elasticsearch 如何在Kibana中组合两个名称不同但值相同的域

我建立了一个麋鹿环境，有两个不同的索引（索引）流。两个流都有一个值相同的字段，但字段名不同。 是否有可能合并它们或类似的东西，所以当我使用Kibana过滤器时，它会显示两个字段的值

所以我可以设置可视化，但是当我在流1上过滤时，流2的可视化是空的

我也试着给indedx取同样的名字，但没有帮助

例如： index1 fieldname information.ID=123 index2字段名ID=123

---

我想在两个流上使用过滤器

您可以创建一个包含两个索引的别名。使用脚本字段针对别名编写查询。 在脚本字段中，可以从基础文档定义新字段及其源逻辑

 "script_fields": {
    "my_script_field": {
      "script": {
        "lang": "painless",
        "inline": "doc['some_field'].value + doc['another_field'].value" 
      }

---

这样，结果集将有一个字段“my_script_field”

您可以创建一个包含两个索引的别名。使用脚本字段针对别名编写查询。 在脚本字段中，可以从基础文档定义新字段及其源逻辑

 "script_fields": {
    "my_script_field": {
      "script": {
        "lang": "painless",
        "inline": "doc['some_field'].value + doc['another_field'].value" 
      }

---

通过这种方式，结果集将有一个字段“my_script_field”

您想做什么样的可视化？你能显示一个屏幕，显示它当前对你的外观吗？是否可以修改索引结构以使字段匹配？你是如何将数据加载到Kibana的？我不认为你可以，当你在仪表板上过滤时，这个过滤器应用于仪表板上的所有可视化，如果你有两个索引，其中一个没有你要过滤的字段，那么该索引的可视化将不会显示任何数据。您需要更改字段的名称，或者从第一个索引中创建一个具有相同值和相同字段名称的新字段。我使用以下说明：并添加了第二个流，它将通过logstash将csv导入kibana。此csv包含“插件ID”“风险”“主机”“名称”“概要”“说明”“解决方案”等列。GuardDuty通过以下字段提供ec2实例：detail.resource.instanceDetails.instanceId通过“主机”提供csv因此，现在我想将CSV的发现添加到仪表板中，我有关于csvI中我的实例的其他信息，在理解您的评论时有一些困难，但似乎更简单的解决方案是修改将CSV加载到Kibana中的日志，以便结构与原始结构匹配。你可以使用类似的东西。你想做什么样的可视化？你能显示一个屏幕，显示它当前对你的外观吗？是否可以修改索引结构以使字段匹配？你是如何将数据加载到Kibana的？我不认为你可以，当你在仪表板上过滤时，这个过滤器应用于仪表板上的所有可视化，如果你有两个索引，其中一个没有你要过滤的字段，那么该索引的可视化将不会显示任何数据。您需要更改字段的名称，或者从第一个索引中创建一个具有相同值和相同字段名称的新字段。我使用以下说明：并添加了第二个流，它将通过logstash将csv导入kibana。此csv包含“插件ID”“风险”“主机”“名称”“概要”“说明”“解决方案”等列。GuardDuty通过以下字段提供ec2实例：detail.resource.instanceDetails.instanceId通过“主机”提供csv因此，现在我想将CSV的发现添加到仪表板中，我有关于csvI中我的实例的其他信息，在理解您的评论时有一些困难，但似乎更简单的解决方案是修改将CSV加载到Kibana中的日志，以便结构与原始结构匹配。你可以用类似的东西。