数据模型
更新时间 2026-01-13 10:04:31
最近更新时间: 2026-01-13 10:04:31
此章节为您介绍日志审计(原生版)数据模型相关的内容。
日志审计(原生版)数据模型一共包括四块内容。
字段管理:对日志审计系统中日志记录的各数据字段进行定义、配置和维护的过程
数据字典管理:定义和维护日志数据中标准化值和代码映射关系的功能
索引策略管理:高效检索的索引创建和维护策略
脱敏规则管理:日志中敏感信息进行掩码或替换的保护机制
字段管理
1.登录日志审计(原生版)控制台。
2.在左侧导航栏选择“系统配置 > 数据模型”。
3.单击“新增”即可开始新增字段。
注意
内置日志字段不支持删除操作,数值型和时间类型字段不支持编辑操作。
| 字段配置 | 说明 |
|---|---|
| 中文名称 | 名称自定义,必填 |
| 字段名称 | 字母数字下划线组成,必填 |
| 字段类型 | 下拉选择合适字段类型,必选 |
| 描述 | 填写字段相关描述信息 |
| 是否脱敏 | 字符类型选择字符型或IP地址字符型时显示该字段 |
| 关联脱敏规则 | 勾选是否脱敏时显示该字段,可下拉选择已配置的脱敏规则 |
数据字典管理
该功能主要是针对部分日志字典内容,配置转义。
如:事件等级默认为数值型,页面展示为映射结果。
1.登录日志审计(原生版)控制台。
2.在左侧导航栏选择“系统配置 > 数据模型”,在上方选择“数据字典管理”页签。
3.单击“新增”即可开始新增字段。
注意
内置数据字典无法进行编辑和删除操作。
| 数字字典配置 | 说明 |
|---|---|
| 所属字段 | 下拉选择字段管理的相关字段,必填 |
| 字典名称 | 名称自定义,必填 |
| 描述 | 填写关于字典的相关信息描述 |
索引策略管理
配置日志索引在Elasticsearch中保存天数,每天凌晨1点删除超过该天数的索引。默认索引保存天数180天。
1.登录日志审计(原生版)控制台。
2.在左侧导航栏选择“系统配置 > 数据模型”,在上方选择“索引策略管理”页签。
3.配置索引保存天数和是否打开储存警戒值。
储存警戒值打开后,每天凌晨1点删除es磁盘利用率超过配置的储存警戒值,直到es磁盘利用率低于该储存警戒值,默认关闭。
脱敏规则管理
1.登录日志审计(原生版)控制台。
2.在左侧导航栏选择“系统配置 > 数据模型”,在上方选择“脱敏规则管理”页签。
3.单击“新增”即可开始新增脱敏规则。
| 参数 | 说明 |
|---|---|
| 名称 | 自定义名称,长度不超过30个字符 |
| 脱敏算法 | 默认按位遮蔽,不可选择,暂不支持其他算法 |
| 过滤位置 | 开始位置和截取长度仅支持数字输入,范围1-256,超出范围时自动填充最大值 |
| 替换字符 | 默认*号,不可编辑,暂不支持其他字符 |
