Configurando e consultando uma fonte de dados do Security Lake em painéis OpenSearch - OpenSearch Serviço Amazon
Consultar tabelas do Security Lake no DiscoverAcelerar dados do DiscoverCriar uma visão em painel para a fonte de dadosSolução de problemas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurando e consultando uma fonte de dados do Security Lake em painéis OpenSearch

Agora que você criou sua fonte de dados, você pode configurá-la em OpenSearch painéis.

Esta seção mostra vários casos de uso com sua fonte de dados em OpenSearch painéis antes de você consultar seus dados. Para começar, você precisa navegar até sua fonte de dados em OpenSearch painéis. No menu à esquerda, em Gerenciamento, escolha Fontes de dados. Em seguida, selecione o nome da fonte de dados que você criou anteriormente no console OpenSearch de serviço.

Consultar tabelas do Security Lake no Discover

Se você criou tabelas com base nos seus registros do Security Lake, agora você pode consultar essas tabelas diretamente do OpenSearch Discover. Isso permite que você acesse e analise facilmente os dados armazenados no Security Lake, diretamente na interface familiar do Discover. Ao consultar o Security Lake diretamente no Discover, você pode evitar a necessidade de extrair, transformar e carregar manualmente os dados em um índice de pesquisa separado. Para que você possa começar rapidamente a analisar seus logs, o Discover inclui um conjunto de consultas salvas em PPL e SQL.

Comece selecionando a fonte de dados que você configurou. Selecione o banco de dados e a tabela associados que você deseja consultar e use a barra de pesquisa para escrever consultas às tabelas. Para entender quais são as instruções, os comandos e as limitações compatíveis com a integração do Security Lake, consulte Comandos SQL e PPL compatíveis.

Para aproveitar as consultas pré-criadas que estão disponíveis para o Security Lake, vá para ... no canto superior direito do Discover, escolha Abrir consulta e depois Modelos. Há muitas consultas pré-criadas disponíveis para fontes de log compatíveis com o Security Lake. Pesquise os modelos que correspondem ao seu caso de uso, copie a consulta para usá-la na barra de pesquisa e substitua os campos de modelo (como região e ação) por suas próprias informações.

Acelerar dados do Discover

Para melhorar o desempenho e permitir consultas e análises subsequentes mais rápidas OpenSearch, você pode ingerir os resultados da sua consulta do Discover em uma visualização OpenSearch indexada.

Para criar uma visão indexada

  1. No Discover, escolha Criar visão indexada.

  2. No editor de consultas, insira a consulta desejada. Você pode criar uma nova consulta aqui ou usar uma de suas pesquisas anteriores já existentes.

  3. Especifique um nome para a nova visão indexada. Escolha um nome descritivo que ajudará a identificar a visão posteriormente.

  4. Defina as configurações de retenção de dados para a visão indexada. Você pode especificar por quanto tempo os dados devem ser mantidos no índice, o que permite equilibrar a performance com os custos de armazenamento.

  5. Crie a visão indexada. Depois de criada, a visão indexada estará disponível para consultas e análises mais rápidas.

Se você já criou visões indexadas, pode acessá-las no Discover.

Para usar uma visão de índice existente

  1. No Discover, escolha Selecionar visão indexada para ver uma lista das visões indexadas existentes para o Security Lake.

  2. Escolha a visão indexada que você deseja usar. Isso aplicará a visão à sua consulta atual, potencialmente acelerando significativamente a recuperação e a análise de dados.

Criar uma visão em painel para a fonte de dados

Ao usar o OpenSearch Service, você pode analisar tipos de AWS log populares usando modelos de painel pré-criados. Para o Security Lake, existem modelos para registros de VPC e WAF. CloudTrail Esses modelos permitem que você crie um painel ajustado para os dados específicos. Eles incluem consultas e painéis pré-criados, ajustados para o tipo específico de log. Isso permite que você comece rapidamente a analisar essas fontes de AWS log populares, sem precisar criar tudo do zero.

nota

Os painéis usam visões indexadas, que ingerem dados do Security Lake e contribuem para consulta direta e computação de coleção.

Siga estas etapas para criar um painel usando um desses modelos prontos, para poder começar a explorar e analisar os dados imediatamente.

Para criar uma visão de painel

  1. Navegue até o console do Amazon OpenSearch Service emhttps://console.aws.amazon.com/aos/.

  2. No painel de navegação à esquerda, escolha Gerenciamento central e depois Fontes de dados conectadas.

  3. Selecione a fonte de dados para abrir a página de detalhes.

  4. Escolha Create dashboard (Criar painel).

  5. Escolha o tipo de painel que você deseja criar.

  6. Insira um nome para o painel.

  7. Insira uma descrição opcional do painel.

  8. Selecione uma ou mais tabelas do AWS Glue para ver em seu painel.

  9. Escolha com que frequência você deseja atualizar os dados do painel.

  10. Escolha qual OpenSearch espaço de trabalho você deseja usar.

    1. Para criar um espaço de trabalho, escolha Criar novo espaço de trabalho.

    2. Para usar um espaço de trabalho existente, selecione Selecionar espaço de trabalho existente.

  11. Insira um nome para o espaço de trabalho.

  12. Escolha Create dashboard (Criar painel).

Solução de problemas

Pode haver casos em que os resultados não retornem conforme o esperado. Se tiver enfrentando algum problema, lembre-se de seguir as Recomendações para o uso de consultas diretas no Amazon Service OpenSearch.