OpenSearch Dashboards での Security Lake データソースの設定とクエリ - Amazon OpenSearch Service
Discover から Security Lake テーブルをクエリするDiscover からのデータの高速化データソースのダッシュボードビューを作成するトラブルシューティング

OpenSearch Dashboards での Security Lake データソースの設定とクエリ

データソースを作成したら、OpenSearch Dashboards で設定できます。

このセクションでは、データをクエリする前に、OpenSearch Dashboards でのデータソースを使用するさまざまなユースケースについて説明します。開始するには、OpenSearch Dashboards でデータソースに移動する必要があります。左側のメニューの [管理] で、[データソース] を選択します。次に、OpenSearch Service コンソールで先ほど作成したデータソースの名前を選択します。

Discover から Security Lake テーブルをクエリする

Security Lake ログに基づいてテーブルを作成した場合は、OpenSearch Discover から直接それらのテーブルをクエリできるようになりました。これにより、使い慣れた Discover インターフェイスから直接、Security Lake に保存されているデータにシームレスにアクセスして分析できます。Discover から直接 Security Lake にクエリを実行することで、データを別の検索インデックスに手動で抽出、変換、ロードする必要がなくなります。ログの分析をすばやく始められるように、Discover には PPL および SQL の保存済みクエリが一式含まれています。

まずは、設定したデータソースを選択します。クエリを実行する関連データベースとテーブルを選択し、検索バーを使用してテーブルに対してクエリを書き込みます。Security Lake 統合でサポートされているステートメント、コマンド、制限については、「サポートされている SQL コマンドと PPL コマンド」を参照してください。

Security Lake で使用できる構築済みのクエリを活用するには、Discover の右上にある [...] に移動し、[クエリを開く] を選択し、[テンプレート] を選択します。Security Lake でサポートされているログソースには、事前に構築されたクエリが多数あります。ユースケースに一致するテンプレートを検索し、検索バーで使用するクエリをコピーして、テンプレート化されたフィールド (リージョンやアクションなど) を独自の情報に置き換えます。

Discover からのデータの高速化

パフォーマンスを向上させ、OpenSearch で後続のクエリや分析を高速化するには、Discover からのクエリの結果を OpenSearch インデックス付きビューに取り込むことができます。

インデックス付きビューを作成するには

  1. Discover から、[インデックス付きビューを作成] を選択します。

  2. クエリエディタで、目的のクエリを入力します。ここで新しいクエリを作成するか、過去の検索から既存のクエリを使用できます。

  3. 新しいインデックス付きビューの名前を指定します。後でビューを識別しやすくなるよう、わかりやすい名前を選択します。

  4. インデックス付きビューのデータ保持設定を構成します。インデックスにデータを保持する期間を指定することで、パフォーマンスとストレージコストのバランスを取ることができます。

  5. インデックス付きビューを作成します。作成後、インデックス付きビューを使用してクエリと分析を高速化できます。

インデックス付きビューを以前に作成してある場合は、Discover からアクセスできます。

既存のインデックスビューを使用するには

  1. Discover から [インデックス付きビューを選択] を選択すると、Security Lake の既存のインデックス付きビューのリストが表示されます。

  2. 使用するインデックス付きビューを選択します。これにより、現在のクエリにビューが適用され、データの取得と分析が大幅に高速化される可能性があります。

データソースのダッシュボードビューを作成する

OpenSearch Service を使用すると、事前に構築済みのダッシュボードテンプレートを使用して一般的な AWS ログタイプを分析できます。Security Lake には、VPC、CloudTrail、および WAF のログ用テンプレートがあります。これらのテンプレートを使用すると、特定のデータに合わせたダッシュボードを作成できます。これには、その特定のログタイプに合わせてカスタマイズされた事前構築済みのクエリとダッシュボードが含まれます。これにより、すべて一から構築しなくても、これらの一般的な AWS ログソースの分析を迅速に開始して実行できます。

注記

ダッシュボードはインデックス付きビューを使用しており、Security Lake からデータを取り込んで、ダイレクトクエリやコレクションのコンピューティングに活用されます。

これらの構築済みテンプレートのいずれかを使用してダッシュボードを作成するには、次のステップに従います。これにより、データの探索と分析をすぐに開始することができます。

ダッシュボードビューを作成するには

  1. Amazon OpenSearch Service コンソール (https://console.aws.amazon.com/aos/) に移動します。

  2. 左側のナビゲーションペインから、[中央管理][接続済みデータソース] を選択します。

  3. データソースを選択して詳細ページを開きます。

  4. [ダッシュボードを作成] を選択します。

  5. 作成するダッシュボードのタイプを選択します。

  6. ダッシュボードの名前を入力します。

  7. ダッシュボードのオプションの説明を入力します。

  8. ダッシュボードに表示する AWS Glue テーブルを 1 つ以上選択します。

  9. ダッシュボード内のデータを更新する頻度を選択します。

  10. 使用する OpenSearch ワークスペースを選択します。

    1. [新しいワークスペースを作成] を選択して、新しいワークスペースを作成します。

    2. 既存のワークスペースを使用するには、[既存のワークスペースを選択] を選択します。

  11. ワークスペースの名前を入力します。

  12. [ダッシュボードを作成] を選択します。

トラブルシューティング

結果が期待どおりに返されない場合があります。問題が発生した場合は、Amazon OpenSearch Service でダイレクトクエリを使用するための推奨事項 に従っているかを確認してください。