在 OpenSearch 控制面板中配置和查询 Security Lake 数据来源
现在您已创建数据来源,即可在 OpenSearch 控制面板中对其进行设置。
在查询数据之前,本节将引导您了解在 OpenSearch 控制面板中使用数据来源的各种用例。要开始使用,您需要在 OpenSearch 控制面板中导航至数据来源。在左侧菜单的管理下,选择数据来源。然后,选择您在 OpenSearch Service 控制台中先前创建的数据源名称。
从 Discover 查询 Security Lake 表
如果您已根据 Security Lake 日志创建表,现在可直接通过 OpenSearch Discover 查询这些表。这使您能够直接通过熟悉的 Discover 界面,无缝访问并分析存储在 Security Lake 中的数据。通过在 Discover 中直接查询 Security Lake,您无需手动提取、转换和加载数据到独立的搜索索引中。为快速开始分析日志,Discover 提供一组 PPL 和 SQL 保存的查询。
首先选择您已配置的数据来源。选择要查询的关联数据库和表,然后使用搜索栏编写针对这些表的查询语句。要了解 Security Lake 集成支持哪些语句、命令和限制,请参阅 支持的 SQL 和 PPL 命令。
要利用 Security Lake 提供的预构建查询,请前往 Discover 界面右上角的 ...,选择打开查询,然后选择模板。在 Security Lake 支持的日志来源中,有许多预先构建的查询可供使用。搜索与使用案例相匹配的模板,复制要在搜索栏中使用的查询,并将模板字段(如区域和操作)替换为您自己的信息。
加速 Discover 的数据
为提升性能并加速后续查询与分析,您可将 Discover 中的查询结果导入 OpenSearch 索引视图。
创建索引视图
-
从 Discover 中,选择创建索引视图。
-
在查询编辑器中,输入所需查询。您可以在此处创建新查询,也可以使用先前搜索中的现有查询。
-
为新的索引视图指定名称。选择描述性名称,以便日后识别该视图。
-
为索引视图配置数据留存设置。您可以指定数据在索引中保留的时间长度,从而在性能与存储成本之间取得平衡。
-
创建索引视图。创建完成后,您的索引视图即可用于加快查询和分析。
如果您之前已创建过索引视图,则可以通过 Discover 进行访问。
使用现有的索引视图
-
从 Discover 中,选择选择索引视图,以查看 Security Lake 现有索引视图的列表。
-
选择要使用的索引视图。这会将视图应用于您当前的查询,可能显著加快数据检索和分析速度。
为数据来源创建控制面板视图
使用 OpenSearch Service 时,您可以通过预构建的控制面板模板分析常用的 AWS 日志类型。对于 Security Lake,提供 VPC、CloudTrail 和 WAF 日志的模板。这些模板可让您创建专为特定数据量身定制的控制面板。其中包括预先构建的查询以及为特定日志类型量身定制的控制面板。这使您能够快速上手分析这些常用的 AWS 日志来源,而无需从头开始构建所有内容。
注意
控制面板使用索引视图,这些视图从 Security Lake 提取数据,并用于直接查询和收集计算。
按照以下步骤,使用其中一个预先构建的模板创建控制面板,以便您立即开始探索和分析数据。
创建控制面板视图
-
导航到 Amazon OpenSearch Service 控制台,地址为 https://console.aws.amazon.com/aos/
。 -
在左侧导航窗格中,选择集中管理,然后选择连接的数据来源。
-
选择数据来源以打开详细信息页面。
-
请选择创建控制面板。
-
选择要创建的控制面板类型。
-
输入控制面板的名称。
-
输入控制面板的可选描述。
-
选择一个或多个要在控制面板上查看的 AWS Glue 表。
-
选择刷新控制面板中数据的频率。
-
选择要使用的 OpenSearch 工作区。
-
要创建新工作区,请选择创建新工作区。
-
要使用现有工作区,请选择选择现有工作区。
-
-
为工作区输入名称。
-
请选择创建控制面板。
故障排除
在某些情况下,返回的结果可能不合预期。如果遇到任何问题,请确保遵循 在 Amazon OpenSearch Service 中使用直接查询的建议。
