Amazon OpenSearch Service で直接クエリを使用するための推奨事項

クエリの制限を使用して、データをあまり引き戻さないようにします。

同じデータセットを複数回分析する場合は、インデックス付きビューを作成してデータを完全に取り込み、OpenSearch にインデックスを作成して、分析が完了したら削除します。

不要になったアクセラレーションジョブとインデックスを削除します。

フィールド名は同じですが、大文字と小文字 ( field1や などFIELD1) が異なるクエリはサポートされていません。

たとえば、次のクエリはサポートされていません。

Select AWSAccountId, AwsAccountId from LogGroup
Select a.@LogStream, b.@logStream from Table A INNER Join Table B ona.id = b.id

ただし、フィールド名 (@logStream) は両方のロググループで同じであるため、次のクエリがサポートされています。

Select a.@logStream, b.@logStream from Table A INNER Join Table B on a.id = b.id

関数と式はフィールド名で動作し、 FROM句で指定されたロググループを持つSELECTステートメントの一部である必要があります。

たとえば、このクエリはサポートされていません。

SELECT cos(10) FROM LogGroup

このクエリはサポートされています。

SELECT cos(field1) FROM LogGroup

年、月、日、時間のパーティション形式を使用してデータを Amazon S3 に取り込み、クエリを高速化します。

スキップインデックスを構築するときは、カーディナリティが高いフィールドには Bloom フィルターを使用し、値範囲が大きいフィールドには最小/最大インデックスを使用します。高カーディナリティフィールドでは、クエリ効率を向上させるために値ベースのアプローチを使用することを検討してください。

Index State Management を使用して、マテリアライズドビューとカバーインデックスのストレージを維持します。

1 つのクエリで複数のロググループを検索する場合は、適切な構文を使用します。詳細については、「マルチロググループ関数」を参照してください。

SQL コマンドまたは PPL コマンドを使用する場合は、特定のフィールドをバックティックで囲んでクエリを正常に実行します。特殊文字 (非アルファベットおよび非数値) を含むフィールドにはバックティックが必要です。たとえば、 @messageOperation.Export,と をバックティックTest::Fieldで囲みます。列を単にアルファベット名でバックティックで囲む必要はありません。

シンプルなフィールドを含むクエリの例：

SELECT SessionToken, Operation, StartTime  FROM `LogGroup-A`
LIMIT 1000;

バックティックが追加された同様のクエリ：

SELECT `@SessionToken`, `@Operation`, `@StartTime` FROM `LogGroup-A`
LIMIT 1000;

Security Lake のステータスを確認し、問題なくスムーズに実行されていることを確認します。トラブルシューティングの詳細な手順については、「Amazon Security Lake ユーザーガイド」の「データレイクステータスのトラブルシューティング」を参照してください。

クエリアクセスを確認します。

クエリテンプレートと構築済みのダッシュボードを調べて、分析をすぐに開始します。

Open Cybersecurity Schema Framework (OCSF) と Security Lake について理解します。

Security Lake がクエリ用にサポートする SQL 構文に慣れてください。詳細については、「サポートされている OpenSearch SQL コマンドと関数」を参照してください。