Elastic Security 中的数据视图

数据视图决定了在 Elastic Security 页面上显示哪些包含事件或警报数据的视图。数据视图由它们包含的索引模式定义。仅指定在活动数据视图中的 Elasticsearch 索引、数据流 或 索引别名 中的数据会显示。

切换到另一个数据视图编辑

您可以通过点击显示事件或警报数据的 Elastic Security 页面（例如概览、警报、时间线或主机）右上角的 数据视图 菜单来判断哪个数据视图处于活动状态。要切换到另一个数据视图，请点击 选择数据视图，选择其中一个选项，然后点击 保存。

创建或修改数据视图编辑

要了解如何修改默认的 Security 默认数据视图，请参考 更新默认 Elastic Security 索引。

要了解如何修改、创建或删除其他数据视图，请参考 Kibana 数据视图。

您也可以通过点击 数据视图 菜单中的 高级选项，然后添加或删除索引模式来临时修改活动数据视图。

这仅允许您添加与当前包含数据的索引匹配的索引模式（其他索引模式不可用）。请注意，所做的任何更改都将保存在当前浏览器窗口中，如果您打开新选项卡，这些更改将不会保留。

默认数据视图编辑

默认数据视图由 securitySolution:defaultIndex 设置定义，您可以在 Kibana 的高级设置（堆栈管理 > 高级设置 > Security 解决方案）中修改它。要详细了解此设置，包括其默认值，请参考 高级设置。

用户在给定 Kibana 空间 中首次访问 Elastic Security 时，默认数据视图会在该空间中生成并变为活动状态。

如果您在没有其他定义的数据视图的情况下删除了活动数据视图，则在刷新空间中的任何 Elastic Security 页面时，默认数据视图将重新生成并变为活动状态。