本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 OpenSearch Dashboards 中設定和查詢 Security Lake 資料來源
<a name="direct-query-security-lake-configure"></a>

現在您已建立資料來源，您可以在 OpenSearch Dashboards 中進行設定。

本節會在您查詢資料之前，逐步解說您在 OpenSearch Dashboards 中使用資料來源的各種使用案例。若要開始使用，您需要導覽至 OpenSearch Dashboards 中的資料來源。在左側選單的**管理**下，選擇**資料來源**。然後，選取您先前在 OpenSearch Service 主控台中建立的資料來源名稱。

## 從 Discover 查詢 Security Lake 資料表
<a name="direct-query-security-lake-query-from-discover"></a>

如果您已根據 Security Lake 日誌建立資料表，您現在可以直接從 OpenSearch Discover 查詢這些資料表。這可讓您直接從熟悉的探索界面，無縫存取和分析存放在 Security Lake 中的資料。透過直接從 Discover 查詢 Security Lake，您可以避免手動擷取、轉換資料，並將資料載入個別的搜尋索引。為了快速開始分析日誌，Discover 包含一組 PPL 和 SQL 儲存的查詢。

首先，選取您設定的資料來源。選取您要查詢的相關聯資料庫和資料表，然後使用搜尋列針對您的資料表撰寫查詢。若要了解 Security Lake 整合支援哪些陳述式、命令和限制，請參閱 [支援的 SQL 和 PPL 命令](direct-query-supported-commands.md)。

若要利用 Security Lake 可用的預先建置查詢，請前往 Discover 右上角的 **...**，選擇**開啟查詢**，然後選擇**範本**。Security Lake 支援的日誌來源有許多預先建置的查詢。搜尋符合您使用案例的範本、複製要在搜尋列中使用的查詢，並以您自己的資訊取代範本欄位 （例如區域和動作）。

## 從探索加速資料
<a name="accelerate-security-lake-data-from-discover"></a>

若要在 OpenSearch 中增強效能並啟用更快速的後續查詢和分析，您可以將查詢的結果從探索擷取到 OpenSearch 索引檢視。

**建立索引檢視**

1. 在探索中，選擇**建立索引化檢視**。

1. 在查詢編輯器中，輸入所需的查詢。您可以在這裡建立新的查詢，或使用先前搜尋的現有查詢。

1. 為您的新索引檢視指定名稱。選擇可協助您稍後識別檢視的描述性名稱。

1. 為您的索引檢視設定資料保留設定。您可以指定資料應該保留在索引中多久，讓您平衡效能與儲存成本。

1. 建立索引檢視。建立之後，您的索引檢視將可用於更快速的查詢和分析。

如果您先前已建立索引檢視，您可以從探索存取它們。

**使用現有的索引檢視**

1. 從探索中，選擇**選取索引檢視**以查看 Security Lake 現有索引檢視的清單。

1. 選擇您要使用的索引檢視。這會將檢視套用至您目前的查詢，進而大幅加速資料擷取和分析。

## 為您的資料來源建立儀表板檢視
<a name="direct-query-security-lake-create-dashboard"></a>

使用 OpenSearch Service 時，您可以使用預先建置的儀表板範本來分析熱門 AWS 日誌類型。對於 Security Lake，有 VPC、CloudTrail 和 WAF 日誌的範本。這些範本可讓您建立專為特定資料量身打造的儀表板。其中包括針對該特定日誌類型量身打造的預先建置查詢和儀表板。這可讓您快速開始並執行分析這些熱門 AWS 日誌來源，而無需從頭開始建置所有項目。

**注意**  
儀表板使用索引檢視，從 Security Lake 擷取資料並有助於直接查詢和收集運算。

請依照下列步驟，使用其中一個預先建置的範本來建立儀表板，讓您可以立即開始探索和分析資料。

**建立儀表板檢視**

1. 在 [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/) 瀏覽至 Amazon OpenSearch Service 主控台。

1. 從左側導覽窗格中，選擇**中央管理**，然後選擇**已連線的資料來源**。

1. 選取資料來源以開啟詳細資訊頁面。

1. 選擇 **Create dashboard (建立儀表板)**。

1. 選擇您要建立的儀表板類型。

1. 輸入儀表板的名稱。

1. 輸入儀表板的選用描述。

1. 選取要在儀表板上檢視的一或多個 AWS Glue 資料表。

1. 選擇您要重新整理儀表板中資料的頻率。

1. 選擇您要使用的 OpenSearch 工作區。

   1. 若要建立新的工作區，請選取**建立新的工作區**。

   1. 若要使用現有的工作區，請選取**選取現有的工作區**。

1. 輸入工作區的名稱。

1. 選擇 **Create dashboard (建立儀表板)**。

## 疑難排解
<a name="security-lake-troubleshooting"></a>

在某些情況下，結果可能無法如預期傳回。如果您遇到任何問題，請確定您正在遵循 [建議](direct-query-security-lake-overview.md#direct-query-security-lake-recommendations)。