Rekomendasi umum Rekomendasi Amazon S3 CloudWatch Rekomendasi Log Rekomendasi Danau Keamanan

Rekomendasi untuk menggunakan kueri langsung di Amazon Service OpenSearch

Halaman ini memberikan rekomendasi untuk menggunakan kueri langsung Amazon OpenSearch Service untuk menganalisis data dari CloudWatch Log, Amazon S3, dan Amazon Security Lake. Praktik terbaik ini membantu Anda mengoptimalkan kinerja dan memastikan kueri yang efisien tanpa perlu menelan atau duplikasi data.

Rekomendasi umum

Kami menyarankan Anda melakukan hal berikut saat menggunakan kueri langsung:

Gunakan COALESCE SQL fungsi untuk menangani kolom yang hilang dan memastikan hasil dikembalikan.

Gunakan batasan pada kueri Anda untuk memastikan Anda tidak menarik terlalu banyak data kembali.
Jika Anda berencana untuk menganalisis kumpulan data yang sama berkali-kali, buat tampilan yang diindeks untuk sepenuhnya menyerap dan mengindeks data ke dalam OpenSearch dan menjatuhkannya ketika Anda telah menyelesaikan analisis.
Jatuhkan pekerjaan dan indeks akselerasi saat tidak lagi dibutuhkan.
Kueri yang berisi nama bidang yang identik tetapi berbeda hanya jika (seperti field1 danFIELD1) tidak didukung.

Misalnya, kueri berikut tidak didukung:
```
Select AWSAccountId, AwsAccountId from LogGroup
Select a.@LogStream, b.@logStream from Table A INNER Join Table B ona.id = b.id
```
Namun, kueri berikut didukung karena nama bidang (@logStream) identik di kedua grup log:
```
Select a.@logStream, b.@logStream from Table A INNER Join Table B on a.id = b.id
```
Fungsi dan ekspresi harus beroperasi pada nama bidang dan menjadi bagian dari SELECT pernyataan dengan grup log yang ditentukan dalam FROM klausa.

Misalnya, kueri ini tidak didukung:
```
SELECT cos(10) FROM LogGroup
```
Kueri ini didukung:
```
SELECT cos(field1) FROM LogGroup
```

Rekomendasi Amazon S3

Jika Anda menggunakan OpenSearch Layanan Amazon untuk mengarahkan data kueri di Amazon S3, kami juga merekomendasikan hal berikut:

Menyerap data ke Amazon S3 menggunakan format partisi tahun, bulan, hari, jam untuk mempercepat kueri.
Saat Anda membuat indeks skipping, gunakan filter Bloom untuk bidang dengan kardinalitas tinggi dan min/max indeks untuk bidang dengan rentang nilai yang besar. Untuk bidang kardinalitas tinggi, pertimbangkan untuk menggunakan pendekatan berbasis nilai untuk meningkatkan efisiensi kueri.
Gunakan Manajemen Status Indeks untuk mempertahankan penyimpanan untuk tampilan terwujud dan indeks penutup.

CloudWatch Rekomendasi Log

Jika Anda menggunakan OpenSearch Layanan Amazon untuk mengarahkan data kueri di CloudWatch Log, kami juga merekomendasikan hal berikut:

Saat mencari beberapa grup log dalam satu kueri, gunakan sintaks yang sesuai. Untuk informasi selengkapnya, lihat Fungsi grup multi-log.
Saat menggunakan perintah SQL atau PPL, lampirkan bidang tertentu di backticks agar berhasil menanyakannya. Backticks diperlukan untuk bidang dengan karakter khusus (non-alfabet dan non-numerik). Misalnya, lampirkan@message, Operation.Export, dan Test::Field di backticks. Anda tidak perlu melampirkan kolom dengan nama abjad murni di backticks.

Contoh kueri dengan bidang sederhana:
```
SELECT SessionToken, Operation, StartTime  FROM `LogGroup-A`
LIMIT 1000;
```
Kueri serupa dengan backticks ditambahkan:
```
SELECT `@SessionToken`, `@Operation`, `@StartTime` FROM `LogGroup-A`
LIMIT 1000;
```

Rekomendasi Danau Keamanan

Jika Anda menggunakan OpenSearch Layanan Amazon untuk mengarahkan data kueri di Security Lake, kami juga merekomendasikan hal berikut:

Periksa status Security Lake Anda dan pastikan itu berjalan lancar tanpa masalah. Untuk langkah-langkah pemecahan masalah mendetail, lihat Memecahkan masalah status data lake di Panduan Pengguna Amazon Security Lake.
Verifikasi akses kueri Anda:
- Jika Anda menanyakan Security Lake dari akun yang berbeda dari akun administrator yang didelegasikan Security Lake, siapkan pelanggan dengan akses kueri di Security Lake.
- Jika Anda menanyakan Security Lake dari akun yang sama, periksa pesan apa pun di Security Lake tentang mendaftarkan bucket S3 terkelola Anda. LakeFormation
Jelajahi template kueri dan dasbor pra-bangun untuk memulai analisis Anda.
Biasakan diri Anda dengan Open Cybersecurity Schema Framework (OCSF) dan Security Lake:
- Tinjau contoh pemetaan skema untuk AWS sumber di repositori OCSF GitHub
- Pelajari cara menanyakan Security Lake secara efektif dengan mengunjungi kueri Security Lake untuk AWS sumber versi 2 (OCSF 1.1.0)
- Meningkatkan kinerja kueri dengan menggunakan partisi:accountid,region, dan time_dt
Dapatkan kenyamanan dengan sintaks SQL, yang didukung Security Lake untuk kueri. Untuk informasi selengkapnya, lihat Perintah dan OpenSearch fungsi SQL yang didukung.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Batasan

Kueri langsung di S3