Crea tabelle Spark utilizzando Query Workbench Imposta le integrazioni per i tipi di log più diffusi AWS Configurazione del controllo degli accessi Interrogazione dei dati Risoluzione dei problemi

Configurazione e interrogazione di un'origine dati S3 nei dashboard OpenSearch

Ora che hai creato la tua origine dati, puoi configurare le impostazioni di sicurezza, definire le tabelle Amazon S3 o configurare l'indicizzazione accelerata dei dati. Questa sezione illustra vari casi d'uso con la tua fonte di dati nelle OpenSearch dashboard prima di interrogare i dati.

Per configurare le seguenti sezioni, devi prima accedere alla tua origine dati in OpenSearch Dashboards. Nella barra di navigazione a sinistra, in Gestione, scegli Origini dati. In Gestisci fonti di dati, seleziona il nome dell'origine dati che hai creato nella console.

Crea tabelle Spark utilizzando Query Workbench

Le query dirette dal OpenSearch Servizio ad Amazon S3 utilizzano le tabelle Spark all'interno di. AWS Glue Data Catalog Puoi creare tabelle dall'interno di Query Workbench senza dover uscire dai dashboard. OpenSearch

Per gestire database e tabelle esistenti nella tua origine dati o per creare nuove tabelle su cui desideri utilizzare le query dirette, scegli Query Workbench dalla barra di navigazione a sinistra e seleziona l'origine dati Amazon S3 dal menu a discesa delle origini dati.

Per impostare una tabella per i log di flusso VPC archiviati in S3 in formato Parquet, esegui la seguente query:


CREATE TABLE 
datasourcename.gluedatabasename.vpclogstable (version INT, account_id STRING, interface_id STRING, 
srcaddr STRING, dstaddr STRING, srcport INT, dstport INT, protocol INT, packets BIGINT, 
bytes BIGINT, start BIGINT, end BIGINT, action STRING, log_status STRING, 
`aws-account-id` STRING, `aws-service` STRING, `aws-region` STRING, year STRING, 
month STRING, day STRING, hour STRING) 

USING parquet PARTITIONED BY (aws-account-id, aws-service, aws-region, year, month, 
day, hour) 

LOCATION "s3://accountnum-vpcflow/AWSLogs"

Dopo aver creato la tabella, esegui la seguente query per assicurarti che sia compatibile con le query dirette:


MSCK REPAIR TABLE  datasourcename.databasename.vpclogstable

Imposta le integrazioni per i tipi di log più diffusi AWS

Puoi integrare i tipi di AWS log archiviati in Amazon S3 con OpenSearch Service. Usa OpenSearch le dashboard per installare integrazioni che creano AWS Glue Data Catalog tabelle, query salvate e dashboard. Queste integrazioni utilizzano viste indicizzate per mantenere aggiornate le dashboard.

Per istruzioni sull'installazione di un'integrazione, consulta Installazione di una risorsa di integrazione nella documentazione. OpenSearch

Quando selezioni un'integrazione, assicurati che abbia il S3 Glue tag.

Quando configuri l'integrazione, specifica S3 Connection per il tipo di connessione. Quindi, seleziona l'origine dati per l'integrazione, la posizione dei dati in Amazon S3, il checkpoint per gestire l'indicizzazione dell'accelerazione e gli asset necessari per il tuo caso d'uso.

Nota

Assicurati che il bucket S3 per il checkpoint disponga delle autorizzazioni di scrittura per la posizione del checkpoint. Senza queste autorizzazioni, le accelerazioni dell'integrazione falliranno.

Configurazione del controllo degli accessi

Nella pagina dei dettagli della tua origine dati, trova la sezione Controlli di accesso e scegli Modifica. Se il dominio ha abilitato il controllo granulare degli accessi, scegli Restricted e seleziona i ruoli a cui desideri fornire l'accesso alla nuova fonte di dati. Puoi anche scegliere Amministratore solo se desideri che solo l'amministratore abbia accesso all'origine dati.

Importante

Gli indici vengono utilizzati per qualsiasi interrogazione sull'origine dati. Un utente con accesso in lettura all'indice delle richieste per una determinata origine dati può leggere tutte le query relative a tale origine dati. Un utente con accesso in lettura all'indice dei risultati può leggere i risultati di tutte le query eseguite su quell'origine dati.

Interrogazione dei dati S3 in Discover OpenSearch

Dopo aver impostato le tabelle e configurato l'accelerazione delle query opzionale desiderata, puoi iniziare ad analizzare i dati. Per interrogare i dati, seleziona la fonte dei dati dal menu a discesa. Se utilizzi Amazon S3 e OpenSearch Dashboards, vai su Discover e seleziona il nome dell'origine dati.

Se utilizzi un indice ignorante o non hai ancora creato un indice, puoi usare SQL o PPL per interrogare i tuoi dati. Se hai configurato una vista materializzata o un indice di copertura, disponi già di un indice e puoi utilizzare Dashboards Query Language (DQL) in tutte le dashboard. Puoi anche usare PPL con il plug-in Observability e SQL con il plug-in Query Workbench. Attualmente, solo i plugin Observability e Query Workbench supportano PPL e SQL. Per interrogare i dati utilizzando l'API di OpenSearch servizio, consulta la documentazione dell'API asincrona.

Nota

Non tutte le istruzioni, i comandi e le funzioni SQL e PPL sono supportati. Per un elenco dei comandi supportati, vedereComandi SQL e PPL supportati.

Se hai creato una vista materializzata o un indice di copertura, puoi usare DQL per interrogare i tuoi dati, purché li abbia indicizzati all'interno.

Risoluzione dei problemi

In alcuni casi i risultati non vengono restituiti come previsto. In caso di problemi, assicurati di seguire ilConsigli per l'utilizzo delle query dirette in Amazon Service OpenSearch .

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Creazione di una fonte di dati S3

Interrogazioni dirette nei log CloudWatch