如果您需要使用分析功能，必須配置字段索引。配置字段索引后，您可以指定字段名稱和字段值（Key:Value）進行查詢，縮小查詢范圍。例如查詢語句level:error，表示查詢level字段值包含error的日志。

前提條件

已完成數據接入，詳細操作請參見數據集成。

配置字段索引

1. 登錄管理控制臺。

2. 單擊頁面左上方的，選擇“安全 > 態勢感知（專業版）”，進入態勢感知（專業版）管理頁面。

3. 在左側導航欄選擇“工作空間 > 空間管理”，并在工作空間列表中，單擊目標工作空間名稱，進入目標工作空間管理頁面。

4. 在左側導航欄選擇“日志審計 > 安全數據”，進入安全分析頁面。

5. 在左側數據空間導航欄中，單擊數據空間名稱，展開數據管道列后，再單擊管道名稱，右側將顯示管道數據的檢索頁面。

6. 在數據管道檢索頁面，單擊右上角“索引配置”，頁面右側展示索引配置頁面。

7. 在索引配置頁面中，配置索引參數。

   1. 開啟索引狀態。

      索引狀態默認開啟，索引狀態關閉時，將無法索引和查詢采集到的日志。

   2. 配置索引參數，參數配置說明如下表所示。

      參數名稱	參數說明
      字段名稱	日志字段名稱（key）。
      字段類型	日志字段值（value）的數據類型，可選值為text、keyword、long、integer、double、float、date和json。
      包含中文	查詢時是否區分中英文。當字段類型選擇“text”時，需要設置該參數。 開啟開關后，如果日志中包含中文，則按照中文語法拆分中文內容，按照分詞符配置拆分英文內容。 關閉開關后，按照分詞符配置拆分所有內容。 示例：日志內容為：user:WAF日志用戶張三。 關閉“包含中文”開關后，按照分詞符半角冒號（:）進行拆分，日志會被拆分為user、WAF日志用戶張三，您可以通過user或WAF日志用戶張先生查找該日志。 開啟“包含中文”開關后，日志服務后臺分詞器將日志拆分為user、WAF、日志、用戶和張三，您通過日志或張先生等詞都可以查找到該日志。

8. 單擊“確定”。