기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# OpenSearch Dashboards에서 Security Lake 데이터 소스 구성 및 쿼리
<a name="direct-query-security-lake-configure"></a>

이제 데이터 소스를 생성했으므로 OpenSearch Dashboards에서 설정할 수 있습니다.

실제로 데이터를 쿼리하기 전에, 이 섹션에서 OpenSearch 대시보드의 다양한 데이터 소스 사용 사례를 살펴보겠습니다. 시작하려면 OpenSearch Dashboards에서 데이터 소스로 이동해야 합니다. 왼쪽 메뉴에서 **데이터 관리** 아래에 있는 **데이터 소스**를 선택합니다. 그런 다음 OpenSearch Service 콘솔에서 이전에 생성한 데이터 소스의 이름을 선택합니다.

## Discover에서 Security Lake 테이블 쿼리
<a name="direct-query-security-lake-query-from-discover"></a>

Security Lake 로그를 기반으로 테이블을 생성했으면 이제 OpenSearch Discover에서 해당 테이블을 직접 쿼리할 수 있습니다. 이를 통해 익숙한 Discover 인터페이스에서 직접 Security Lake에 저장된 데이터에 원활하게 액세스하고 분석할 수 있습니다. Discover에서 직접 Security Lake를 쿼리하면 데이터를 수동으로 추출 및 변환하고 별도의 검색 인덱스로 로드할 필요가 없습니다. 로그 분석을 빠르게 시작할 수 있도록 Discover에는 PPL 및 SQL 저장 쿼리 세트가 포함되어 있습니다.

먼저, 구성한 데이터 소스를 선택합니다. 쿼리하려는 연결된 데이터베이스와 테이블을 선택한 다음, 검색 창을 사용하여 테이블에 대한 쿼리를 작성합니다. Security Lake 통합에 지원되는 문, 명령 및 제한 사항을 알아보려면 [지원되는 SQL 및 PPL 명령](direct-query-supported-commands.md) 섹션을 참조하세요.

Security Lake에서 사용할 수 있는 사전 구축된 쿼리를 활용하려면, Discover 오른쪽 상단의 **...**로 이동하여 **쿼리 열기**를 선택한 다음 **템플릿**을 선택합니다. Security Lake에서는 여러 사전 빌드된 쿼리를 로그 소스에 사용할 수 있습니다. 사용 사례와 일치하는 템플릿을 검색하고, 검색 창에 사용할 쿼리를 복사하고, 템플릿 필드(예: 리전 및 작업)를 자체 정보로 바꿉니다.

## Discover에서 데이터 가속화
<a name="accelerate-security-lake-data-from-discover"></a>

OpenSearch에서 성능을 개선하고 후속 쿼리 및 분석을 더 빠르게 활성화하기 위해 Discover의 쿼리 결과를 OpenSearch 인덱싱된 뷰로 수집할 수 있습니다.

**인덱싱된 뷰를 생성하려면**

1. Discover에서 **인덱싱된 뷰 생성**을 선택합니다.

1. 쿼리 편집기에서 원하는 쿼리를 입력합니다. 여기에서 새 쿼리를 생성하거나 이전 검색에서 생성한 기존 쿼리를 사용할 수 있습니다.

1. 새 인덱싱된 뷰의 이름을 지정합니다. 나중에 뷰를 식별하기 쉽도록 알아보기 쉬운 이름을 선택합니다.

1. 인덱싱된 뷰에 대한 데이터 보존 설정을 구성합니다. 데이터를 인덱스에 보관하는 기간을 지정하여 성능과 스토리지 비용의 균형을 맞출 수 있습니다.

1. 인덱싱된 뷰를 생성합니다. 생성된 후에는 더 빠른 쿼리 및 분석을 위해 인덱싱된 뷰를 사용할 수 있습니다.

이전에 인덱싱된 뷰를 생성한 경우 검색에서 액세스할 수 있습니다.

**기존 인덱싱된 뷰를 사용하려면**

1. Discover에서 **인덱싱된 뷰 선택**을 선택하여 Security Lake에 대한 기존 인덱싱된 뷰 목록을 표시합니다.

1. 사용할 인덱싱된 뷰를 선택합니다. 이렇게 하면 현재 쿼리에 보기가 적용되므로 데이터 검색 및 분석 속도가 대폭 향상될 수 있습니다.

## 데이터 소스에 대한 대시보드 보기 생성
<a name="direct-query-security-lake-create-dashboard"></a>

OpenSearch Service를 사용하는 경우 사전 구축된 대시보드 템플릿을 사용하여 널리 사용되는 AWS 로그 유형을 분석할 수 있습니다. Security Lake에는 VPC, CloudTrail 및 WAF 로그용 템플릿이 있습니다. 이러한 템플릿을 사용하면 특정 데이터에 맞는 대시보드를 생성할 수 있습니다. 여기에는 해당 특정 로그 유형에 맞게 조정된 사전 빌드된 쿼리와 대시보드가 포함됩니다. 이렇게 하면 처음부터 모든 것을 빌드할 필요 없이 널리 사용되는 로그 AWS 소스를 빠르게 분석하여 실행할 수 있습니다.

**참고**  
Dashboards는 Security Lake에서 데이터를 수집하고 직접 쿼리 및 수집 컴퓨팅에 기여하는 인덱싱된 뷰를 사용합니다.

다음 단계에 따라 이러한 사전 구축된 템플릿 중 하나를 사용하여 대시보드를 생성하면 데이터를 즉시 탐색하고 분석할 수 있습니다.

**대시보드 보기를 생성하려면**

1. Amazon OpenSearch Service 콘솔([https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/))로 이동합니다.

1. 왼쪽 탐색 창에서 **중앙 관리**를 선택한 다음 **연결된 데이터 소스**를 선택합니다.

1. 데이터 소스를 선택하여 세부 정보 페이지를 엽니다.

1. **대시보드 생성**을 선택합니다.

1. 생성할 대시보드 유형을 선택합니다.

1. 대시보드의 이름을 입력합니다.

1. 대시보드에 대한 설명(선택 사항)을 입력합니다.

1. 대시보드에서 볼 AWS Glue 테이블을 하나 이상 선택합니다.

1. 대시보드에서 데이터를 새로 고칠 빈도를 선택합니다.

1. 사용할 OpenSearch 워크스페이스를 선택합니다.

   1. 새 워크스페이스를 생성하려면 **워크스페이스 생성**을 선택합니다.

   1. 기존 워크스페이스를 사용하려면 **기존 워크스페이스 선택**을 선택합니다.

1. 워크스페이스의 이름을 입력합니다.

1. **대시보드 생성**을 선택합니다.

## 문제 해결
<a name="security-lake-troubleshooting"></a>

결과가 예상대로 반환되지 않는 경우가 있을 수 있습니다. 문제가 발생하는 경우를 [권장 사항](direct-query-security-lake-overview.md#direct-query-security-lake-recommendations)의 지침을 따르고 있는지 확인합니다.