在 Elastic Security 中创建运行时字段
编辑在 Elastic Security 中创建运行时字段编辑
运行时字段是在您摄取数据后可以添加到文档中的字段。例如,您可以将两个字段组合起来,并将它们视为一个字段,或者对现有数据执行计算,并将结果用作单独的字段。运行时字段在运行查询时进行评估。
您可以在任何显示数据网格表格中警报或事件的页面(例如,警报、时间线、主机 和 用户)上创建运行时字段并将其添加到您的检测警报或事件中。创建后,新字段将添加到当前的 数据视图 中,并可用于数据视图中的所有 Elastic Security 警报和事件。
运行时字段会影响性能,因为它们在每次运行查询时都会被评估。有关更多信息,请参考 运行时字段。
要创建运行时字段
- 转到显示警报或事件的页面(例如,警报 或 时间线 → 时间线名称)。
-
单击表格左上角的 字段 工具栏按钮。 字段 浏览器将打开。
-
单击 创建字段。 创建字段 侧边栏将打开。
- 输入新字段的 名称。
- 为字段的数据类型选择一个 类型。
- 打开 设置值 切换并输入一个 Painless 脚本 来定义字段的值。该脚本必须与所选的 类型 匹配。有关添加字段和 Painless 脚本示例的更多信息,请参考 使用运行时字段探索您的数据。
- 使用 预览 来帮助您构建脚本,使其返回预期的字段值。
-
根据需要配置其他字段设置。
某些运行时字段设置(例如自定义标签和显示格式)会在 Kibana 的其他区域显示,但可能不会在 Elastic Security 应用程序中显示。
- 单击 保存。新字段将作为数据网格中的新列出现。
管理运行时字段编辑
您可以从 警报、时间线、主机 和 用户 页面编辑或删除现有的运行时字段。
-
单击 字段 按钮打开 字段 浏览器,然后搜索您要查找的运行时字段。
双击 运行时 列标题以重新排序字段表,并将所有运行时字段放在顶部。
- 在 操作 列中,选择一个选项来编辑或删除运行时字段。