Преобразование полей
Команда eval
может создавать новые поля использую существующие поля и произвольные выражения, управлять существующими полями, обогащать события путем добавления новых полей, и парсить поля с множественными значениями. Существует аналогичная команда peval
.
Разница между командами eval
и peval
в том, что команда peval
выполняется средствами встроенного скриптового языка на уровне хранилища. Например в случае использования OpenSearch в качестве хранилища данных, команда peval
будет запускаться с помощью скриптового языка Painless. В то время как команда eval
выполняется средствами языка языка запросов SML, независимо от типа используемого хранилища
Команда peval
может быть использована только после команд source
, search
, и перед командами aggs
и timeaggs
.