Elastic Security 中的数据视图
编辑Elastic Security 中的数据视图
编辑数据视图决定了 Elastic Security 页面上显示的事件或告警数据。数据视图由它们包含的索引模式定义。仅显示来自活动数据视图中指定的 Elasticsearch 索引、数据流或索引别名的数据。
自定义索引不包含在默认数据视图中。修改它或创建自定义数据视图以包含自定义索引。
切换到另一个数据视图
编辑您可以通过点击显示事件或告警数据的 Elastic Security 页面(如“概览”、“告警”、“时间线”或“主机”)右上角的数据视图菜单来了解哪个数据视图处于活动状态。要切换到另一个数据视图,请点击选择数据视图,选择一个选项,然后点击保存。
创建或修改数据视图
编辑要了解如何修改默认的Security 默认数据视图,请参阅更新默认的 Elastic Security 索引。
要了解如何修改、创建或删除另一个数据视图,请参阅Kibana 数据视图。
您还可以通过点击数据视图菜单中的高级选项,然后添加或删除索引模式,来临时修改活动数据视图。
这仅允许您添加与当前包含数据的索引匹配的索引模式(其他索引模式不可用)。请注意,所做的任何更改都将保存在当前浏览器窗口中,如果您打开新的标签页,这些更改将不会保留。
您无法更新“告警”页面的数据视图。这包括引用跨集群搜索 (CCS) 数据视图或任何其他数据视图。“告警”页面始终显示来自 .alerts-security.alerts-default 的数据。
默认数据视图
编辑默认数据视图由 securitySolution:defaultIndex 设置定义,您可以在高级设置中修改此设置。
用户首次在给定的 Kibana 空间内访问 Elastic Security 时,默认数据视图会在该空间中生成并变为活动状态。
您的 Kibana 空间必须启用数据视图管理 功能可见性设置,默认数据视图才能在您的空间中生成并变为活动状态。
如果您在没有其他已定义的数据视图时删除了活动数据视图,则默认数据视图将在刷新空间中的任何 Elastic Security 页面后重新生成并变为活动状态。