数据源是获取需要展示的日志/告警字段条件数据，配置后可在报表中选择并通过图表的形式展示。

数据源来源：

• 用户自定义

• 内置数据源

  包括防火墙事件数据源、Windows审计数据源、Linux审计数据源、天翼云堡垒机审计数据源、网络设备数据源、应用服务器数据源、恶意程序数据源、审计事件数据源、攻击事件数据源。

新增数据源

1. 登录日志审计（原生版）控制台。

2. 在左侧导航栏选择“审计报表 > 数据源”，进入“数据源”页面。

3. 单击“新增”，并填写新增数据源的相关参数。

   参数	参数说明	取值样例
   数据源名称	自定义需要创建的数据源名称。	Test
   是否抽样统计	确认是否使用抽样统计，默认否。	-
   统计时间间隔	选择该数据源的统计的时间间隔，可选择“分钟”、“小时”或“天”为基础单位。	12小时
   数据存放时间	选择数据生成后，在服务中存放的时间，以“天”为基础单位。	7天
   数据源描述	自定义数据源的描述内容。	-
   字段类型	选择数据源采集的字段类型，可选“告警类型”或“事件类型”。	告警类型
   过滤条件	选择字段条件，多个字段条件通过逻辑关系符关联。	-
   统计字段	选择需要进行统计的字段，可新增多个统计字段，至少新增一个。	-
   分组字段	选择合适的分组字段，已选统计字段不可再次选择，可新增多个分组字段。	-

4. 填写完成后，单击“确定”，完成数据源新建。

   注意

   数据源添加完成，每天凌晨3点定时跑任务，获取前一天符合条件的数据。

后续操作

• 检查数据源：单击“操作”列的“检查”，若数据源已成功录入，则提示“数据源数据存在”。反之，提示“数据源数据不存在”。

• 编辑数据源：单击“操作”列的“编辑”，在跳转的页面中修改相关参数，修改完成后，单击“确认”即可完成修改。

  说明

  不支持对“统计字段”和“分组字段”进行修改。

• 删除数据源：单击“操作”列的“删除”，在跳出的小对话框中单击“确定”，完成删除操作。

  说明

  若有报表引用该数据源，则无法删除该数据源，提示“报表存在引用的数据源，不可删除！”。

• 清空：单击“清空”，提示“确认清空数据源已有数据”。确定后，该数据源内容被清空。

• 启用：打开 “启用”，系统将每天定时获取该任务数据。关闭“启用”，不再每天定时获取该任务数据。