As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Consultas do Security Lake para a versão de AWS origem 1 (OCSF 1.0.0-rc.2)
A seção a seguir fornece orientação sobre como consultar dados do Security Lake e inclui alguns exemplos de consulta para AWS fontes com suporte nativo para a versão de origem 1.AWS Essas consultas são projetadas para recuperar dados em um local específico.Região da AWS Esses exemplos usam us-east-1 (Leste dos EUA (Norte da Virgínia)). Além disso, as consultas de exemplo usam um parâmetro `LIMIT 25`, que retorna até 25 registros. Você pode omitir esse parâmetro ou ajustá-lo com base nas suas preferências. Para obter mais exemplos, consulte o diretório de [consultas GitHub OCSF do Amazon Security Lake](https://github.com/awslabs/aws-security-analytics-bootstrap/tree/main/AWSSecurityAnalyticsBootstrap/amazon_security_lake_queries).
As consultas a seguir incluem filtros baseados em tempo `eventDay` para garantir que sua consulta esteja dentro das configurações de retenção definidas. Para obter mais informações, consulte [Querying data with retention settings](subscriber-query-examples.md#security-lake-retention-setting-query-data).
Por exemplo, se dados com mais de 60 dias expiraram, suas consultas devem incluir restrições de tempo para impedir o acesso a dados expirados. Por um período de retenção de 60 dias, inclua a seguinte cláusula em sua consulta:
```
...
WHERE eventDay BETWEEN cast(date_format(current_date - INTERVAL '59' day, '%Y%m%d') AS varchar)
AND cast(date_format(current_date, '%Y%m%d') AS varchar)
...
```
Essa cláusula usa 59 dias (em vez de 60) para evitar qualquer sobreposição de dados ou tempo entre o Amazon S3 e o Apache Iceberg.
## Tabela de origem do log
Ao consultar dados do Security Lake, você deve incluir o nome da tabela do Lake Formation na qual os dados residem.
```
SELECT *
FROM amazon_security_lake_glue_db_{{DB_Region}}.amazon_security_lake_table_{{DB_Region}}_{{SECURITY_LAKE_TABLE}}
WHERE eventDay BETWEEN cast(date_format(current_timestamp - INTERVAL '7' day, '%Y%m%d%H') as varchar) and cast(date_format(current_timestamp - INTERVAL '0' day, '%Y%m%d%H') as varchar)
LIMIT {{25}}
```
Os valores comuns da tabela de origem do log incluem o seguinte:
+ `cloud_trail_mgmt_1_0`— eventos AWS CloudTrail de gerenciamento
+ `lambda_execution_1_0`— eventos CloudTrail de dados para Lambda
+ `s3_data_1_0`— eventos CloudTrail de dados para S3
+ `route53_1_0` – Logs de consulta do Amazon Route 53 Resolver
+ `sh_findings_1_0`—AWS Security Hub CSPM descobertas
+ `vpc_flow_1_0` – Logs de fluxo do Amazon Virtual Private Cloud (Amazon VPC)
**Exemplo: Todas as descobertas do CSPM do Security Hub na tabela da região `sh_findings_1_0` us-east-1**
```
SELECT *
FROM amazon_security_lake_glue_db_{{us_east_1}}.amazon_security_lake_table_{{us_east_1}}_{{sh_findings_1_0}}
WHERE eventDay BETWEEN cast(date_format(current_timestamp - INTERVAL '7' day, '%Y%m%d%H') as varchar) and cast(date_format(current_timestamp - INTERVAL '0' day, '%Y%m%d%H') as varchar)
LIMIT {{25}}
```
## Região do banco de dados
Ao consultar dados do Security Lake, você deve incluir o nome da região do banco de dados da qual você está consultando os dados. Para obter uma lista completa das regiões do banco de dados em que o Security Lake está disponível atualmente, consulte os [endpoints do Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html).
**Exemplo: Listar AWS CloudTrail atividades do IP de origem**
O exemplo a seguir lista todas as CloudTrail atividades do IP de origem {{192.0.2.1}} que foram registradas após {{20230301}} (01 de março de 2023), na tabela {{cloud\_trail\_mgmt\_1\_0}} do {{us-east-1}}`DB_Region`.
```
SELECT *
FROM amazon_security_lake_glue_db_{{us_east_1}}.amazon_security_lake_table_{{us_east_1}}_{{cloud_trail_mgmt_1_0}}
WHERE eventDay > '20230301' AND src_endpoint.ip = '192.0.2.1'
ORDER BY time desc
LIMIT {{25}}
```
## Data da partição
Ao particionar os dados, você pode restringir a quantidade que cada consulta verifica, melhorando a performance e reduzindo o custo. O Security Lake implementa o particionamento por meio dos parâmetros `eventDay`, `region` e `accountid`. As partições `eventDay` usam o formato `YYYYMMDD`.
Este é um exemplo de consulta usando a partição `eventDay`:
```
SELECT *
FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0
WHERE eventDay > '{{20230301}}'
AND src_endpoint.ip = '192.0.2.1'
ORDER BY time desc
```
Os valores comuns de `eventDay` incluem o seguinte:
**Eventos ocorridos no último 1 ano**
`> cast(date_format(current_timestamp - INTERVAL '1' year, '%Y%m%d%H') as varchar)`
**Eventos ocorridos no último 1 mês**
`> cast(date_format(current_timestamp - INTERVAL '1' month, '%Y%m%d%H') as varchar)`
**Eventos ocorridos nos últimos 30 dias**
`> cast(date_format(current_timestamp - INTERVAL '30' day, '%Y%m%d%H') as varchar)`
**Eventos ocorridos nas últimas 12 horas**
`> cast(date_format(current_timestamp - INTERVAL '12' hour, '%Y%m%d%H') as varchar)`
**Eventos ocorridos nos últimos 5 minutos**
`> cast(date_format(current_timestamp - INTERVAL '5' minute, '%Y%m%d%H') as varchar)`
**Eventos ocorridos entre 7 e 14 dias atrás**
`BETWEEN cast(date_format(current_timestamp - INTERVAL '14' day, '%Y%m%d%H') as varchar) and cast(date_format(current_timestamp - INTERVAL '7' day, '%Y%m%d%H') as varchar)`
**Eventos ocorridos na data específica ou após**
`>= '20230301'`
**Exemplo: lista de todas as CloudTrail atividades do IP de origem `192.0.2.1` em ou após 1º de março de 2023 na tabela `cloud_trail_mgmt_1_0`**
```
SELECT *
FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0
WHERE eventDay >= '{{20230301}}'
AND src_endpoint.ip = '192.0.2.1'
ORDER BY time desc
LIMIT 25
```
**Exemplo: lista de todas as CloudTrail atividades do IP de origem `192.0.2.1` nos últimos 30 dias na tabela `cloud_trail_mgmt_1_0`**
```
SELECT *
FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0
WHERE eventDay > cast(date_format(current_timestamp - INTERVAL '{{30}}' day, '%Y%m%d%H') as varchar)
AND src_endpoint.ip = '192.0.2.1'
ORDER BY time desc
LIMIT 25
```