本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 OpenSearch 控制面板中配置和查询 Security Lake 数据源
现在,您已经创建了数据源,可以在 OpenSearch 仪表板中对其进行设置。
在查询数据之前,本节将引导您了解 OpenSearch 仪表板中数据源的各种用例。首先,您需要在 OpenSearch 仪表板中导航到您的数据源。在左侧菜单的管理下,选择数据来源。然后,选择您之前在 OpenSearch 服务控制台中创建的数据源的名称。
从 Discover 查询 Security Lake 表
如果您已根据 Security Lake 日志创建了表,则现在可以直接从 D OpenSearch iscover 中查询这些表。这使您能够直接通过熟悉的 Discover 界面,无缝访问并分析存储在 Security Lake 中的数据。通过在 Discover 中直接查询 Security Lake,您无需手动提取、转换和加载数据到独立的搜索索引中。为快速开始分析日志,Discover 提供一组 PPL 和 SQL 保存的查询。
首先选择您已配置的数据来源。选择要查询的关联数据库和表,然后使用搜索栏编写针对这些表的查询语句。要了解 Security Lake 集成支持哪些语句、命令和限制,请参阅 支持的 SQL 和 PPL 命令。
要利用 Security Lake 提供的预构建查询,请前往 Discover 界面右上角的 ...,选择打开查询,然后选择模板。在 Security Lake 支持的日志来源中,有许多预先构建的查询可供使用。搜索与使用案例相匹配的模板,复制要在搜索栏中使用的查询,并将模板字段(如区域和操作)替换为您自己的信息。
加速 Discover 的数据
为了提高性能并在中更快地进行后续查询和分析 OpenSearch,您可以将 Discover 中的查询结果提取到 OpenSearch 索引视图中。
创建索引视图
-
从 Discover 中,选择创建索引视图。
-
在查询编辑器中,输入所需查询。您可以在此处创建新查询,也可以使用先前搜索中的现有查询。
-
为新的索引视图指定名称。选择描述性名称,以便日后识别该视图。
-
为索引视图配置数据留存设置。您可以指定数据在索引中保留的时间长度,从而在性能与存储成本之间取得平衡。
-
创建索引视图。创建完成后,您的索引视图即可用于加快查询和分析。
如果您之前已创建过索引视图,则可以通过 Discover 进行访问。
使用现有的索引视图
-
从 Discover 中,选择选择索引视图,以查看 Security Lake 现有索引视图的列表。
-
选择要使用的索引视图。这会将视图应用于您当前的查询,可能显著加快数据检索和分析速度。
为数据来源创建控制面板视图
使用 S OpenSearch ervice 时,您可以使用预先构建的仪表板模板分析常见的 AWS 日志类型。对于安全湖,有 VPC CloudTrail、和 WAF 日志的模板。这些模板可让您创建专为特定数据量身定制的控制面板。其中包括预先构建的查询以及为特定日志类型量身定制的控制面板。这使您能够快速启动并运行分析这些流行的 AWS 日志源,而不必从头开始构建所有内容。
注意
控制面板使用索引视图,这些视图从 Security Lake 提取数据,并用于直接查询和收集计算。
按照以下步骤,使用其中一个预先构建的模板创建控制面板,以便您立即开始探索和分析数据。
创建控制面板视图
-
导航到亚马逊 OpenSearch 服务控制台,网址为https://console.aws.amazon.com/aos/
。 -
在左侧导航窗格中,选择集中管理,然后选择连接的数据来源。
-
选择数据来源以打开详细信息页面。
-
请选择创建控制面板。
-
选择要创建的控制面板类型。
-
输入控制面板的名称。
-
输入控制面板的可选描述。
-
选择一个或多个 AWS Glue 表格以在控制面板上查看。
-
选择刷新控制面板中数据的频率。
-
选择要使用 OpenSearch 的工作空间。
-
要创建新工作区,请选择创建新工作区。
-
要使用现有工作区,请选择选择现有工作区。
-
-
为工作区输入名称。
-
请选择创建控制面板。
问题排查
在某些情况下,返回的结果可能不合预期。如果遇到任何问题,请确保遵循 建议。
