Журналы Sysmon пересылаются в мой стек ELK.В Кибане я делаю визуализации главных специфических событий, чтобы отфильтровать шум.Поэтому я создаю визуализации конкретных событий и добавляю их на панель инструментов.Это будет топ 10 имен труб
В визуализации я пытаюсь включить имена труб.Я делаю визуализацию таблицы данных.По метрике агрегация считается.А под ведрами агрегация это термины.Где я сталкиваюсь с проблемами, это поле.Я пытаюсь сделать event_data.PipeName.keyword, но это не отображается.Как бы я делал трубы?