更新时间:2024-11-21 GMT+08:00

配置索引

安全分析中的索引是一种存储结构,用于对日志数据中的一列或多列进行排序。不同的索引配置,将会产生不同的查询和分析结果,请根据您的需求合理配置索引。

如果您需要使用分析功能,必须配置字段索引。配置字段索引后,您可以指定字段名称和字段值(Key:Value)进行查询,缩小查询范围。例如查询语句level:error,表示查询level字段值包含error的日志。

约束与限制

仅自定义新增的管道支持自定义配置索引,新增管道详细操作请参见创建管道

配置字段索引

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  4. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图1 进入目标工作空间管理页面

  5. 在左侧导航栏选择威胁运营 > 安全分析,进入安全分析页面。

    图2 进入安全分析页面

  6. 在左侧数据空间导航栏中,单击数据空间名称,展开数据管道列后,再单击管道名称,右侧将显示管道数据的检索页面。

    图3 管道数据页面

  7. 在数据管道检索页面,单击右上角“索引配置”,页面右侧展示索引配置页面。
  8. 在索引配置页面中,配置索引参数。

    1. 开启索引状态。

      索引状态默认开启,索引状态关闭时,将无法索引和查询采集到的日志。

    2. 配置索引参数,参数配置说明如表1所示。
      表1 索引配置参数说明

      参数名称

      参数说明

      字段名称

      日志字段名称(key)。

      字段类型

      日志字段值(value)的数据类型,可选值为text、keyword、long、integer、double、float、date和json。

      包含中文

      查询时是否区分中英文。当字段类型选择“text”时,需要设置该参数。

      • 开启开关后,如果日志中包含中文,则按照中文语法拆分中文内容,按照分词符配置拆分英文内容。
      • 关闭开关后,按照分词符配置拆分所有内容。

      示例:日志内容为:user:WAF日志用户张三

      • 关闭“包含中文”开关后,按照分词符半角冒号(:)进行拆分,日志会被拆分为user、WAF日志用户张三,您可以通过user或WAF日志用户张先生查找该日志。
      • 开启“包含中文”开关后,日志服务后台分词器将日志拆分为user、WAF、日志、用户和张三,您通过日志或张先生等词都可以查找到该日志。

  9. 单击“确定”