Configuración y consulta de un origen de datos de Security Lake en OpenSearch Dashboards - Amazon OpenSearch Service
Consulte las tablas de Security Lake de DiscoverAcelere los datos de DiscoverCrear una vista de panel para el origen de datosSolución de problemas

Configuración y consulta de un origen de datos de Security Lake en OpenSearch Dashboards

Ahora que ha creado su origen de datos, puede configurarlo en OpenSearch Dashboards.

En esta sección, se explican varios casos de uso del origen de datos en OpenSearch Dashboards antes de realizar consultas en los datos. Para comenzar, debe ir al origen de datos en OpenSearch Dashboards. En el menú de navegación izquierdo, en Administración, elija Origen de datos. A continuación, seleccione el nombre del origen de datos que creó anteriormente en la consola de OpenSearch Service.

Consulte las tablas de Security Lake de Discover

Si ha creado tablas basadas en sus registros de Security Lake, ahora puede consultarlas directamente desde OpenSearch Discover. Esto le permite acceder y analizar sin problemas los datos almacenados en Security Lake, directamente desde la conocida interfaz Discover. Al consultar Security Lake directamente desde Discover, puede evitar la necesidad de extraer, transformar y cargar manualmente los datos en un índice de búsqueda independiente. Para empezar rápidamente a analizar sus registros, Discover incluye un conjunto de consultas guardadas de PPL y SQL.

Comience por seleccionar el origen de datos que ha configurado. Seleccione la base de datos y la tabla asociadas que desee consultar y, a continuación, utilice la barra de búsqueda para escribir consultas en las tablas. Para saber qué sentencias, comandos y limitaciones son compatibles con la integración de Security Lake, consulte Comandos SQL y PPL compatibles.

Para aprovechar las consultas prediseñadas que están disponibles para Security Lake, vaya a ... en la parte superior derecha de Discover, seleccione Abrir consulta y, a continuación, seleccione Plantillas. Hay muchas consultas prediseñadas disponibles para los orígenes de registros compatibles con Security Lake. Busque las plantillas que coincidan con su caso de uso, copie la consulta para utilizarla en la barra de búsqueda y sustituya los campos con plantillas (como región y acción) por su propia información.

Acelere los datos de Discover

Para mejorar el rendimiento y permitir consultas y análisis posteriores más rápidos en OpenSearch, puede ingerir los resultados de la consulta de Discover en una vista indexada de OpenSearch.

Cómo crear una vista indexada

  1. En Discover, elija Crear vista indexada.

  2. En el editor de consultas, escriba la consulta que prefiera. Puede crear una nueva consulta aquí o utilizar una existente de sus búsquedas anteriores.

  3. Especifique un nombre para la nueva vista indexada. Elija un nombre descriptivo que lo ayude a identificar la vista más tarde.

  4. Configure los ajustes de retención de datos para la vista indexada. Puede especificar durante cuánto tiempo deben mantenerse los datos en el índice, lo que le permite equilibrar el rendimiento con los costos de almacenamiento.

  5. Cree la vista indexada. Una vez creada, la vista indexada estará disponible para realizar consultas y análisis más rápidos.

Si ya ha creado vistas indexadas, puede acceder a ellas desde Discover.

Cómo usar una vista indexada existente

  1. En Discover, elija Seleccionar vista indexada para ver una lista de las vistas indexadas existentes de Security Lake.

  2. Elija la vista indexada que desea usar. Esto aplicará la vista a la consulta actual, lo que podría acelerar considerablemente la recuperación y el análisis de los datos.

Crear una vista de panel para el origen de datos

Al utilizar OpenSearch Service, puede analizar los tipos de registro de AWS más populares mediante plantillas de panel prediseñadas. Para Security Lake, hay plantillas para registros de VPC, CloudTrail y WAF. Estas plantillas le permiten crear un panel de control adaptado a sus datos específicos. Incluyen consultas y paneles prediseñados que están diseñados para ese tipo de registro específico. Esto le permite comenzar a analizar rápidamente estos populares orígenes de registros de AWS, sin tener que compilarlo todo desde cero.

nota

Los Dashboards utilizan vistas indexadas, que ingieren datos de Security Lake y contribuyen a la computación directa de consultas y colecciones.

Siga estos pasos para crear un panel con una de estas plantillas prediseñadas, de modo que pueda empezar a explorar y analizar sus datos de inmediato.

Cómo crear un panel

  1. Vaya a la consola de Amazon OpenSearch Service en https://console.aws.amazon.com/aos/.

  2. En el panel de navegación izquierdo, seleccione Administración central y, a continuación, Orígenes de datos conectados.

  3. Seleccione el origen de datos para abrir la página de detalles.

  4. Elija Crear panel.

  5. Elija el tipo de panel que desea crear.

  6. Introduzca un nombre para su panel de control.

  7. Escriba una descripción opcional para el panel de control.

  8. Seleccione una o más tablas de AWS Glue para verlas en su panel de control.

  9. Elija la frecuencia con la que quiere actualizar los datos del panel.

  10. Elija qué espacio de trabajo de OpenSearch desea utilizar.

    1. Seleccione Crear un espacio de trabajo para crear un espacio de trabajo nuevo.

    2. Para usar un espacio de trabajo existente, seleccione Seleccionar espacio de trabajo existente.

  11. Escriba un nombre para su espacio de trabajo.

  12. Elija Crear panel.

Solución de problemas

Puede haber casos en los que los resultados no devuelvan los resultados esperados. Si tiene algún problema, asegúrese de seguir las Recomendaciones para el uso de consultas directas en Amazon OpenSearch Service.