在 Elastic Security 中创建运行时字段

运行时字段是在您摄入数据后可以添加到文档中的字段。例如，您可以将两个字段组合在一起并将它们视为一个字段，或者对现有数据执行计算并将结果用作单独的字段。运行时字段在运行查询时进行评估。

您可以创建一个运行时字段，并将其添加到检测警报或事件中，这些警报或事件来自数据网格表中列出警报或事件的任何页面，例如警报、时间线、主机和用户。创建后，新字段将添加到当前的数据视图中，并可用于数据视图中的所有 Elastic Security 警报和事件。

运行时字段可能会影响性能，因为每次运行查询时都会对其进行评估。有关更多信息，请参阅运行时字段。

创建运行时字段

转到列出警报或事件的页面（例如，警报或 时间线 → 时间线名称）。
执行以下操作之一
- 在“警报”表中，单击表左上角的字段工具栏按钮。从字段浏览器中，单击 创建字段。“创建字段”弹出窗口将打开。
- 在时间线中，转到侧边栏的底部，然后单击 添加字段。“创建字段”弹出窗口将打开。
输入新字段的名称。
选择字段数据类型的类型。
打开 设置值 开关，然后输入一个 Painless 脚本以定义字段的值。该脚本必须与所选的类型匹配。有关添加字段和 Painless 脚本示例的更多信息，请参阅使用运行时字段浏览您的数据。
使用预览来帮助您构建脚本，使其返回预期的字段值。
根据需要配置其他字段设置。

某些运行时字段设置（例如自定义标签和显示格式）会显示在 Kibana 的其他区域中，但可能不会显示在 Elastic Security 应用程序中。
单击保存。新字段将作为新列显示在数据网格中。

您可以从警报、时间线、主机和用户页面编辑或删除现有运行时字段。