Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kueri Security Lake untuk AWS sumber versi 1 (OCSF 1.0.0-rc.2)
Bagian berikut memberikan panduan tentang kueri data dari Security Lake dan menyertakan beberapa contoh kueri untuk sumber yang didukung secara asli untuk versi AWS sumber 1.AWS Kueri ini dirancang untuk mengambil data secara spesifik.AWS Region Contoh-contoh ini menggunakan us-east-1 (US East (Virginia N.)). Selain itu, contoh query menggunakan `LIMIT 25` parameter, yang mengembalikan hingga 25 record. Anda dapat menghilangkan parameter ini atau menyesuaikannya berdasarkan preferensi Anda. Untuk contoh lainnya, lihat direktori [Kueri GitHub Amazon Security Lake OCSF](https://github.com/awslabs/aws-security-analytics-bootstrap/tree/main/AWSSecurityAnalyticsBootstrap/amazon_security_lake_queries).
Kueri berikut mencakup filter berbasis waktu yang digunakan `eventDay` untuk memastikan kueri Anda berada dalam pengaturan retensi yang dikonfigurasi. Untuk informasi selengkapnya, lihat [Querying data with retention settings](subscriber-query-examples.md#security-lake-retention-setting-query-data).
Misalnya, jika data yang lebih tua dari 60 hari telah kedaluwarsa, kueri Anda harus menyertakan batasan waktu untuk mencegah mengakses data yang kedaluwarsa. Untuk periode retensi 60 hari, sertakan klausa berikut dalam kueri Anda:
```
...
WHERE eventDay BETWEEN cast(date_format(current_date - INTERVAL '59' day, '%Y%m%d') AS varchar)
AND cast(date_format(current_date, '%Y%m%d') AS varchar)
...
```
Klausul ini menggunakan 59 hari (bukan 60) untuk menghindari data atau waktu tumpang tindih antara Amazon S3 dan Apache Iceberg.
## Tabel sumber log
Saat Anda menanyakan data Security Lake, Anda harus menyertakan nama tabel Lake Formation di mana data berada.
```
SELECT *
FROM amazon_security_lake_glue_db_{{DB_Region}}.amazon_security_lake_table_{{DB_Region}}_{{SECURITY_LAKE_TABLE}}
WHERE eventDay BETWEEN cast(date_format(current_timestamp - INTERVAL '7' day, '%Y%m%d%H') as varchar) and cast(date_format(current_timestamp - INTERVAL '0' day, '%Y%m%d%H') as varchar)
LIMIT {{25}}
```
Nilai umum untuk tabel sumber log meliputi yang berikut:
+ `cloud_trail_mgmt_1_0`— acara AWS CloudTrail manajemen
+ `lambda_execution_1_0`— peristiwa CloudTrail data untuk Lambda
+ `s3_data_1_0`— peristiwa CloudTrail data untuk S3
+ `route53_1_0`- Log kueri penyelesai Amazon Route 53
+ `sh_findings_1_0`—AWS Security Hub CSPM temuan
+ `vpc_flow_1_0`— Log Aliran Amazon Virtual Private Cloud (Amazon VPC)
**Contoh: Semua temuan CSPM Security Hub dalam tabel dari Wilayah `sh_findings_1_0` us-east-1**
```
SELECT *
FROM amazon_security_lake_glue_db_{{us_east_1}}.amazon_security_lake_table_{{us_east_1}}_{{sh_findings_1_0}}
WHERE eventDay BETWEEN cast(date_format(current_timestamp - INTERVAL '7' day, '%Y%m%d%H') as varchar) and cast(date_format(current_timestamp - INTERVAL '0' day, '%Y%m%d%H') as varchar)
LIMIT {{25}}
```
## Database Wilayah
Saat Anda menanyakan data Security Lake, Anda harus menyertakan nama Wilayah database tempat Anda menanyakan data. Untuk daftar lengkap Wilayah basis data tempat Danau Keamanan saat ini tersedia, lihat [titik akhir Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html).
**Contoh: Daftar AWS CloudTrail aktivitas dari sumber IP**
Contoh berikut mencantumkan semua CloudTrail aktivitas dari IP sumber {{192.0.2.1}} yang direkam setelah {{20230301}} (01 Maret 2023), dalam tabel {{cloud\_trail\_mgmt\_1\_0}} dari {{us-east-1}}`DB_Region`.
```
SELECT *
FROM amazon_security_lake_glue_db_{{us_east_1}}.amazon_security_lake_table_{{us_east_1}}_{{cloud_trail_mgmt_1_0}}
WHERE eventDay > '20230301' AND src_endpoint.ip = '192.0.2.1'
ORDER BY time desc
LIMIT {{25}}
```
## Tanggal partisi
Dengan mempartisi data Anda, Anda dapat membatasi jumlah data yang dipindai oleh setiap kueri, sehingga meningkatkan kinerja dan mengurangi biaya. Security Lake mengimplementasikan partisi melalui`eventDay`,`region`, dan parameter. `accountid` `eventDay`partisi menggunakan format`YYYYMMDD`.
Ini adalah contoh query menggunakan `eventDay` partisi:
```
SELECT *
FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0
WHERE eventDay > '{{20230301}}'
AND src_endpoint.ip = '192.0.2.1'
ORDER BY time desc
```
Nilai umum untuk `eventDay` meliputi yang berikut:
**Peristiwa yang terjadi dalam 1 tahun terakhir**
`> cast(date_format(current_timestamp - INTERVAL '1' year, '%Y%m%d%H') as varchar)`
**Peristiwa yang terjadi dalam 1 bulan terakhir**
`> cast(date_format(current_timestamp - INTERVAL '1' month, '%Y%m%d%H') as varchar)`
**Peristiwa yang terjadi dalam 30 hari terakhir**
`> cast(date_format(current_timestamp - INTERVAL '30' day, '%Y%m%d%H') as varchar)`
**Peristiwa yang terjadi dalam 12 jam terakhir**
`> cast(date_format(current_timestamp - INTERVAL '12' hour, '%Y%m%d%H') as varchar)`
**Peristiwa yang terjadi dalam 5 menit terakhir**
`> cast(date_format(current_timestamp - INTERVAL '5' minute, '%Y%m%d%H') as varchar)`
**Peristiwa yang terjadi antara 7-14 hari yang lalu**
`BETWEEN cast(date_format(current_timestamp - INTERVAL '14' day, '%Y%m%d%H') as varchar) and cast(date_format(current_timestamp - INTERVAL '7' day, '%Y%m%d%H') as varchar)`
**Peristiwa yang terjadi pada atau setelah tanggal tertentu**
`>= '20230301'`
**Contoh: Daftar semua CloudTrail aktivitas dari IP sumber `192.0.2.1` pada atau setelah 1 Maret 2023 dalam tabel `cloud_trail_mgmt_1_0`**
```
SELECT *
FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0
WHERE eventDay >= '{{20230301}}'
AND src_endpoint.ip = '192.0.2.1'
ORDER BY time desc
LIMIT 25
```
**Contoh: Daftar semua CloudTrail aktivitas dari sumber IP `192.0.2.1` dalam 30 hari terakhir dalam tabel `cloud_trail_mgmt_1_0`**
```
SELECT *
FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0
WHERE eventDay > cast(date_format(current_timestamp - INTERVAL '{{30}}' day, '%Y%m%d%H') as varchar)
AND src_endpoint.ip = '192.0.2.1'
ORDER BY time desc
LIMIT 25
```