如果您需要使用分析功能，必须配置字段索引。配置字段索引后，您可以指定字段名称和字段值（Key:Value）进行查询，缩小查询范围。例如查询语句level:error，表示查询level字段值包含error的日志。

前提条件

已完成数据接入，详细操作请参见数据集成。

配置字段索引

1. 登录管理控制台。

2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。

3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。

4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。

5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。

6. 在数据管道检索页面，单击右上角“索引配置”，页面右侧展示索引配置页面。

7. 在索引配置页面中，配置索引参数。

   1. 开启索引状态。

      索引状态默认开启，索引状态关闭时，将无法索引和查询采集到的日志。

   2. 配置索引参数，参数配置说明如下表所示。

      参数名称	参数说明
      字段名称	日志字段名称（key）。
      字段类型	日志字段值（value）的数据类型，可选值为text、keyword、long、integer、double、float、date和json。
      包含中文	查询时是否区分中英文。当字段类型选择“text”时，需要设置该参数。 开启开关后，如果日志中包含中文，则按照中文语法拆分中文内容，按照分词符配置拆分英文内容。 关闭开关后，按照分词符配置拆分所有内容。 示例：日志内容为：user:WAF日志用户张三。 关闭“包含中文”开关后，按照分词符半角冒号（:）进行拆分，日志会被拆分为user、WAF日志用户张三，您可以通过user或WAF日志用户张先生查找该日志。 开启“包含中文”开关后，日志服务后台分词器将日志拆分为user、WAF、日志、用户和张三，您通过日志或张先生等词都可以查找到该日志。

8. 单击“确定”。