翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
OpenSearch Service での Amazon Security Lake データのダイレクトクエリ
このセクションでは、Amazon OpenSearch Service でデータソース統合を作成および設定するプロセスについて説明します。これにより、Security Lake に保存されているデータを効率的にクエリおよび分析できます。
以下のページでは、Security Lake のダイレクトクエリ用データソースをセットアップ方法、必要な前提条件の確認方法、 AWS マネジメントコンソールを使用する手順をステップごとに説明します。
トピック
料金
Amazon OpenSearch Service は、Security Lake ダイレクトクエリに対して OpenSearch Compute Unit (OCU) の料金を提供します。直接クエリを実行すると、1 時間あたりの OCUs の料金が発生し、請求には DirectQuery OCU の使用タイプとして表示されます。また、Amazon Security Lake とは別の料金が発生します。
ダイレクトクエリには、インタラクティブビュークエリとインデックス付きビュークエリの 2 つのタイプがあります。
-
インタラクティブクエリは、データセレクタに入力し、Security Lake のデータに対して分析を実行するために使用されます。OpenSearch Service は、拡張セッションを維持せずに、個別の事前ウォームされたジョブで各クエリを処理します。
-
インデックス付きビュークエリは、コンピューティングを使用して OpenSearch Service のインデックス付きビューを維持します。これらのクエリは通常、名前付きインデックスに取り込むデータ量が一定でないため、処理に時間がかかります。Security Lake に接続されたデータソースの場合、インデックス化されたデータは OpenSearch Serverless コレクションに保存され、インデックス化されたデータ (IndexingOCU)、検索されたデータ (SearchOCU)、GB で保存されたデータに対して課金されます。
詳細については、「Amazon OpenSearch Service の料金
制限事項
Security Lake の直接クエリには、次の制限が適用されます。
-
Security Lake とのダイレクトクエリ統合は、OpenSearch Service コレクションと OpenSearch ユーザーインターフェイスでのみ使用できます。
-
OpenSearch Serverless コレクションには、100 MiB のネットワークペイロード制限があります。
-
Security Lake のテーブル管理は Lake Formation で実行されます。
-
Security Lake は、インデックス付きビューとしてマテリアライズドビューのみをサポートします。カバリングインデックスはサポートされていません。
-
AWS CloudFormation テンプレートはまだサポートされていません。
-
OpenSearch SQL ステートメントと OpenSearch PPL ステートメントは、OpenSearch インデックスを使用する場合とダイレクトクエリを使用する場合とでは制限が異なります。ダイレクトクエリでは、JOIN、サブクエリ、ルックアップなどの高度なコマンドがサポートされていますが、OpenSearch インデックスでのこれらのコマンドのサポートは制限されているか、存在していません。詳細については、「サポートされている SQL コマンドと PPL コマンド」を参照してください。
推奨事項
Security Lake で直接クエリを使用する場合は、次のことをお勧めします。
-
Security Lake のステータスを確認し、問題なくスムーズに実行されていることを確認します。トラブルシューティングの詳細な手順については、「Amazon Security Lake ユーザーガイド」の「Troubleshooting Lake Formation issues」を参照してください。
-
クエリアクセスを確認します。
-
Security Lake の委任管理者アカウントとは異なるアカウントから Security Lake にクエリを実行する場合は、Security Lake でクエリアクセス権を持つサブスクライバーを設定します。
-
同じアカウントから Security Lake にクエリを実行する場合は、マネージド S3 バケットを LakeFormation に登録する必要がある旨のメッセージが Security Lake に表示されていないかを確認します。
-
-
クエリテンプレートと構築済みのダッシュボードを調べて、分析をすぐに開始します。
-
Open Cybersecurity Schema Framework (OCSF) と Security Lake について説明します。
-
OCSF GitHub リポジトリ
内の AWS ソースのスキーママッピングの例を確認する -
AWS ソースバージョン 2 (OCSF 1.1.0) の Security Lake クエリにアクセスして、Security Lake を効果的にクエリする方法について説明します。
-
パーティションを使用してクエリのパフォーマンスを向上させる:
accountid、region、およびtime_dt
-
-
Security Lake がクエリ用にサポートしている SQL 構文を使いこなす。詳細については、「サポートされている OpenSearch SQL コマンドと関数」を参照してください。
-
クエリの制限を使用して、データが多すぎないようにします。
クォータ
| 説明 | 値 | ソフト制限? | 注意事項 |
|---|---|---|---|
| ダイレクトクエリ API 全体のアカウントレベルの TPS 制限 | 3 TPS | はい | |
| データソースの最大数 | 20 | はい | 制限は ごとです AWS アカウント。 |
| 自動更新インデックスまたはマテリアライズドビューの最大数 | 30 | はい |
制限はデータソースごとに適用されます。 自動更新が true に設定されているインデックスとマテリアライズドビュー (MV) のみが含まれます。 |
| 最大同時クエリ数 | 30 | はい |
制限は、保留中または実行中状態のクエリに適用されます。 インタラクティブクエリ ( |
| 1 クエリあたりの最大同時 OCU | 512 | はい |
OpenSearch コンピューティングユニット (OCU) 15 個のエグゼキューターと 1 個のドライバーに基づいて制限します。各ドライバーには 16 個の vCPU と 32 GB のメモリがあります。同時処理能力を表します。 |
| 最大クエリ実行時間 (分) | 30 | いいえ | インタラクティブクエリ (SELECT のようなデータ取得コマンドなど) にのみ適用されます。REFRESH クエリの場合、制限は 6 時間です。 |
| 古いクエリ ID を削除する期間 | 90 日間 | はい |
これは、OpenSearch Service が古いエントリのクエリメタデータを消去するまでの期間です。例えば、90 日以上経過したクエリでは、GetDirectQuery または GetDirectQueryResult の呼び出しは失敗します。 |
サポートされる AWS リージョン
Security Lake の直接クエリでは、以下 AWS リージョン がサポートされています。
-
アジアパシフィック (ムンバイ)
-
アジアパシフィック (シンガポール)
-
アジアパシフィック (シドニー)
-
アジアパシフィック (東京)
-
カナダ (中部)
-
欧州 (フランクフルト)
-
欧州 (アイルランド)
-
欧州 (ストックホルム)
-
米国東部 (バージニア北部)
-
米国東部 (オハイオ)
-
米国西部 (オレゴン)
-
欧州 (パリ)
-
欧州 (ロンドン)
-
南米(サンパウロ)
