Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Direktes Abfragen von Amazon Security Lake-Daten im Service OpenSearch
Dieser Abschnitt führt Sie durch den Prozess der Erstellung und Konfiguration einer Datenquellenintegration in Amazon OpenSearch Service, sodass Sie Ihre in Security Lake gespeicherten Daten effizient abfragen und analysieren können.
Auf den folgenden Seiten erfahren Sie, wie Sie eine Security Lake-Datenquelle für direkte Abfragen einrichten, sich mit den erforderlichen Voraussetzungen vertraut machen und die step-by-step Verfahren mithilfe von befolgen. AWS-Managementkonsole
Themen
Preisgestaltung
Amazon OpenSearch Service bietet OpenSearch Compute Unit (OCU) -Preise für direkte Security Lake-Abfragen an. Wenn Sie direkte Abfragen ausführen, fallen Gebühren OCUs pro Stunde an, die auf Ihrer Rechnung als DirectQuery OCU-Nutzungsart aufgeführt sind. Für Sie fallen auch separate Gebühren von Amazon Security Lake an.
Es gibt zwei Arten von direkten Abfragen: interaktive Abfragen und Abfragen mit indizierter Ansicht.
-
Interaktive Abfragen werden verwendet, um die Datenauswahl zu füllen und Analysen Ihrer Daten in Security Lake durchzuführen. OpenSearch Der Service verarbeitet jede Abfrage mit einem separaten, vorgewärmten Job, ohne dass eine längere Sitzung aufrechterhalten wird.
-
Abfragen indizierter Ansichten verwenden Compute, um indizierte Ansichten im Service zu verwalten. OpenSearch Diese Abfragen dauern normalerweise länger, da sie eine unterschiedliche Datenmenge in einen benannten Index aufnehmen. Bei mit Security Lake verbundenen Datenquellen werden die indizierten Daten in einer OpenSearch serverlosen Sammlung gespeichert, bei der Ihnen die indizierten Daten (IndexingOCU), die durchsuchten Daten (searchOCU) und die in GB gespeicherten Daten in Rechnung gestellt werden.
Weitere Informationen finden Sie in den Abschnitten Direct Query und Serverless unter Amazon OpenSearch Service Pricing
Einschränkungen
Die folgenden Einschränkungen gelten für direkte Abfragen in Security Lake:
-
Die direkte Abfrageintegration mit Security Lake ist nur für OpenSearch Servicesammlungen und die OpenSearch Benutzeroberfläche verfügbar.
-
OpenSearch Serverlose Sammlungen haben Netzwerknutzlastbeschränkungen von 100 MiB.
-
Die Tabellenverwaltung für Security Lake erfolgt in Lake Formation.
-
Security Lake unterstützt nur materialisierte Ansichten als indizierte Ansichten. Verdeckende Indizes werden nicht unterstützt.
-
AWS CloudFormation Vorlagen werden noch nicht unterstützt.
-
OpenSearch SQL- und OpenSearch PPL-Anweisungen haben bei der Arbeit mit OpenSearch Indizes andere Einschränkungen als bei der Verwendung von Direktabfragen. Direct Query unterstützt erweiterte Befehle wie JOINs Unterabfragen und Suchvorgänge, während diese Befehle in OpenSearch Indizes nur begrenzt oder gar nicht unterstützt werden. Weitere Informationen finden Sie unter Unterstützte SQL- und PPL-Befehle.
Empfehlungen
Bei der Verwendung von Direktabfragen in Security Lake wird Folgendes empfohlen:
-
Überprüfen Sie Ihren Security Lake-Status und stellen Sie sicher, dass er problemlos läuft. Ausführliche Schritte zur Fehlerbehebung finden Sie unter Fehlerbehebung beim Data Lake-Status im Amazon Security Lake-Benutzerhandbuch.
-
Überprüfen Sie Ihren Abfragezugriff:
-
Wenn Sie Security Lake von einem anderen Konto als dem delegierten Security Lake-Administratorkonto aus abfragen, richten Sie in Security Lake einen Abonnenten mit Abfragezugriff ein.
-
Wenn Sie Security Lake von demselben Konto aus abfragen, suchen Sie in Security Lake nach Nachrichten über die Registrierung Ihrer verwalteten S3-Buckets bei. LakeFormation
-
-
Erkunden Sie die Abfragevorlagen und vorgefertigten Dashboards, um Ihre Analyse zu beschleunigen.
-
Machen Sie sich mit Open Cybersecurity Schema Framework (OCSF) und Security Lake vertraut:
-
Sehen Sie sich die Beispiele für Schemazuordnungen für AWS Quellen im GitHub OCSF-Repository
an -
Erfahren Sie, wie Sie Security Lake effektiv abfragen können, indem Sie Security Lake-Abfragen für AWS Quellversion 2 (OCSF 1.1.0) besuchen
-
Verbessern Sie die Abfrageleistung mithilfe der Partitionen:
accountid, undregiontime_dt
-
-
Machen Sie sich mit der SQL-Syntax vertraut, die Security Lake für Abfragen unterstützt. Weitere Informationen finden Sie unter Unterstützte OpenSearch SQL-Befehle und -Funktionen.
-
Verwenden Sie Grenzwerte für Ihre Abfragen, um sicherzustellen, dass Sie nicht zu viele Daten zurückholen.
Kontingente
| Description | Wert | Weicher Grenzwert? | Hinweise |
|---|---|---|---|
| TPS-Limit auf Kontoebene für direkte Abfragen APIs | 3 TPS | Ja | |
| Maximale Anzahl von Datenquellen | 20 | Ja | Das Limit ist pro AWS-Konto. |
| Maximale Anzahl von Indizes oder materialisierten Ansichten mit automatischer Aktualisierung | 30 | Ja |
Das Limit gilt pro Datenquelle. Schließt nur Indizes und materialisierte Ansichten (MVs) ein, bei denen die automatische Aktualisierung auf true gesetzt ist. |
| Maximale Anzahl gleichzeitiger Abfragen | 30 | Ja |
Das Limit gilt für Abfragen im Status „Ausstehend“ oder „Wird ausgeführt“. Umfasst interaktive Abfragen (z. B. Befehle zum Datenabruf wie |
| Maximale Anzahl gleichzeitiger OCU pro Abfrage | 512 | Ja |
OpenSearch Recheneinheiten (OCU). Das Limit basiert auf 15 Executoren und einem Treiber mit jeweils 16 vCPU und 32 GB Arbeitsspeicher. Steht für gleichzeitige Rechenleistung. |
| Maximale Ausführungszeit für Abfragen in Minuten | 30 | Nein | Gilt nur für interaktive Abfragen (z. B. Befehle zum Datenabruf wieSELECT). Für REFRESH Abfragen liegt das Limit bei 6 Stunden. |
| Zeitraum für das Löschen veralteter Abfragen IDs | 90 Tage | Ja |
Dies ist der Zeitraum, nach dem der OpenSearch Service Abfrage-Metadaten für ältere Einträge löscht. Beispielsweise schlägt der Anruf GetDirectQuery bei Abfragen GetDirectQueryResult fehl, die älter als 90 Tage sind. |
Unterstützt AWS-Regionen
Folgendes AWS-Regionen wird für direkte Abfragen in Security Lake unterstützt:
-
Asien-Pazifik (Mumbai)
-
Asien-Pazifik (Singapur)
-
Asien-Pazifik (Sydney)
-
Asien-Pazifik (Tokio)
-
Canada (Central)
-
Europe (Frankfurt)
-
Europa (Irland)
-
Europa (Stockholm)
-
USA Ost (Nord-Virginia)
-
USA Ost (Ohio)
-
USA West (Oregon)
-
Europa (Paris)
-
Europa (London)
-
Südamerika (São Paulo)
