Configuración y consulta de una fuente de datos de Security Lake en OpenSearch los paneles - OpenSearch Servicio Amazon
Consulte las tablas de Security Lake de DiscoverAcelere los datos de DiscoverCrear una vista de panel para el origen de datosResolución de problemas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración y consulta de una fuente de datos de Security Lake en OpenSearch los paneles

Ahora que ha creado su fuente de datos, puede configurarla en OpenSearch los paneles.

En esta sección, se explican varios casos de uso de la fuente de datos en los OpenSearch paneles de control antes de realizar consultas en los datos. Para empezar, debe navegar hasta su fuente de datos en los OpenSearch paneles. En el menú de navegación izquierdo, en Administración, elija Origen de datos. A continuación, seleccione el nombre de la fuente de datos que creó anteriormente en la consola de OpenSearch servicio.

Consulte las tablas de Security Lake de Discover

Si ha creado tablas basadas en sus registros de Security Lake, ahora puede consultarlas directamente desde OpenSearch Discover. Esto le permite acceder y analizar sin problemas los datos almacenados en Security Lake, directamente desde la conocida interfaz Discover. Al consultar Security Lake directamente desde Discover, puede evitar la necesidad de extraer, transformar y cargar manualmente los datos en un índice de búsqueda independiente. Para empezar rápidamente a analizar sus registros, Discover incluye un conjunto de consultas guardadas de PPL y SQL.

Comience por seleccionar el origen de datos que ha configurado. Seleccione la base de datos y la tabla asociadas que desee consultar y, a continuación, utilice la barra de búsqueda para escribir consultas en las tablas. Para saber qué sentencias, comandos y limitaciones son compatibles con la integración de Security Lake, consulte Comandos SQL y PPL compatibles.

Para aprovechar las consultas prediseñadas que están disponibles para Security Lake, vaya a ... en la parte superior derecha de Discover, seleccione Abrir consulta y, a continuación, seleccione Plantillas. Hay muchas consultas prediseñadas disponibles para los orígenes de registros compatibles con Security Lake. Busque las plantillas que coincidan con su caso de uso, copie la consulta para utilizarla en la barra de búsqueda y sustituya los campos con plantillas (como región y acción) por su propia información.

Acelere los datos de Discover

Para mejorar el rendimiento y agilizar las consultas y los análisis posteriores OpenSearch, puede incorporar los resultados de la consulta de Discover en una vista OpenSearch indexada.

Cómo crear una vista indexada

  1. En Discover, elija Crear vista indexada.

  2. En el editor de consultas, escriba la consulta que prefiera. Puede crear una nueva consulta aquí o utilizar una existente de sus búsquedas anteriores.

  3. Especifique un nombre para la nueva vista indexada. Elija un nombre descriptivo que lo ayude a identificar la vista más tarde.

  4. Configure los ajustes de retención de datos para la vista indexada. Puede especificar durante cuánto tiempo deben mantenerse los datos en el índice, lo que le permite equilibrar el rendimiento con los costos de almacenamiento.

  5. Cree la vista indexada. Una vez creada, la vista indexada estará disponible para realizar consultas y análisis más rápidos.

Si ya ha creado vistas indexadas, puede acceder a ellas desde Discover.

Cómo usar una vista indexada existente

  1. En Discover, elija Seleccionar vista indexada para ver una lista de las vistas indexadas existentes de Security Lake.

  2. Elija la vista indexada que desea usar. Esto aplicará la vista a la consulta actual, lo que podría acelerar considerablemente la recuperación y el análisis de los datos.

Crear una vista de panel para el origen de datos

Al utilizar OpenSearch Service, puede analizar los tipos de AWS registro más populares mediante plantillas de panel prediseñadas. Para Security Lake, hay plantillas para registros de VPC y WAF. CloudTrail Estas plantillas le permiten crear un panel de control adaptado a sus datos específicos. Incluyen consultas y paneles prediseñados que están diseñados para ese tipo de registro específico. Esto le permite empezar a analizar rápidamente estas populares fuentes de AWS registro, sin tener que compilarlo todo desde cero.

nota

Los Dashboards utilizan vistas indexadas, que ingieren datos de Security Lake y contribuyen a la computación directa de consultas y colecciones.

Siga estos pasos para crear un panel con una de estas plantillas prediseñadas, de modo que pueda empezar a explorar y analizar sus datos de inmediato.

Cómo crear un panel

  1. Dirígete a la consola OpenSearch de Amazon Service enhttps://console.aws.amazon.com/aos/.

  2. En el panel de navegación izquierdo, seleccione Administración central y, a continuación, Orígenes de datos conectados.

  3. Seleccione el origen de datos para abrir la página de detalles.

  4. Elija Crear panel.

  5. Elija el tipo de panel que desea crear.

  6. Introduzca un nombre para su panel de control.

  7. Escriba una descripción opcional para el panel de control.

  8. Selecciona una o más tablas de AWS Glue para verlas en tu panel de control.

  9. Elija la frecuencia con la que quiere actualizar los datos del panel.

  10. Elige qué OpenSearch espacio de trabajo quieres usar.

    1. Seleccione Crear un espacio de trabajo para crear un espacio de trabajo nuevo.

    2. Para usar un espacio de trabajo existente, seleccione Seleccionar espacio de trabajo existente.

  11. Escriba un nombre para su espacio de trabajo.

  12. Elija Crear panel.

Resolución de problemas

Puede haber casos en los que los resultados no devuelvan los resultados esperados. Si tiene algún problema, asegúrese de seguir las Recomendaciones para usar consultas directas en Amazon OpenSearch Service.