如何在 Kibana 中组合 2 个名称不同但值相同的字段答案

【问题标题】：How to combine 2 fiels with different names but same value in Kibana如何在 Kibana 中组合 2 个名称不同但值相同的字段
【发布时间】：2019-07-11 06:52:44
【问题描述】：

我用 2 个不同的索引（索引）流设置了一个 ELK 环境。两个流都有一个值相同的字段，但文件名不同。是否有可能合并它们或类似的东西，所以当我使用 Kibana 过滤器时，它会显示两个字段的值。

所以我可以设置可视化，但是当我过滤流 1 时，流 2 的可视化是空的。

我也尝试将索引命名为相同，但没有帮助。

示例： index1 字段名信息。ID = 123 index2 字段名 ID = 123

我想在两个流上都使用过滤器

【问题讨论】：

你想要做什么样的可视化？你能展示一下它目前对你的外观吗？是否可以修改索引结构以使字段匹配？您是如何将数据加载到 Kibana 中的？
我不认为您可以，当您在仪表板上进行过滤时，此过滤器将应用于该仪表板上的所有可视化，如果您有两个索引并且其中一个没有您所在的字段过滤，该索引的可视化将不会显示任何数据。您将需要更改字段的名称或创建一个新的字段，该字段的值和名称与第一个索引中的字段相同。
我使用这条指令：aws.amazon.com/de/blogs/security/… 并添加了第二个流，它将通过 logstash 将 csv 导入 kibana。此 csv 包含“插件 ID”“风险”“主机”“名称”“概要”“描述”“解决方案”列 GuardDuty 通过以下字段提供 ec2 实例：detail.resource.instanceDetails.instanceId CSV 通过“主机”所以现在我想将 CSV 中的发现添加到仪表板中，我从 csv 中获得了有关我的实例的其他信息
我在理解您的评论时遇到了一些麻烦，但似乎更简单的解决方案是修改将 CSV 加载到 Kibana 中的 Logstash，以便结构与原始结构匹配。你可以使用the Mutate filter and add_field之类的东西。

标签： elasticsearch logstash kibana elastic-stack

【解决方案1】：

您可以创建一个包含两个索引的别名。使用脚本字段针对别名编写查询。在脚本字段中，您可以从基础文档定义新字段及其源逻辑。

 "script_fields": {
    "my_script_field": {
      "script": {
        "lang": "painless",
        "inline": "doc['some_field'].value + doc['another_field'].value" 
      }

这样，结果集将有单个字段“my_script_field”

【讨论】：