Configurar e consultar uma fonte de dados do Security Lake no OpenSearch Dashboards - Amazon OpenSearch Service
Consultar tabelas do Security Lake no DiscoverAcelerar dados do DiscoverCriar uma visão em painel para a fonte de dadosSolução de problemas

Configurar e consultar uma fonte de dados do Security Lake no OpenSearch Dashboards

Agora que você criou a fonte de dados, pode começar configurá-la no OpenSearch Dashboards.

Esta seção mostra vários casos de uso com a sua fonte de dados no OpenSearch Dashboards antes de você consultar dados. Para começar, navegue até a fonte de dados no OpenSearch Dashboards. No menu à esquerda, em Gerenciamento, escolha Fontes de dados. Em seguida, selecione o nome da fonte de dados criada anteriormente no console do OpenSearch Service.

Consultar tabelas do Security Lake no Discover

Se você criou tabelas baseadas nos logs do Security Lake, agora poderá consultar essas tabelas diretamente no OpenSearch Discover. Isso permite que você acesse e analise facilmente os dados armazenados no Security Lake, diretamente na interface familiar do Discover. Ao consultar o Security Lake diretamente no Discover, você pode evitar a necessidade de extrair, transformar e carregar manualmente os dados em um índice de pesquisa separado. Para que você possa começar rapidamente a analisar seus logs, o Discover inclui um conjunto de consultas salvas em PPL e SQL.

Comece selecionando a fonte de dados que você configurou. Selecione o banco de dados e a tabela associados que você deseja consultar e use a barra de pesquisa para escrever consultas às tabelas. Para entender quais são as instruções, os comandos e as limitações compatíveis com a integração do Security Lake, consulte Comandos SQL e PPL compatíveis.

Para aproveitar as consultas pré-criadas que estão disponíveis para o Security Lake, vá para ... no canto superior direito do Discover, escolha Abrir consulta e depois Modelos. Há muitas consultas pré-criadas disponíveis para fontes de log compatíveis com o Security Lake. Pesquise os modelos que correspondem ao seu caso de uso, copie a consulta para usá-la na barra de pesquisa e substitua os campos de modelo (como região e ação) por suas próprias informações.

Acelerar dados do Discover

Para melhorar a performance e permitir consultas e análises subsequentes mais rápidas no OpenSearch, você pode ingerir os resultados da consulta feita no Discover em uma visão indexada do OpenSearch.

Para criar uma visão indexada

  1. No Discover, escolha Criar visão indexada.

  2. No editor de consultas, insira a consulta desejada. Você pode criar uma nova consulta aqui ou usar uma de suas pesquisas anteriores já existentes.

  3. Especifique um nome para a nova visão indexada. Escolha um nome descritivo que ajudará a identificar a visão posteriormente.

  4. Defina as configurações de retenção de dados para a visão indexada. Você pode especificar por quanto tempo os dados devem ser mantidos no índice, o que permite equilibrar a performance com os custos de armazenamento.

  5. Crie a visão indexada. Depois de criada, a visão indexada estará disponível para consultas e análises mais rápidas.

Se você já criou visões indexadas, pode acessá-las no Discover.

Para usar uma visão de índice existente

  1. No Discover, escolha Selecionar visão indexada para ver uma lista das visões indexadas existentes para o Security Lake.

  2. Escolha a visão indexada que você deseja usar. Isso aplicará a visão à sua consulta atual, potencialmente acelerando significativamente a recuperação e a análise de dados.

Criar uma visão em painel para a fonte de dados

Ao usar o OpenSearch Service, você pode analisar os tipos mais conhecidos de log da AWS usando modelos de painel pré-criados. No Security Lake, há modelos de logs da VPC, do CloudTrail e do WAF. Esses modelos permitem que você crie um painel ajustado para os dados específicos. Eles incluem consultas e painéis pré-criados, ajustados para o tipo específico de log. Isso permite que você fique pronto rapidamente para analisar essas fontes de log conhecidas da AWS, sem ter que criar tudo do zero.

nota

Os painéis usam visões indexadas, que ingerem dados do Security Lake e contribuem para consulta direta e computação de coleção.

Siga estas etapas para criar um painel usando um desses modelos prontos, para poder começar a explorar e analisar os dados imediatamente.

Para criar uma visão de painel

  1. Navegue para o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/.

  2. No painel de navegação à esquerda, escolha Gerenciamento central e depois Fontes de dados conectadas.

  3. Selecione a fonte de dados para abrir a página de detalhes.

  4. Escolha Create dashboard (Criar painel).

  5. Escolha o tipo de painel que você deseja criar.

  6. Insira um nome para o painel.

  7. Insira uma descrição opcional do painel.

  8. Selecione uma ou mais tabelas do AWS Glue para visualizar no painel.

  9. Escolha com que frequência você deseja atualizar os dados do painel.

  10. Escolha a área de trabalho do OpenSearch que você deseja usar.

    1. Para criar um espaço de trabalho, escolha Criar novo espaço de trabalho.

    2. Para usar um espaço de trabalho existente, selecione Selecionar espaço de trabalho existente.

  11. Insira um nome para o espaço de trabalho.

  12. Escolha Create dashboard (Criar painel).

Solução de problemas

Pode haver casos em que os resultados não retornem conforme o esperado. Se tiver enfrentando algum problema, lembre-se de seguir as Recomendações para o uso de consultas diretas no Amazon OpenSearch Service.