Elastic Security 中的数据视图
编辑Elastic Security 中的数据视图
编辑数据视图决定了在显示事件或警报数据的 Elastic Security 页面上显示哪些数据。数据视图由其包含的索引模式定义。只有来自 Elasticsearch 索引、数据流 或 索引别名(在活动数据视图中指定)的数据才会显示。
自定义索引不包含在默认数据视图中。修改它或创建一个自定义数据视图以包含自定义索引。
切换到另一个数据视图
编辑您可以通过点击 Elastic Security 页面(显示事件或警报数据,例如概述、警报、时间线或主机)右上角的数据视图菜单来查看哪个数据视图处于活动状态。要切换到另一个数据视图,请点击选择数据视图,选择其中一个选项,然后点击保存。
创建或修改数据视图
编辑要了解如何修改默认的Security 默认数据视图,请参考更新默认 Elastic Security 索引。
要了解如何修改、创建或删除其他数据视图,请参考Kibana 数据视图。
您还可以通过点击数据视图菜单中的高级选项,然后添加或删除索引模式来临时修改活动数据视图。
这仅允许您添加与当前包含数据的索引匹配的索引模式(其他索引模式不可用)。请注意,所做的任何更改都保存在当前浏览器窗口中,如果您打开一个新标签页,则不会持久保存。
您无法更新警报页面的数据视图。这包括引用跨集群搜索 (CCS) 数据视图或任何其他数据视图。警报页面始终显示来自.alerts-security.alerts-default的数据。
默认数据视图
编辑默认数据视图由securitySolution:defaultIndex设置定义,您可以在高级设置中修改此设置。
用户第一次访问给定 Kibana 空间内的 Elastic Security 时,默认数据视图会在该空间中生成并变为活动状态。
您的 Kibana 空间必须启用数据视图管理功能可见性设置,才能在您的空间中生成并激活默认数据视图。
如果您在没有其他已定义数据视图的情况下删除活动数据视图,则在刷新空间中任何 Elastic Security 页面后,默认数据视图将重新生成并变为活动状态。