数据视图和 Elastic Security
Elastic Stack Serverless Security
数据视图决定了 Elastic Security 页面上显示哪些具有事件或警报数据的数据。数据视图由它们包含的索引模式定义。只有来自 Elasticsearch 索引、数据流或 索引别名(在活动数据视图中指定)的数据才会出现。
自定义索引不包含在默认数据视图中。修改它或创建一个自定义数据视图以包含自定义索引。
您可以通过单击 Elastic Security 页面右上角的 数据视图 菜单来判断哪个数据视图处于活动状态,这些页面显示事件或警报数据,例如概览、警报、时间线或主机。要切换到另一个数据视图,请单击 选择数据视图,选择一个选项,然后单击 保存。
要了解如何修改默认的 Security Default Data View,请参阅 更新默认 Elastic Security 索引。
要了解如何修改、创建或删除另一个数据视图,请参阅 Kibana 数据视图。
您还可以通过单击 高级选项,然后添加或删除索引模式,从而从 数据视图 菜单中临时修改活动数据视图。
这只允许您添加与当前包含数据的索引匹配的索引模式(其他索引模式不可用)。请注意,所做的任何更改都保存在当前浏览器窗口中,如果您打开一个新选项卡,则不会保留。
您无法更新“警报”页面的数据视图。这包括引用跨集群搜索 (CCS) 数据视图或任何其他数据视图。“警报”页面始终显示来自 .alerts-security.alerts-default 的数据。
默认数据视图由 securitySolution:defaultIndex 设置定义,您可以在高级设置中修改它。
首次用户在给定的 Kibana 空间中访问 Elastic Security 时,默认数据视图会在该空间中生成并变为活动状态。
在 Elastic Stack 中,您的 Kibana 空间必须启用 数据视图管理 功能可见性 设置,才能在您的空间中生成默认数据视图并使其变为活动状态。
如果您在没有其他已定义的数据视图时删除活动数据视图,则刷新该空间中的任何 Elastic Security 页面时,默认数据视图将重新生成并变为活动状态。