在 Elastic Security 中创建运行时字段
编辑在 Elastic Security 中创建运行时字段
编辑运行时字段是在您摄取数据后可以添加到文档中的字段。例如,您可以组合两个字段并将它们作为一个字段处理,或者对现有数据执行计算并将结果用作单独的字段。运行时字段在运行查询时进行评估。
您可以在任何列出数据网格表中警报或事件的页面(例如 警报、时间线、主机 和 用户)中创建运行时字段并将其添加到您的检测警报或事件中。创建后,新字段将添加到当前的 数据视图 中,并可用于数据视图中的所有 Elastic Security 警报和事件。
运行时字段可能会影响性能,因为它们在每次运行查询时都会进行评估。有关更多信息,请参阅 运行时字段。
创建运行时字段
- 转到列出警报或事件的页面(例如,警报 或 时间线 → 时间线名称)。
-
执行以下操作之一
-
在“警报”表中,单击表左上角的 字段 工具栏按钮。在 字段 浏览器中,单击 创建字段。创建字段 浮出层将打开。
-
在时间线中,转到侧边栏底部,然后单击 添加字段。创建字段 浮出层将打开。
-
- 输入新字段的 名称。
- 选择字段数据类型的 类型。
- 打开 设置值 切换开关,并输入 Painless 脚本 来定义字段的值。脚本必须与所选 类型 匹配。有关添加字段和 Painless 脚本示例的更多信息,请参阅 使用运行时字段探索您的数据。
- 使用 预览 来帮助您构建脚本,以便它返回预期的字段值。
-
根据需要配置其他字段设置。
某些运行时字段设置(例如自定义标签和显示格式)显示在 Kibana 的其他区域中,但可能不会显示在 Elastic Security 应用程序中。
- 单击 保存。新字段将作为数据网格中的新列出现。
管理运行时字段
编辑您可以从 警报、时间线、主机 和 用户 页面编辑或删除现有运行时字段。
-
单击 字段 按钮以打开 字段 浏览器,然后搜索所需的运行时字段。
单击 运行时 列标题两次,以重新排序字段表,并将所有运行时字段放在顶部。
- 在 操作 列中,选择一个选项来编辑或删除运行时字段。