rename

Процессор rename

Процессор rename переименовывает пользовательские поля события. Используется для приведения имён извлечённых полей к стандартной схеме ECS или другим целевым именам.

Конфигурация

processors:
  - module: rename
    rules:
      - "СтароеИмя:НовоеИмя"
      - "ДругоеСтароеИмя:ДругоеНовоеИмя"

Параметр	Тип	Описание
rules	string[]	Список правил переименования в формате "СтароеИмя:НовоеИмя". Каждый элемент содержит ровно одно двоеточие-разделитель

Особенности

• Переименование базовых полей события (таких как Raw, CTime, CollectorID и др.) запрещено — при попытке процессор вернёт ошибку конфигурации.
• Новое имя поля автоматически нормализуется в формат PascalCase с точкой-разделителем (например, my_field.name → MyField.Name).
• Процессор работает только с пользовательскими (custom) полями события.
• При переименовании значение поля приводится к типу, определённому в реестре полей событий для целевого имени.

Пример

Предположим, предыдущий процессор (например, dissect или json) извлёк поля с произвольными именами, и их нужно привести к схеме ECS:

processors:
  - module: json
    patterns:
      - expr: "*"
  - module: rename
    rules:
      - "src_ip:ECS.Source.IP"
      - "dst_ip:ECS.Destination.IP"
      - "src_port:ECS.Source.Port"
      - "dst_port:ECS.Destination.Port"
      - "user_name:ECS.User.Name"

В результате поля src_ip, dst_ip, src_port, dst_port, user_name будут удалены из пользовательских полей, а их значения записаны в соответствующие ECS-поля.