Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Interrogazione diretta dei dati di Amazon Security Lake nel servizio OpenSearch
Questa sezione ti guiderà attraverso il processo di creazione e configurazione di un'integrazione di fonti di dati in Amazon OpenSearch Service, consentendoti di interrogare e analizzare in modo efficiente i tuoi dati archiviati in Security Lake.
Nelle pagine seguenti, imparerai come configurare un'origine dati con query diretta di Security Lake, esplorare i prerequisiti necessari e seguire le step-by-step procedure utilizzando il. Console di gestione AWS
Argomenti
Prezzi
Amazon OpenSearch Service offre prezzi OpenSearch Compute Unit (OCU) per le query dirette di Security Lake. Quando esegui le query dirette, ti vengono addebitati addebiti orari, indicati nella fattura OCUs come tipo di utilizzo dell' DirectQuery OCU. Ti verranno inoltre addebitati addebiti separati da Amazon Security Lake.
Le interrogazioni dirette sono di due tipi: interattive e con visualizzazione indicizzata.
-
Le query interattive vengono utilizzate per compilare il selettore di dati ed eseguire analisi sui dati in Security Lake. OpenSearch Il servizio gestisce ogni query con un job separato pre-riscaldato, senza mantenere una sessione prolungata.
-
Le query di visualizzazione indicizzata utilizzano il calcolo per mantenere le viste indicizzate nel Servizio. OpenSearch Queste query in genere richiedono più tempo perché inseriscono una quantità variabile di dati in un indice denominato. Per le sorgenti dati connesse a Security Lake, i dati indicizzati vengono archiviati in una raccolta OpenSearch Serverless in cui vengono addebitati i dati indicizzati (IndexingOCU), i dati ricercati (SearchOCU) e i dati archiviati in GB.
Per ulteriori informazioni, consulta le sezioni Direct Query e Serverless all'interno dei prezzi OpenSearch di Amazon Service
Limitazioni
Le seguenti limitazioni si applicano alle query dirette in Security Lake:
-
L'integrazione diretta delle query con Security Lake è disponibile solo nelle raccolte OpenSearch di servizi e nell'interfaccia OpenSearch utente.
-
OpenSearch Le raccolte serverless hanno limiti di payload in rete di 100 MiB.
-
La gestione delle tabelle per Security Lake viene eseguita in Lake Formation.
-
Security Lake supporta solo le viste materializzate come viste indicizzate. Gli indici di copertura non sono supportati.
-
AWS CloudFormation i modelli non sono ancora supportati.
-
OpenSearch Le istruzioni SQL e OpenSearch PPL presentano limitazioni diverse quando si lavora con OpenSearch gli indici rispetto all'utilizzo di query dirette. Direct Query supporta comandi avanzati come JOINs sottoquery e ricerche, mentre il supporto per questi comandi sugli OpenSearch indici è limitato o inesistente. Per ulteriori informazioni, consulta Comandi SQL e PPL supportati.
Raccomandazioni
Per l'utilizzo di query dirette in Security Lake, consigliamo quanto segue:
-
Controlla lo stato del tuo Security Lake e assicurati che funzioni senza problemi. Per una procedura dettagliata di risoluzione dei problemi, consulta Risoluzione dei problemi dello stato del data lake nella Guida per l'utente di Amazon Security Lake.
-
Verifica l'accesso alla tua query:
-
Se stai interrogando Security Lake da un account diverso dall'account amministratore delegato di Security Lake, configura un abbonato con accesso alle query in Security Lake.
-
Se stai interrogando Security Lake dallo stesso account, controlla la presenza di messaggi in Security Lake sulla registrazione dei bucket S3 gestiti con. LakeFormation
-
-
Esplora i modelli di query e le dashboard predefinite per iniziare subito l'analisi.
-
Acquisisci familiarità con Open Cybersecurity Schema Framework (OCSF) e Security Lake:
-
Esamina gli esempi di mappatura degli schemi per le fonti nel repository OCSF AWS GitHub
-
Scopri come interrogare Security Lake in modo efficace visitando Security Lake queries for AWS source version 2 (OCSF 1.1.0)
-
Migliora le prestazioni delle query utilizzando le partizioni:,, e
accountidregiontime_dt
-
-
Prendi confidenza con la sintassi SQL, supportata da Security Lake per le interrogazioni. Per ulteriori informazioni, consulta Comandi e funzioni OpenSearch SQL supportati.
-
Usa dei limiti per le tue query per assicurarti di non recuperare troppi dati.
Quote
| Description | Valore | Limite flessibile? | Note |
|---|---|---|---|
| Limite TPS a livello di account per le query dirette APIs | 3 TPS | Sì | |
| Numero massimo di fonti di dati | 20 | Sì | Il limite è per Account AWS. |
| Numero massimo di indici o viste materializzate con aggiornamento automatico | 30 | Sì |
Il limite si applica per fonte di dati. Include solo indici e viste materializzate (MVs) con aggiornamento automatico impostato su true. |
| Numero massimo di interrogazioni simultanee | 30 | Sì |
Il limite si applica alle query in sospeso o in esecuzione. Include query interattive (ad esempio comandi per il recupero dei dati come |
| Numero massimo di OCU simultanee per query | 512 | Sì |
OpenSearch Unità di calcolo (OCU). Limite basato su 15 executor e 1 driver, ciascuno con 16 vCPU e 32 GB di memoria. Rappresenta la potenza di elaborazione simultanea. |
| Tempo massimo di esecuzione delle query in minuti | 30 | No | Si applica solo alle query interattive (ad esempio, comandi di recupero dati come). SELECT Per le REFRESH interrogazioni, il limite è di 6 ore. |
| Periodo di eliminazione delle interrogazioni obsolete IDs | 90 giorni | Sì |
Questo è il periodo di tempo dopo il quale il OpenSearch Servizio elimina i metadati delle query dalle voci precedenti. Ad esempio, una chiamata GetDirectQuery o un GetDirectQueryResult errore per le query che risalgono a più di 90 giorni. |
Supportato Regioni AWS
Le seguenti opzioni Regioni AWS sono supportate per le interrogazioni dirette in Security Lake:
-
Asia Pacifico (Mumbai)
-
Asia Pacifico (Singapore)
-
Asia Pacifico (Sydney)
-
Asia Pacifico (Tokyo)
-
Canada (Centrale)
-
Europa (Francoforte)
-
Europa (Irlanda)
-
Europa (Stoccolma)
-
Stati Uniti orientali (Virginia settentrionale)
-
Stati Uniti orientali (Ohio)
-
Stati Uniti occidentali (Oregon)
-
Europa (Parigi)
-
Europa (Londra)
-
Sud America (San Paolo)
