配置索引
安全分析中的索引是一种存储结构,用于对日志数据中的一列或多列进行排序。不同的索引配置,将会产生不同的查询和分析结果,请根据您的需求合理配置索引。
如果您需要使用分析功能,必须配置字段索引。配置字段索引后,您可以指定字段名称和字段值(Key:Value)进行查询,缩小查询范围。例如查询语句level:error,表示查询level字段值包含error的日志。
约束与限制
仅自定义新增的管道支持自定义配置索引,新增管道详细操作请参见创建管道。
配置字段索引
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域和项目。
- 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
- 在左侧导航栏选择
,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。图1 进入目标工作空间管理页面
- 在左侧导航栏选择
,进入安全分析页面。图2 进入安全分析页面
- 在左侧数据空间导航栏中,单击数据空间名称,展开数据管道列后,再单击管道名称,右侧将显示管道数据的检索页面。
图3 管道数据页面
- 在数据管道检索页面,单击右上角“索引配置”,页面右侧展示索引配置页面。
- 在索引配置页面中,配置索引参数。
- 开启索引状态。
- 配置索引参数,参数配置说明如表1所示。
表1 索引配置参数说明 参数名称
参数说明
字段名称
日志字段名称(key)。
字段类型
日志字段值(value)的数据类型,可选值为text、keyword、long、integer、double、float、date和json。
包含中文
查询时是否区分中英文。当字段类型选择“text”时,需要设置该参数。
- 开启开关后,如果日志中包含中文,则按照中文语法拆分中文内容,按照分词符配置拆分英文内容。
- 关闭开关后,按照分词符配置拆分所有内容。
示例:日志内容为:user:WAF日志用户张三。
- 关闭“包含中文”开关后,按照分词符半角冒号(:)进行拆分,日志会被拆分为user、WAF日志用户张三,您可以通过user或WAF日志用户张先生查找该日志。
- 开启“包含中文”开关后,日志服务后台分词器将日志拆分为user、WAF、日志、用户和张三,您通过日志或张先生等词都可以查找到该日志。
- 单击“确定”。