Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Consultas de Security Lake para la versión 1 AWS de la fuente (OCSF 1.0.0-rc.2)
<a name="subscriber-query-examples1"></a>

La siguiente sección proporciona orientación sobre la consulta de datos de Security Lake e incluye algunos ejemplos de consultas de AWS fuentes compatibles de forma nativa con la versión 1 de la fuente.AWS Estas consultas están diseñadas para recuperar datos de una forma específica.Región de AWS Estos ejemplos utilizan us-east-1, es decir, Este de EE. UU. (Norte de Virginia). Además, las consultas de ejemplo utilizan un parámetro `LIMIT 25` que devuelve hasta 25 registros. Puede omitir este parámetro o ajustarlo según sus preferencias. Para ver más ejemplos, consulte el [ GitHub directorio de consultas OCSF de Amazon Security Lake](https://github.com/awslabs/aws-security-analytics-bootstrap/tree/main/AWSSecurityAnalyticsBootstrap/amazon_security_lake_queries).

Las siguientes consultas incluyen filtros basados en el tiempo que se utilizan `eventDay` para garantizar que la consulta se encuentra dentro de los ajustes de retención configurados. Para obtener más información, consulte [Querying data with retention settings](subscriber-query-examples.md#security-lake-retention-setting-query-data). 

Por ejemplo, si los datos de más de 60 días han caducado, las consultas deben incluir restricciones de tiempo para impedir el acceso a los datos caducados. Para un período de retención de 60 días, incluye la siguiente cláusula en la consulta:

```
...
WHERE eventDay BETWEEN cast(date_format(current_date - INTERVAL '59' day, '%Y%m%d') AS varchar) 
                   AND cast(date_format(current_date, '%Y%m%d') AS varchar)
...
```

Esta cláusula utiliza 59 días (en lugar de 60) para evitar cualquier superposición de datos o tiempo entre Amazon S3 y Apache Iceberg.

## Tabla de orígenes de registro
<a name="log-source-table"></a>

Al consultar los datos de Security Lake, debe incluir el nombre de la tabla de Lake Formation en la que residen los datos.

```
SELECT *
   FROM amazon_security_lake_glue_db_{{DB_Region}}.amazon_security_lake_table_{{DB_Region}}_{{SECURITY_LAKE_TABLE}}
   WHERE eventDay BETWEEN cast(date_format(current_timestamp - INTERVAL '7' day, '%Y%m%d%H') as varchar) and cast(date_format(current_timestamp - INTERVAL '0' day, '%Y%m%d%H') as varchar)
   LIMIT {{25}}
```

Los valores comunes de la tabla de orígenes de registro incluyen los siguientes:
+ `cloud_trail_mgmt_1_0`— eventos AWS CloudTrail de gestión
+ `lambda_execution_1_0`— eventos CloudTrail de datos para Lambda
+ `s3_data_1_0`— eventos CloudTrail de datos para S3
+ `route53_1_0`: registros de consultas de Amazon Route 53 Resolver
+ `sh_findings_1_0`—AWS Security Hub CSPM hallazgos
+ `vpc_flow_1_0`: registros de flujo de Amazon Virtual Private Cloud (Amazon VPC)

**Ejemplo: todos los resultados del CSPM de Security Hub de la tabla de la región `sh_findings_1_0` us-east-1**

```
SELECT *
   FROM amazon_security_lake_glue_db_{{us_east_1}}.amazon_security_lake_table_{{us_east_1}}_{{sh_findings_1_0}}
   WHERE eventDay BETWEEN cast(date_format(current_timestamp - INTERVAL '7' day, '%Y%m%d%H') as varchar) and cast(date_format(current_timestamp - INTERVAL '0' day, '%Y%m%d%H') as varchar)
   LIMIT {{25}}
```

## Región de base de datos
<a name="database-region"></a>

Al consultar los datos de Security Lake, debe incluir el nombre de región de base de datos de la que está consultando datos. Para obtener una lista completa de las regiones de bases de datos en las que Security Lake está disponible actualmente, consulte [Puntos de conexión de Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html).

**Ejemplo: Listar AWS CloudTrail la actividad desde la IP de origen**

En el siguiente ejemplo, se enumeran todas las CloudTrail actividades de la IP de origen {{192.0.2.1}} que se registraron después {{20230301}} (1 de marzo de 2023), en la tabla {{cloud\_trail\_mgmt\_1\_0}} del {{us-east-1}}`DB_Region`.

```
SELECT *
    FROM amazon_security_lake_glue_db_{{us_east_1}}.amazon_security_lake_table_{{us_east_1}}_{{cloud_trail_mgmt_1_0}}
    WHERE eventDay > '20230301' AND src_endpoint.ip = '192.0.2.1'
    ORDER BY time desc
    LIMIT {{25}}
```

## Fecha de partición
<a name="partition-date"></a>

La partición de los datos le permite restringir el volumen de datos que explora cada consulta, lo que mejora el rendimiento y reduce los costos. Security Lake implementa la partición mediante `eventDay`, `region`, y parámetros `accountid`. Las particiones de `eventDay` utilizan el formato `YYYYMMDD`.

Este es un ejemplo de consulta que utiliza la partición de `eventDay`:

```
SELECT *
    FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0
    WHERE eventDay > '{{20230301}}'
    AND src_endpoint.ip = '192.0.2.1'
    ORDER BY time desc
```

Los valores válidos de `eventDay` incluyen la siguiente información:

**Eventos ocurridos en el último año**  
`> cast(date_format(current_timestamp - INTERVAL '1' year, '%Y%m%d%H') as varchar)`

**Eventos ocurridos en el último año**  
`> cast(date_format(current_timestamp - INTERVAL '1' month, '%Y%m%d%H') as varchar)`

**Eventos ocurridos en los últimos 30 días**  
`> cast(date_format(current_timestamp - INTERVAL '30' day, '%Y%m%d%H') as varchar)`

**Eventos ocurridos en las últimas 12 horas**  
`> cast(date_format(current_timestamp - INTERVAL '12' hour, '%Y%m%d%H') as varchar)`

**Eventos ocurridos en los últimos 5 minutos**  
`> cast(date_format(current_timestamp - INTERVAL '5' minute, '%Y%m%d%H') as varchar)`

**Eventos ocurridos entre hace 7 y 14 días**  
`BETWEEN cast(date_format(current_timestamp - INTERVAL '14' day, '%Y%m%d%H') as varchar) and cast(date_format(current_timestamp - INTERVAL '7' day, '%Y%m%d%H') as varchar)`

**Eventos ocurridos en una fecha específica o después de ella**  
`>= '20230301'`

**Ejemplo: lista de todas las CloudTrail actividades de la IP de origen `192.0.2.1` realizadas a partir del 1 de marzo de 2023 en la tabla `cloud_trail_mgmt_1_0`**

```
SELECT *
    FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0
    WHERE eventDay >= '{{20230301}}'
    AND src_endpoint.ip = '192.0.2.1'
    ORDER BY time desc
    LIMIT 25
```

**Ejemplo: lista de toda la CloudTrail actividad de la IP de origen `192.0.2.1` en los últimos 30 días en la tabla `cloud_trail_mgmt_1_0`**

```
SELECT *
    FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0
    WHERE eventDay > cast(date_format(current_timestamp - INTERVAL '{{30}}' day, '%Y%m%d%H') as varchar) 
    AND src_endpoint.ip = '192.0.2.1'
    ORDER BY time desc
    LIMIT 25
```