Recomendações gerais Recomendações para o Amazon S3 Recomendações sobre o CloudWatch Logs Recomendações sobre o Security Lake

Recomendações para o uso de consultas diretas no Amazon OpenSearch Service

Esta página fornece recomendações para o uso das consultas diretas do Amazon OpenSearch Service para analisar dados do CloudWatch Logs, Amazon S3 e Amazon Security Lake. Essas práticas recomendadas ajudam a otimizar a performance e garantir consultas eficientes sem necessidade de ingestão ou duplicação de dados.

Recomendações gerais

Recomendamos fazer o seguinte ao usar a consulta direta:

Use a função COALESCE SQL para lidar com colunas ausentes e garantir o retorno dos resultados.

Use limites em suas consultas para garantir que você não esteja extraindo muitos dados.
Se você planejar analisar o mesmo conjunto de dados várias vezes, crie uma visão indexada para ingerir e indexar totalmente os dados no OpenSearch e elimine-a quando tiver concluído a análise.
Elimine trabalhos de aceleração e índices quando eles não forem mais necessários.
Consultas contendo nomes de campo idênticos, que diferem somente em maiúsculas e minúsculas (como field1 e FIELD1) não são compatíveis.

Por exemplo, as seguintes consultas não são compatíveis:
```
Select AWSAccountId, AwsAccountId from LogGroup
Select a.@LogStream, b.@logStream from Table A INNER Join Table B ona.id = b.id
```
No entanto, a seguinte consulta é compatível porque o nome do campo (@logStream) é idêntico em ambos os grupos de logs:
```
Select a.@logStream, b.@logStream from Table A INNER Join Table B on a.id = b.id
```
As funções e expressões devem operar em nomes de campo e fazer parte de uma instrução SELECT com um grupo de logs especificado na cláusula FROM.

Por exemplo, esta consulta não é compatível:
```
SELECT cos(10) FROM LogGroup
```
Esta consulta é compatível:
```
SELECT cos(field1) FROM LogGroup
```

Recomendações para o Amazon S3

Se você for usar o Amazon OpenSearch Service para direcionar dados de consulta no Amazon S3, também recomendamos o seguinte:

Ingira dados no Amazon S3 usando formatos de partição de ano, mês, dia e hora para acelerar as consultas.
Ao criar índices de salto, use filtros de Bloom para campos de alta cardinalidade e índices mínimo/máximo para campos com grandes intervalos de valores. Para campos de alta cardinalidade, considere usar uma abordagem baseada em valores para melhorar a eficiência das consultas.
Use o Index State Management para manter o armazenamento de visões materializadas e índices abrangentes.

Recomendações sobre o CloudWatch Logs

Se você for usar o Amazon OpenSearch Service para direcionar dados de consulta no CloudWatch Logs, também recomendamos o seguinte:

Ao pesquisar vários grupos de logs em uma consulta, use a sintaxe adequada. Para obter mais informações, consulte Funções de vários grupos de logs.
Ao usar comandos SQL ou PPL, coloque certos campos entre crases para consultá-los com êxito. Acentos graves são necessários em campos com caracteres especiais (não alfabéticos e não numéricos). Por exemplo, coloque @message, Operation.Export, e Test::Field entre acentos graves. Não é necessário colocar entre acentos graves campos com nomes puramente alfabéticos.

Exemplo de consulta com campos simples:
```
SELECT SessionToken, Operation, StartTime  FROM `LogGroup-A`
LIMIT 1000;
```
Consulta semelhante com acentos graves acrescentados:
```
SELECT `@SessionToken`, `@Operation`, `@StartTime` FROM `LogGroup-A`
LIMIT 1000;
```

Recomendações sobre o Security Lake

Se você for usar o Amazon OpenSearch Service para direcionar dados de consulta no Security Lake, também recomendamos o seguinte:

Verifique o status do Security Lake e garanta que ele esteja funcionando bem, sem nenhum problema. Para obter as etapas detalhadas de solução de problemas, consulte Solução de problemas de status de data lake no Guia do usuário do Amazon Security Lake.
Verifique seu acesso a consultas:
- Se você for consultar o Security Lake de uma conta que não seja a conta de administrador delegado do Security Lake, configure um assinante com acesso a consultas no Security Lake.
- Se você for consultar o Security Lake da mesma conta, verifique se há alguma mensagem no Security Lake sobre registrar os buckets gerenciados do S3 no LakeFormation.
Explore os modelos de consulta e os painéis pré-compilados para acionar sua análise rapidamente.
Familiarize-se com o Open Cybersecurity Schema Framework (OCSF) e o Security Lake:
- Revise os exemplos de mapeamento de esquema para origens na AWS no repositório do OCSF no GitHub
- Saiba como consultar o Security Lake de forma eficaz visitando Security Lake queries for AWS source version 2 (OCSF 1.1.0)
- Melhore a performance das consultas usando partições: accountid, region e time_dt
Familiarize-se com a sintaxe SQL, com a qual o Security Lake é compatível para consultas. Para obter mais informações, consulte Comandos e funções SQL compatíveis com o OpenSearch.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Limitações

Consultas diretas no S3