Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Consulta directa de los datos de Amazon Security Lake en Service OpenSearch
En esta sección, se explica el proceso de creación y configuración de una integración de fuentes de datos en Amazon OpenSearch Service, lo que le permitirá consultar y analizar de forma eficiente los datos almacenados en Security Lake.
En las páginas siguientes, aprenderá a configurar una fuente de datos de consulta directa de Security Lake, a analizar los requisitos previos necesarios y a seguir los step-by-step procedimientos utilizando el. Consola de administración de AWS
Temas
Precios
Amazon OpenSearch Service ofrece precios por unidad de OpenSearch cómputo (OCU) para las consultas directas de Security Lake. Al realizar consultas directas, se te cobrará OCUs por hora, que se indicará como tipo de uso de DirectQuery OCU en tu factura. Amazon Security Lake también te cobrará otros cargos.
Las consultas directas son de dos tipos: consultas de vista indexada e interactivas.
-
Las consultas interactivas se utilizan para rellenar el selector de datos y realizar análisis de sus datos en Security Lake. OpenSearch El servicio gestiona cada consulta con un trabajo preajustado independiente, sin necesidad de mantener una sesión prolongada.
-
Las consultas de vistas indexadas utilizan el procesamiento para mantener las vistas indexadas en Service. OpenSearch Estas consultas suelen tardar más porque ingieren una cantidad de datos variable en un índice con nombre. En el caso de las fuentes de datos conectadas a Security Lake, los datos indexados se almacenan en una colección OpenSearch sin servidor, en la que se cobra por los datos indexados (indexingOCU), los datos buscados (SearchOCU) y los datos almacenados en GB.
Para obtener más información, consulta las secciones Direct Query y Serverless de Amazon OpenSearch Service Pricing
Limitaciones
Las siguientes limitaciones se aplican a las consultas directas en Security Lake:
-
La integración de consultas directas con Security Lake solo está disponible en las colecciones OpenSearch de servicios y en la interfaz OpenSearch de usuario.
-
OpenSearch Las colecciones sin servidor tienen limitaciones de carga útil de red de 100 MiB.
-
La administración de las tablas de Security Lake se realiza en Lake Formation.
-
Security Lake solo admite vistas materializadas como vistas indexadas. No se admiten índices de cobertura.
-
AWS CloudFormation las plantillas aún no son compatibles.
-
OpenSearch Las sentencias SQL y OpenSearch PPL tienen limitaciones diferentes cuando se trabaja con OpenSearch índices en comparación con el uso de consultas directas. Direct Query admite comandos avanzados JOINs, como subconsultas y búsquedas, mientras que la compatibilidad con estos comandos en los OpenSearch índices es limitada o inexistente. Para obtener más información, consulte Comandos SQL y PPL compatibles.
Recomendaciones
Se recomienda lo siguiente cuando se utilizan consultas directas en Security Lake:
-
Compruebe el estado de Security Lake y asegúrese de que funcione sin problemas. Para ver los pasos detallados de solución de problemas, consulte Solución de problemas del estado del lago de datos en la Guía del usuario de Amazon Security Lake.
-
Compruebe el acceso a su consulta:
-
Si realiza consultas en Security Lake desde una cuenta diferente a la cuenta de administrador delegado de Security Lake, configure un suscriptor con acceso de consulta en Security Lake.
-
Si realiza consultas en Security Lake desde la misma cuenta, compruebe si hay algún mensaje en Security Lake sobre el registro de los buckets de S3 gestionados. LakeFormation
-
-
Explore las plantillas de consulta y los paneles prediseñados para iniciar su análisis con rapidez.
-
Familiarícese con Open Cybersecurity Schema Framework (OCSF) y Security Lake:
-
Revise los ejemplos de mapeo de esquemas de las AWS fuentes en el repositorio de OCSF GitHub
-
Aprenda a realizar consultas de Security Lake de forma eficaz consultando las consultas de Security Lake para la versión 2 del AWS código fuente (OCSF 1.1.0)
-
Mejore el rendimiento de las consultas mediante el uso de particiones:
accountid,regionytime_dt.
-
-
Familiarícese con la sintaxis de SQL, que Security Lake admite para realizar consultas. Para obtener más información, consulte Comandos y funciones de OpenSearch SQL compatibles.
-
Aplica límites a tus consultas para asegurarte de no recuperar demasiados datos.
Cuotas
| Description (Descripción) | Valor | ¿El límite es flexible? | Notas |
|---|---|---|---|
| Límite de TPS a nivel de cuenta en las consultas directas APIs | 3 TPS | Sí | |
| Número máximo de orígenes de datos | 20 | Sí | El límite es por. Cuenta de AWS |
| Número máximo de índices o vistas materializadas que se actualizan automáticamente | 30 | Sí |
Se aplica un límite por origen de datos. Solo incluye índices y vistas materializadas (MVs) con la actualización automática establecida en true. |
| Máximo de consultas simultáneas | 30 | Sí |
El límite se aplica a las consultas en estado pendiente o en ejecución. Incluye consultas interactivas (por ejemplo, comandos de recuperación de datos como |
| OCU simultáneas máximas por consulta | 512 | Sí |
OpenSearch Unidades de cómputo (OCU). El límite se basa en 15 ejecutores y 1 controlador, cada uno con 16 vCPU y 32 GB de memoria. Representa la potencia de procesamiento simultáneo. |
| Tiempo máximo de ejecución de consulta en minutos | 30 | No | Se aplica solo a consultas interactivas (por ejemplo, comandos de recuperación de datos como SELECT). En el caso de las consultas REFRESH, el límite es de 6 horas. |
| Periodo para purgar una consulta obsoleta IDs | 90 días | Sí |
Este es el período de tiempo después del cual el OpenSearch Servicio purga los metadatos de las consultas de las entradas más antiguas. Por ejemplo, se llama GetDirectQuery o GetDirectQueryResult se produce un error en el caso de consultas de más de 90 días. |
Compatible Regiones de AWS
Regiones de AWS Se admite lo siguiente para las consultas directas en Security Lake:
-
Asia-Pacífico (Mumbai)
-
Asia-Pacífico (Singapur)
-
Asia-Pacífico (Sídney)
-
Asia-Pacífico (Tokio)
-
Canadá (centro)
-
Europa (Fráncfort)
-
Europa (Irlanda)
-
Europa (Estocolmo)
-
Este de EE. UU. (Norte de Virginia)
-
Este de EE. UU. (Ohio)
-
Oeste de EE. UU. (Oregón)
-
Europa (París)
-
Europa (Londres)
-
América del Sur (São Paulo)
