewandelt werden sollen. Verarbeitet nur Zeichenkettenwerte.
Prozessor trim_string
Entfernt führende und abschließende Leerzeichen aus den angegebenen Feldern.
Konfiguration
Konfigurieren Sie den Prozessor trim_string mit den folgenden Parametern:
processor: - trim_string: with_keys: ["message", "user_input"]
Parameters
with_keys(Erforderlich)-
Array von Feldnamen, aus denen Leerzeichen entfernt werden sollen. Verarbeitet nur Zeichenkettenwerte.
Prozessor substitute_string
Führt die Zeichenkettenersetzung mithilfe regulärer Ausdrücke durch.
Konfiguration
Konfigurieren Sie den Prozessor substitute_string mit den folgenden Parametern:
processor: - substitute_string: entries: - source: "message" from: "ERROR" to: "WARN"
Parameters
entries(Erforderlich)-
Array von Substitutionsoperationen, die für jedes Protokollereignis ausgeführt werden sollen.
entries[].source(Erforderlich)-
Das Feld, für das eine Zeichenkettenersetzung durchgeführt werden soll.
entries[].from(Erforderlich)-
Das Muster für reguläre Ausdrücke, das abgeglichen und ersetzt werden soll.
entries[].to(Erforderlich)-
Die Ersatzzeichenfolge für übereinstimmende Muster.
Prozessor kürzen
Kürzt Feldwerte auf die angegebene Länge.
Konfiguration
Konfigurieren Sie den Truncate-Prozessor mit den folgenden Parametern:
processor: - truncate: source_keys: ["message", "description"] length: 100 start_at: 0
Parameters
source_keys(Erforderlich)-
Array von Feldnamen, die gekürzt werden sollen. Jeder Feldname darf maximal 128 Zeichen enthalten.
length(optional)-
Maximale Länge nach der Kürzung. Bereich: 1—8192.
start_at(optional)-
Startposition für die Kürzung. Bereich: 0-8192. Der Standardwert ist 0.
Prozessor extract_value
Extrahiert Werte mithilfe regulärer Ausdrücke.
Konfiguration
Konfigurieren Sie den Prozessor extract_value mit den folgenden Parametern:
processor: - extract_value: entries: - source: "message" target: "extracted_data" from: "user=(?<user>\\w+)" to: "${user}" target_type: "string"
Parameters
entries(Erforderlich)-
Reihe von Extraktionsvorgängen. Maximal 20 Einträge.
entries[].source(Erforderlich)-
Feld, aus dem extrahiert werden soll. Maximal 128 Zeichen.
entries[].target(Erforderlich)-
Zielfeld für den extrahierten Wert. Maximal 128 Zeichen.
entries[].from(Erforderlich)-
Muster für reguläre Ausdrücke. Maximal 128 Zeichen.
entries[].to(Erforderlich)-
Ersatzmuster durch Capture-Gruppen. Maximal 128 Zeichen.
entries[].target_type(optional)-
Zieldatentyp („Integer“, „Double“, „Zeichenfolge“, „Boolean“).
convert_entry_type-Prozessor
Konvertiert Feldwerte zwischen verschiedenen Datentypen.
Konfiguration
Konfigurieren Sie den Prozessor convert_entry_type mit den folgenden Parametern:
processor: - convert_entry_type: key: "count" type: "integer"
Parameters
key(Erforderlich)-
Einzelner Feldname, der konvertiert werden soll.
type(Erforderlich)-
Zieldatentyp. Optionen: „Ganzzahl“, „Doppel“, „Zeichenfolge“, „Boolean“.
Datumsprozessor
Analysiert und formatiert date/time Felder.
Konfiguration
Konfigurieren Sie den Datumsprozessor mit den folgenden Parametern:
processor: - date: match: - key: "timestamp" patterns: ["yyyy-MM-dd'T'HH:mm:ss.SSSSSS'Z'"] destination: "@timestamp" source_timezone: "UTC" destination_timezone: "America/New_York"
Parameters
match(Erforderlich)-
Reihe von Konfigurationen für die Datumsübereinstimmung. Maximal 10 Einträge.
match[].key(Erforderlich)-
Feld, das die Datumszeichenfolge enthält. Maximal 128 Zeichen.
match[].patterns(Erforderlich)-
Eine Reihe von Datumsformatmustern zum Ausprobieren. Maximal 5 Muster mit jeweils bis zu 256 Zeichen.
destination(optional)-
Ein einzelnes Zielfeld für alle analysierten Daten. Maximal 128 Zeichen.
source_timezone(optional)-
Quellzeitzone für das Parsen.
destination_timezone(optional)-
Zielzeitzone für die Ausgabe.
output_format(optional)-
Format des Ausgabedatums. Maximal 64 Zeichen.
destination_type(optional)-
Ausgabetyp: „timestampz“, „long“ oder „string“.
Prozessor zerlegen
Extrahiert strukturierte Daten mithilfe von Musterabgleich.
Konfiguration
Konfigurieren Sie den Dissect-Prozessor mit den folgenden Parametern:
processor: - dissect: map: message: "%{timestamp} %{level}"
Parameters
map(Erforderlich)-
Feldzuordnung mit Sezierungsmustern.
Prozessor „list_to_map“
Konvertiert Array-Felder in Map-Strukturen.
Konfiguration
Konfigurieren Sie den Prozessor list_to_map mit den folgenden Parametern:
processor: - list_to_map: source: "tags" key: "name" value_key: "value" target: "tag_map"
Parameters
source(Erforderlich)-
Feld, das Array-Daten enthält. Maximal 128 Zeichen.
key(Erforderlich)-
Feldname, der als Zuordnungsschlüssel verwendet werden soll. Maximal 128 Zeichen.
value_key(optional)-
Feldname, der als Kartenwert verwendet werden soll. Maximal 128 Zeichen.
target(optional)-
Zielfeld für die Kartenstruktur. Maximal 128 Zeichen.
flatten(optional)-
Ob die resultierende Map geglättet werden soll.
flattened_element(optional)-
Welches Element soll beim Reduzieren verwendet werden („erstes“ oder „letztes“).
rename_keys-Prozessor
Benennt Felder in Protokollereignissen um.
Konfiguration
Konfigurieren Sie den rename_keys-Prozessor mit den folgenden Parametern:
processor: - rename_keys: entries: - from_key: "old_name" to_key: "new_name" overwrite_if_to_key_exists: true
Parameters
entries(Erforderlich)-
Reihe von Umbenennungsvorgängen. Maximal 5 Einträge.
entries[].from_key(Erforderlich)-
Aktueller Feldname. Maximal 128 Zeichen.
entries[].to_key(Erforderlich)-
Neuer Feldname. Maximal 128 Zeichen.
entries[].overwrite_if_to_key_exists(optional)-
Ob ein vorhandenes Zielfeld überschrieben werden soll.
Prozessor „select_entries“
Wählt nur bestimmte Felder aus Ereignissen aus.
Konfiguration
Konfigurieren Sie den Prozessor select_entries mit den folgenden Parametern:
processor: - select_entries: include_keys: ["timestamp", "level", "message"]
Parameters
include_keys(Erforderlich)-
Array von Feldnamen, die beibehalten werden sollen. Maximal 50 Schlüssel mit jeweils bis zu 128 Zeichen.
Prozessor übersetzen
Übersetzt Feldwerte mithilfe von Nachschlagetabellen.
Konfiguration
Konfigurieren Sie den Übersetzungsprozessor mit den folgenden Parametern:
processor: - translate: mappings: - source: "status_code" targets: - target: "status_text" map: "200": "OK" "404": "Not Found"
Parameters
mappings(Erforderlich)-
Eine Reihe von Übersetzungskonfigurationen. Maximal 10 Zuordnungen.
mappings[].source(Erforderlich)-
Zu übersetzendes Feld. Maximal 128 Zeichen.
mappings[].targets(Erforderlich)-
Reihe von Zielkonfigurationen. Maximal 10 Ziele.
mappings[].targets[].target(Erforderlich)-
Name des Zielfeldes. Maximal 128 Zeichen.
mappings[].targets[].map(Erforderlich)-
Zuordnung der Übersetzung. Maximal 100 Einträge, jeder Wert bis zu 512 Zeichen.
