Kibana: Sehr frustrierende Situation: Nicht angezeigte Felder

Ich hatte also SEHR komplexe Ereignisse indiziert, jetzt möchte ich sie den Benutzern anzeigen.
Ich hatte die Meldung "Objekte in Arrays werden nicht unterstützt", also musste ich copy_to: hits.messages verwenden, aber das bringt ein anderes Problem mit sich.

Anscheinend kann Kibana keine doc_values: true -Felder anzeigen. Tatsächlich kann Kibana keine Felder anzeigen, die von einer normalen Abfrage über die ES-REST-API zurückgegeben werden.

                "fields": {
                    "hits.messages": [
                        "Access denied with code 402 (phase 2). Pattern match \"(.*)\" at TX:960009-OWASP_CRS/PROTOCOL_VIOLATION/MISSING_HEADER-REQUEST_HEADERS.",
                        "Operator EQ matched 0 at REQUEST_HEADERS.",
                        "Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host."
                    ]
                }

Obwohl hits.messages wie folgt abgebildet wird:

"messages" : {
"index" : "not_analyzed",
"type" : "string",
"doc_values" : true
},

es wird nicht in Kibana angezeigt. Ich kann es visualisieren, aber nicht anzeigen. Dies widerspricht dem, was ein normaler Mensch erwarten würde. Wenn Sie danach suchen können, sollten Sie es auch sehen können - und es spielt keine Rolle, ob zusätzliche 8 Byte RAM verschwendet würden.

Für hits.messages sagt mir Kibana: „Dieses Feld ist in Ihrer Elasticsearch-Zuordnung vorhanden, aber in keinem Dokument in den Suchergebnissen. Sie können es möglicherweise immer noch visualisieren oder danach suchen.“

Ich habe die Dokumentation gelesen, aber nirgendwo habe ich eine Erwähnung des Verhaltens gesehen. Wenn Kibana NUR _source -Felder anzeigt, schreiben Sie dies bitte mit großen roten Buchstaben auf die Hauptseite von Kibana, da dies sehr wichtig ist.

Es gibt so viele offene Fehler bei ELK Trio, dass ich mir nicht sicher bin, ob ich weitere protokollieren oder die Software einfach überspringen soll.