Kibana: Situación muy frustrante: los campos no se muestran

Así que tenía eventos MUY complejos indexados, ahora quiero mostrárselos a los usuarios.
Tenía el mensaje "los objetos en matrices no son compatibles", así que tuve que usar copy_to: hits.messages , pero eso trae otro problema.

Parece que Kibana no puede mostrar los campos doc_values: true . En realidad, Kibana no puede mostrar los campos que se devuelven mediante una consulta ordinaria a través de la API ES REST.

                "fields": {
                    "hits.messages": [
                        "Access denied with code 402 (phase 2). Pattern match \"(.*)\" at TX:960009-OWASP_CRS/PROTOCOL_VIOLATION/MISSING_HEADER-REQUEST_HEADERS.",
                        "Operator EQ matched 0 at REQUEST_HEADERS.",
                        "Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host."
                    ]
                }

A pesar de que hits.messages se asigna como:

"messages" : {
"index" : "not_analyzed",
"type" : "string",
"doc_values" : true
},

no se muestra en Kibana. Puedo visualizarlo, pero no puedo mostrarlo. Esto contradice lo que un humano normal esperaría. Además, si puede buscarlo, debería poder verlo, y no importa si se desperdiciarán 8 bytes adicionales de RAM.

Para hits.messages, Kibana me dice: "Este campo está presente en su mapeo de búsqueda elástica pero no en ningún documento en los resultados de búsqueda. Es posible que aún pueda visualizarlo o buscarlo".

Leí los documentos, pero en ninguna parte he visto mención del comportamiento. Si kibana muestra SOLO campos _source , escríbalo con letras rojas grandes en la página principal del manual de kibana, ya que esto es muy importante.

Hay tantos errores abiertos en ELK trio que no estoy seguro de si debo registrar alguno adicional o simplemente omitir el software.