Преобразование полей

Команда eval может создавать новые поля использую существующие поля и произвольные выражения, управлять существующими полями, обогащать события путем добавления новых полей, и парсить поля с множественными значениями. Существует аналогичная команда peval.

Разница между командами eval и peval в том, что команда peval выполняется средствами встроенного скриптового языка на уровне хранилища. Например в случае использования OpenSearch в качестве хранилища данных, команда peval будет запускаться с помощью скриптового языка Painless. В то время как команда eval выполняется средствами языка языка запросов SML, независимо от типа используемого хранилища

Команда peval может быть использована только после команд source, search, и перед командами aggs и timeaggs.