Behebung von Problemen mit der Beweiserhebung - AWS Audit Manager
Ich kann die Beweiserhebung nicht aktivierenIch habe die Beweiserhebung aktiviert, sehe aber in meinen Suchergebnissen keine Beweise aus der VergangenheitIch kann die Beweiserhebung nicht deaktivierenMeine Suchanfrage schlägt fehlIch sehe, dass eine Kontrolldomäne als „veraltet“ markiert ist. Was bedeutet das?Ich kann aus meinen Suchergebnissen nicht mehrere Bewertungsberichte erstellenIch kann keine spezifischen Beweise aus meinen Suchergebnissen hinzufügenNicht alle meine Beweiserhebungsergebnisse sind im Bewertungsbericht enthaltenIch möchte aus meinen Suchergebnissen einen Bewertungsbericht erstellen, aber meine Anfrage schlägt fehlWeitere RessourcenMein CSV Export ist fehlgeschlagenIch kann keine bestimmten Beweise aus meinen Suchergebnissen exportierenIch kann nicht mehrere CSV Dateien gleichzeitig exportieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Behebung von Problemen mit der Beweiserhebung

Verwenden Sie die Informationen auf dieser Seite, um häufig auftretende Probleme mit der Beweiserhebung in Audit Manager zu lösen.

Allgemeine Probleme mit der Beweiserhebung
Probleme mit dem Beweiserhebungs-Bewertungsbericht
Probleme beim CSV Export von Evidence Finder

Ich kann die Beweiserhebung nicht aktivieren

Häufige Gründe, warum Sie die Beweiserhebung nicht aktivieren können, bestehen in den folgenden Situationen:

Ihnen fehlen Berechtigungen

Wenn Sie zum ersten Mal versuchen, Evidence Finder zu aktivieren, stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen verfügen, um Evidence Finder zu aktivieren. Diese Berechtigungen ermöglichen es Ihnen, einen Ereignisdatenspeicher in CloudTrail Lake zu erstellen und zu verwalten, der zur Unterstützung von Suchanfragen im Evidence Finder erforderlich ist. Mit den Berechtigungen können Sie dann Beweiserhebungsanfragen durchführen.

Wenn Sie Hilfe mit den Berechtigungen benötigen, wenden Sie sich an Ihren AWS Administrator. Wenn Sie ein AWS Administrator sind, können Sie die erforderliche Berechtigungserklärung kopieren und an eine IAM Richtlinie anhängen.

Sie verwenden Ihr Organizations-Verwaltungskonto

Berücksichtigen Sie, dass Sie Ihr Verwaltungskonto nicht verwenden können, um die Beweiserhebung zu aktivieren. Melden Sie sich als delegiertes Administratorkonto an, und versuchen Sie es erneut.

Sie haben die Beweiserhebung zuvor deaktiviert

Die erneute Aktivierung der Beweiserhebung wird derzeit nicht unterstützt. Wenn Sie die Beweiserhebung zuvor deaktiviert haben, können Sie sie nicht erneut aktivieren.

Ich habe die Beweiserhebung aktiviert, sehe aber in meinen Suchergebnissen keine Beweise aus der Vergangenheit

Wenn Sie die Beweiserhebung aktivieren, dauert es bis zu 7 Tage, bis all Ihre Daten zu früheren Beweisen verfügbar sind.

Während dieses Zeitraums von 7 Tagen wird ein Ereignisdatenspeicher mit Beweisdaten aus den letzten zwei Jahren aufgefüllt. Das bedeutet, dass, wenn Sie die Beweiserhebung unmittelbar nach der Aktivierung verwenden, nicht alle Ergebnisse verfügbar sind, bis der Vorgang abgeschlossen ist.

Anweisungen, wie Sie den Status des Daten-Backfills überprüfen können, finden Sie unterBestätigung des Status von Evidence Finder .

Ich kann die Beweiserhebung nicht deaktivieren

Dies kann durch einen der folgenden Gründe bedingt sein.

Ihnen fehlen Berechtigungen

Wenn Sie versuchen, Evidence Finder zu deaktivieren, vergewissern Sie sich, dass Sie über die erforderlichen Berechtigungen verfügen, um Evidence Finder zu deaktivieren. Mit diesen Berechtigungen können Sie einen Ereignisdatenspeicher in CloudTrail Lake aktualisieren und löschen. Dies ist erforderlich, um den Evidence Finder zu deaktivieren.

Wenn Sie Hilfe mit den Berechtigungen benötigen, wenden Sie sich an Ihren AWS Administrator. Wenn Sie ein AWS Administrator sind, können Sie die erforderliche Berechtigungserklärung kopieren und an eine IAM Richtlinie anhängen.

Eine Anfrage zur Aktivierung der Beweiserhebung ist noch in Bearbeitung

Wenn Sie die Aktivierung der Beweiserhebung beantragen, erstellen wir einen Ereignisdatenspeicher, der Anfragen zur Beweiserhebung unterstützt. Sie können die Beweiserhebung nicht deaktivieren, während der Ereignisdatenspeicher erstellt wird.

Warten Sie, bis der Ereignisdatenspeicher erstellt wurde, und versuchen Sie es erneut, um fortzufahren. Weitere Informationen finden Sie unter Bestätigung des Status von Evidence Finder .

Sie haben bereits beantragt, die Beweiserhebung zu deaktivieren

Wenn Sie die Deaktivierung der Beweiserhebung beantragen, löschen wir den Ereignisdatenspeicher, der für Beweiserhebungsanfragen verwendet wird. Wenn Sie erneut versuchen, die Beweiserhebung zu deaktivieren, während der Ereignisdatenspeicher gelöscht wird, erhalten Sie eine Fehlermeldung.

In diesem Fall ist keine Aktion erforderlich. Warten Sie, bis der Ereignisdatenspeicher gelöscht ist. Sobald dieser Vorgang abgeschlossen ist, ist die Beweiserhebung deaktiviert. Weitere Informationen finden Sie unter Bestätigung des Status von Evidence Finder .

Meine Suchanfrage schlägt fehl

Eine fehlgeschlagene Suchanfrage kann einen der folgenden Gründe haben:

Ihnen fehlen Berechtigungen

Stellen Sie sicher, dass der Benutzer über die erforderlichen Berechtigungen verfügt, um Suchanfragen auszuführen und auf die Suchergebnisse zuzugreifen. Insbesondere benötigen Sie Berechtigungen für die folgenden CloudTrail Aktionen:

Wenn Sie Hilfe mit Berechtigungen benötigen, wenden Sie sich an Ihren AWS Administrator. Wenn Sie ein AWS Administrator sind, können Sie die erforderliche Berechtigungserklärung kopieren und an eine IAM Richtlinie anhängen.

Sie führen die maximale Anzahl von Anfragen aus

Sie können bis zu 5 Anfragen gleichzeitig ausführen. Wenn Sie die maximale Anzahl gleichzeitiger Anfragen ausführen, führt dies zu einem MaxConcurrentQueriesException-Fehler. Wenn Sie diese Fehlermeldung erhalten, warten Sie eine Minute, bis einige Anfragen abgeschlossen sind, und führen Sie die Anfrage dann erneut aus.

Ihre Anfrageanweisung weist einen Validierungsfehler auf

Wenn Sie den Vorgang API oder verwendenCLI, um den CloudTrail StartQueryLake-Vorgang auszuführen, stellen Sie sicher, dass Ihr Vorgang gültig queryStatement ist. Wenn die Anfrageanweisung Validierungsfehler, falsche Syntax oder nicht unterstützte Schlüsselwörter enthält, führt dies zu einem InvalidQueryStatementException.

Weitere Informationen zum Schreiben einer Anfrage finden Sie unter Erstellen oder Bearbeiten einer Anfrage im AWS CloudTrail -Benutzerhandbuch.

Beispiele für gültige Syntax finden Sie in den folgenden Beispielen für Anfrageanweisungen, die zur Anfrage eines Audit Manager-Ereignisdatenspeichers verwendet werden können.

Beispiel 1: Untersuchen Sie Beweise und deren Konformitätsstatus

In diesem Beispiel werden Beweise mit beliebigem Konformitätsstatus in allen Bewertungen innerhalb eines bestimmten Zeitraums gefunden. 

SELECT eventData.evidenceId, eventData.resourceArn, eventData.resourceComplianceCheck FROM $EDS_ID WHERE eventTime > '2022-11-02 00:00:00.000' AND eventTime < '2022-11-03 00:00:00.000'
Beispiel 2: Ermitteln Sie die Nichtkonformität von Beweisen für eine Kontrolle

In diesem Beispiel werden alle nicht konformen Beweise in einem angegebenen Datumsbereich für eine bestimmte Bewertung und Kontrolle gefunden. 

SELECT * FROM $EDS_ID WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' AND eventData.resourceComplianceCheck IN ('NON_COMPLIANT','FAILED','WARNING') AND eventData.controlId IN ('aa11bb22-cc33-dd44-ee55-ff66gg77hh88')
Beispiel 3: Zählen Sie Beweise nach Namen

In diesem Beispiel werden die gesamten Beweise für eine Bewertung in einem bestimmten Zeitraum aufgeführt, gruppiert nach Namen und sortiert nach Anzahl der Beweise. 

SELECT eventData.eventName as eventName, COUNT(*) as totalEvidence FROM  $EDS_ID WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' GROUP BY eventData.eventName ORDER BY totalEvidence DESC
Beispiel 4: Untersuchen Sie die Beweise nach Datenquelle und Dienst

In diesem Beispiel werden alle Beweise in einem angegebenen Datumsbereich für eine bestimmte Datenquelle und einen bestimmten Dienst gefunden. 

SELECT * FROM $EDS_ID WHERE eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' AND eventData.service IN ('dynamodb') AND eventData.dataSource IN ('AWS API calls')
Beispiel 5: Untersuchen Sie konforme Beweise nach Datenquelle und Kontrolldomain

In diesem Beispiel werden konforme Beweise für bestimmte Kontrolldomänen gefunden, wobei die Beweise aus einer Datenquelle stammen, die nicht AWS Config ist. 

 SELECT * FROM $EDS_ID WHERE eventData.resourceComplianceCheck IN ('PASSED','COMPLIANT') AND eventData.controlDomainName IN ('Logging and monitoring','Data security and privacy') AND eventData.dataSource NOT IN ('AWS Config')
Andere API Ausnahmen

Sie StartQueryAPIkönnten aus verschiedenen anderen Gründen fehlschlagen. Eine vollständige Liste möglicher Fehler und Beschreibungen finden Sie unter StartQuery Fehler in der AWS CloudTrail APIReferenz.

Ich sehe, dass eine Kontrolldomäne als „veraltet“ markiert ist. Was bedeutet das?

Wenn Sie im Evidence Finder einen Kontrolldomänenfilter anwenden, stellen Sie möglicherweise fest, dass einige verfügbare Kontrolldomänen als veraltet beschrieben werden.

Screenshot eines veralteten Kontrolldomänenfilters im Evidence Finder.

Ab dem 6. Juni 2024 unterstützt Audit Manager eine neue Reihe von Kontrolldomänen, die von AWS Control Catalog bereitgestellt werden. Eine Liste dieser Kontrolldomänen finden Sie ListDomainsin der AWS Control Catalog API Reference.

Wenn eine Kontrolldomäne als veraltet markiert ist, bedeutet dies, dass es sich bei der angezeigten Kontrolldomäne nicht um eine der neuen Kontrolldomänen handelt, die von AWS Control Catalog bereitgestellt werden. Audit Manager unterstützt diese veralteten Kontrolldomänen weiterhin, sodass Sie sie weiterhin als Kriterien für die Suche nach Beweisen verwenden können.

Wir unterstützen zwar weiterhin die veralteten Kontrolldomänen, empfehlen Ihnen jedoch, stattdessen die neuen Kontrolldomänen zu verwenden. Die neuen Kontrolldomänen sind den aktualisierten Standardsteuerungen zugeordnet, die am 6. Juni 2024 als Teil der Common Controls Library eingeführt wurden. An diesem Tag haben wir aktualisierte Standardkontrollen veröffentlicht, mit denen Beweise aus AWS verwalteten Quellen gesammelt werden können. Das bedeutet, dass Audit Manager jedes Mal, wenn die zugrunde liegenden Datenquellen für eine gemeinsame oder zentrale Kontrolle aktualisiert werden, dieselbe Aktualisierung automatisch auf alle zugehörigen Standardkontrollen anwendet.

Ich kann aus meinen Suchergebnissen nicht mehrere Bewertungsberichte erstellen

Dieser Fehler wird dadurch verursacht, dass zu viele CloudTrail Lake-Abfragen gleichzeitig ausgeführt werden.

Dieser Fehler kann auftreten, wenn Sie Ihre Suchergebnisse gruppieren und versuchen, sofort Bewertungsberichte für jeden einzelnen Eintrag in Ihren gruppierten Ergebnissen zu erstellen. Wenn Sie Ihre Suchergebnisse abrufen und einen Bewertungsbericht erstellen, ruft jede Aktion eine Anfrage auf. Sie können nur bis zu fünf Anfragen gleichzeitig ausführen. Wenn Sie die maximale Anzahl gleichzeitiger Anfragen ausführen, wird ein MaxConcurrentQueriesException-Fehler zurückgegeben.

Um diesen Fehler zu vermeiden, stellen Sie sicher, dass Sie nicht zu viele Bewertungsberichte gleichzeitig generieren. Wenn Sie die maximale Anzahl gleichzeitiger Anfragen ausführen, wird ein MaxConcurrentQueriesException-Fehler zurückgegeben. Wenn Sie diese Fehlermeldung erhalten, warten Sie einige Minuten, bis Ihre in Bearbeitung befindlichen Bewertungsberichte abgeschlossen sind.

Sie können den Status Ihrer Bewertungsberichte auf der Download-Center-Seite in der Audit Manager-Konsole überprüfen. Wenn Ihre Berichte fertig sind, kehren Sie zu Ihren gruppierten Ergebnissen in der Beweiserhebung zurück. Anschließend können Sie mit dem Abrufen der Ergebnisse fortfahren und für jede Position einen Bewertungsbericht erstellen.

Ich kann keine spezifischen Beweise aus meinen Suchergebnissen hinzufügen

Alle Ihre Suchergebnisse sind im Bewertungsbericht enthalten. Sie können einzelne Zeilen aus Ihren Suchergebnissen nicht selektiv hinzufügen.

Wenn Sie nur bestimmte Suchergebnisse in den Bewertungsbericht aufnehmen möchten, empfehlen wir Ihnen, Ihre aktuellen Suchfilter zu bearbeiten. Auf diese Weise können Sie Ihre Ergebnisse so eingrenzen, dass sie nur auf die Beweise abzielen, die Sie in den Bericht aufnehmen möchten.

Nicht alle meine Beweiserhebungsergebnisse sind im Bewertungsbericht enthalten

Wenn Sie einen Bewertungsbericht erstellen, ist die Anzahl der Beweise, die Sie hinzufügen können, begrenzt. Das Limit basiert auf Ihrer Bewertung, der Region AWS-Region des S3-Buckets, der als Ziel für Ihren Bewertungsbericht verwendet wird, und darauf, ob Ihre Bewertung einen vom Kunden verwalteten Bereich verwendet AWS KMS key.

  1. Die Obergrenze liegt bei 22.000 für Berichte in derselben Region (bei denen sich der S3-Bucket und die Bewertung im selben AWS-Region befinden).

  2. Die Obergrenze liegt bei 3.500 für regionsübergreifende Berichte (bei denen sich der AWS-Regionen des S3-Bucket und der Bewertung unterscheiden).

  3. Das Limit liegt bei 3.500, wenn für die Bewertung ein vom Kunden verwalteter KMS Schlüssel verwendet wird

Wenn Sie diese Grenze überschreiten, wird der Bericht trotzdem erstellt. Audit Manager fügt dem Bericht jedoch nur die ersten 3.500 oder 22.000 Beweiselemente hinzu.

Um dieses Problem zu vermeiden, empfehlen wir Ihnen, Ihre aktuellen Suchfilter zu bearbeiten. Auf diese Weise können Sie Ihre Suchergebnisse reduzieren, indem Sie auf eine geringere Anzahl von Beweisen abzielen. Bei Bedarf können Sie diese Methode wiederholen und mehrere kleinere Bewertungsberichte anstelle eines größeren Berichts erstellen.

Ich möchte aus meinen Suchergebnissen einen Bewertungsbericht erstellen, aber meine Anfrage schlägt fehl

Wenn Sie den verwenden CreateAssessmentReportAPIund Ihre Abfrageanweisung eine Validierungsausnahme zurückgibt, finden Sie in der folgenden Tabelle Anleitungen zur Behebung des Problems.

Anmerkung

Selbst wenn eine Abfrageanweisung funktioniert CloudTrail, ist dieselbe Abfrage möglicherweise nicht für die Erstellung von Bewertungsberichten in Audit Manager gültig. Dies liegt an einigen Unterschieden bei der Anfragevalidierung zwischen den beiden Diensten.

Klausel Problem Lösung Hinweise

SELECT

Die SELECT-Klausel enthält einen Spaltennamen

Entfernen Sie die SELECT-Klausel und ersetzen Sie sie durch SELECT eventJson.

Nur SELECT eventJson wird unterstützt.

Diese Validierung wird von Audit Manager durchgeführt.

FROM

Die FROM-Klausel enthält eine ungültige ID für den Ereignisdatenspeicher

or

Die angegebene Ereignisdatenspeicher-ID stimmt nicht mit der Ereignisdatenspeicher-ID in Ihren Audit Manager-Einstellungen überein

Entfernen Sie die FROM-Klausel und ersetzen Sie sie durch FROM edsID, wobei der Wert von edsID der ID des Ereignisdatenspeichers entspricht, die in Ihren Audit Manager-Einstellungen angegeben ist.

Sie können den ARN Ereignisdatenspeicher aus Ihren Audit Manager Manager-Einstellungen abrufen. Weitere Informationen finden Sie GetSettingsin der AWS Audit Manager APIReferenz.

 Diese Validierung wird von Audit Manager durchgeführt.

GROUP BY

In der Anfrage ist eine GROUP BY-Klausel vorhanden

Entfernen Sie die GROUP BY-Klausel.

 Diese Validierung wird von Audit Manager durchgeführt.

HAVING

In der Anfrage ist eine HAVING-Klausel vorhanden

Entfernen Sie die HAVING-Klausel.

 Diese Validierung wird von Audit Manager durchgeführt.

LIMIT

Die LIMIT-Klausel enthält einen Wert, der den maximal zulässigen Grenzwert überschreitet

Wenn die LIMIT-Klausel existiert, stellen Sie sicher, dass ihr Wert gleich oder kleiner als der maximal unterstützte Grenzwert ist:

  • Für Berichte aus derselben Region liegt der Grenzwert bei 22.000;

  • Für regionsübergreifende Berichte liegt der Grenzwert bei 3.500;

  • Für Berichte, in denen für die zugehörige Bewertung ein vom Kunden verwalteter Benutzer verwendet wird AWS KMS key, liegt der Grenzwert bei 3.500

In der Konsole gibt es keine Beschränkungen in Bezug auf die Anzahl der Beweisergebnisse, die zurückgegeben werden können. Bei der Erstellung eines Bewertungsberichts gilt jedoch eine Obergrenze für die Anzahl der Beweise, die Sie hinzufügen können.

Wenn in Ihrer Anfrageanweisung kein LIMIT-Wert angegeben ist, werden die standardmäßigen Höchstgrenzen angewendet.

Diese Validierung wird von Audit Manager durchgeführt.

ORDER BY

Die ORDER BY-Klausel enthält Aggregat-Funktionen oder Aliase, die in der SELECT-Klausel nicht enthalten sind

Stellen Sie sicher, dass die ORDER BY-Klausel keine Bedingungen enthält, die Aggregat-Funktionen oder Aliase verwenden.

 Diese Validierung wird von der CloudTrail StartQuery API durchgeführt.

WHERE

Die WHERE-Klausel enthält mehr als eine assessmentId

or

Die WHERE-Klausel enthält eine assessmentId, die nicht mit der assessmentId in Ihrer createAssessmentReport Anfrage übereinstimmt

or

Die WHERE-Klausel enthält einen Spaltennamen, der nicht unterstützt wird

Stellen Sie sicher, dass nur eine AssessmentID angegeben ist und dass diese mit dem assessmentId Parameter übereinstimmt, den Sie in der createAssessmentReport API Anfrage angegeben haben.

Entfernen Sie alle nicht unterstützten Spaltennamen.

 Diese Überprüfung wird von der durchgeführt. CloudTrail StartQuery API

Beispiele

Die folgenden Beispiele zeigen, wie Sie den queryStatement Parameter beim Aufrufen der CreateAssessmentReportOperation verwenden können. Bevor Sie diese Abfragen verwenden, ersetzen Sie placeholder text durch Ihre eigenen assessmentId Werte edsId und Werte.

Beispiel 1: Einen Bericht erstellen (es gilt das Limit für dieselbe Region)

In diesem Beispiel wird ein Bericht erstellt, der Ergebnisse für S3-Buckets enthält, die zwischen dem 22. und 23. Januar 2022 erstellt wurden.

SELECT eventJson FROM 12345678-abcd-1234-abcd-123456789012 WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-01-22 00:00:00.000' AND eventTime < '2022-01-23 00:00:00.000' AND eventName='CreateBucket' LIMIT 22000
Beispiel 2: Einen Bericht erstellen (es gilt ein regionsübergreifendes Limit)

In diesem Beispiel wird ein Bericht erstellt, der alle Ergebnisse für den angegebenen Ereignisdatenspeicher und die angegebene Bewertung enthält, ohne dass ein Datumsbereich angegeben ist.

SELECT eventJson FROM 12345678-abcd-1234-abcd-123456789012 WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' LIMIT 7000
Beispiel 3: Erstellen eines Berichts (unter dem Standardlimit)

In diesem Beispiel wird ein Bericht erstellt, der alle Ergebnisse für den angegebenen Ereignisdatenspeicher und die angegebene Bewertung enthält, wobei der Grenzwert unter dem Standardmaximum liegt.

SELECT eventJson FROM 12345678-abcd-1234-abcd-123456789012 WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' LIMIT 2000

Weitere Ressourcen

Die folgende Seite enthält allgemeine Anleitungen zur Fehlerbehebung bei Bewertungsberichten:

Mein CSV Export ist fehlgeschlagen

Ihr CSV Export kann aus einer Reihe von Gründen fehlschlagen. Sie können dieses Problem beheben, indem Sie die häufigsten Ursachen überprüfen.

Stellen Sie zunächst sicher, dass Sie die Voraussetzungen für die Verwendung der CSV Exportfunktion erfüllen:

Sie haben die Beweiserhebung erfolgreich aktiviert

Wenn Sie die Beweiserhebung nicht aktiviert haben, können Sie keine Suchanfrage ausführen und Ihre Suchergebnisse nicht exportieren.

Das Auffüllen Ihres Ereignisdatenspeichers ist abgeschlossen

Wenn Sie die Beweiserhebung unmittelbar nach der Aktivierung verwenden und das Auffüllen von Beweisen noch nicht abgeschlossen ist, kann es sein, dass einige Ergebnisse nicht verfügbar sind. Informationen zum Überprüfen des Verfüllstatus finden Sie unterBestätigung des Status von Evidence Finder .

Ihre Suchanfrage war erfolgreich

Audit Manager kann die Ergebnisse einer fehlgeschlagenen Anfrage nicht exportieren. Informationen zur Behebung einer fehlgeschlagenen Anfrage finden Sie unter Meine Suchanfrage schlägt fehl.

Nachdem Sie bestätigt haben, dass Sie die Voraussetzungen erfüllen, können Sie anhand der folgenden Checkliste nach potenziellen Problemen suchen:

  1. Überprüfen Sie den Status der Suchanfrage:

    1. Wurde die Anfrage storniert? Die Beweiserhebung zeigt Teilergebnisse an, die vor dem Abbruch der Anfrage verarbeitet wurden. Audit Manager exportiert jedoch keine Teilergebnisse in Ihren S3-Bucket oder das Download-Center.

    2. Läuft die Anfrage seit über einer Stunde? Abfragen, die länger als eine Stunde laufen, können ablaufen. Die Beweiserhebung zeigt Teilergebnisse an, die vor dem Timeout der Anfrage verarbeitet wurden. Audit Manager exportiert jedoch keine Teilergebnisse. Um eine Zeitüberschreitung zu vermeiden, können Sie die Anzahl der gescannten Beweise reduzieren, indem Bearbeiten von Suchfiltern Sie einen engeren Zeitraum angeben.

  2. Überprüfen Sie den Namen und den Ihres URI S3-Buckets für das Exportziel:

    1. Existiert der von Ihnen angegebene Bucket? Wenn Sie einen Bucket manuell eingegeben habenURI, stellen Sie sicher, dass Sie nichts falsch eingegeben haben. Ein Tippfehler oder eine falsche Angabe URI kann zu einem RESOURCE_NOT_FOUND Fehler führen, wenn Audit Manager versucht, die CSV Datei nach Amazon S3 zu exportieren.

  3. Überprüfen Sie die Berechtigungen Ihres S3-Buckets für Ihr Exportziel:

    1. Verfügen Sie über Schreibberechtigungen für den S3-Bucket? Sie müssen über Schreibberechtigungen für den S3-Bucket verfügen, der als Exportziel verwendet wird. Genauer gesagt muss die IAM Berechtigungsrichtlinie eine s3:PutObject Aktion und den Bucket ARN enthalten und CloudTrail als Service Principal auflisten. Wir stellen Ihnen eine Beispielrichtlinie zur Verfügung, die Sie befolgen können.

  4. Prüfen Sie, ob Ihre AWS-Region Informationen nicht übereinstimmen:

    1. Stimmt AWS-Region der Schlüssel Ihres vom Kunden verwalteten AWS-Region Schlüssels mit Ihrer Bewertung überein? Wenn Sie einen vom Kunden verwalteten Schlüssel für die Datenverschlüsselung angegeben haben, muss dieser im selben AWS-Region hinterlegt sein, wie Ihre Bewertung. Anweisungen zum Ändern des KMS Schlüssels finden Sie unterKonfiguration Ihrer Datenverschlüsselungseinstellungen.

  5. Überprüfen Sie die Berechtigungen Ihres delegierten Administratorkontos:

    1. Erteilt der vom Kunden verwaltete Schlüssel in Ihren Audit Manager-Einstellungen Ihrem delegierten Administrator Berechtigungen? Wenn Sie ein delegiertes Administratorkonto verwenden und einen vom Kunden verwalteten Schlüssel für die Datenverschlüsselung angegeben haben, stellen Sie sicher, dass der delegierte Administrator Zugriff auf diesen KMS Schlüssel hat. Anweisungen finden Sie im AWS Key Management Service Entwicklerhandbuch unter Benutzern mit anderen Konten die Verwendung eines KMS Schlüssels gestatten. Informationen zum Überprüfen und Ändern Ihrer Verschlüsselungseinstellungen in Audit Manager finden Sie unterKonfiguration Ihrer Datenverschlüsselungseinstellungen.

Anmerkung

Wenn Sie Ihre Audit Manager-Datenverschlüsselungseinstellungen ändern, gelten diese Änderungen für neue Bewertungen, die Sie in Zukunft erstellen. Dies schließt alle CSV Dateien ein, die Sie aus Ihren neuen Bewertungen exportieren.

Die Änderungen gelten nicht für bestehende Bewertungen, die Sie erstellt haben, bevor Sie Ihre Verschlüsselungseinstellungen geändert haben. Dazu gehören zusätzlich zu den bestehenden Exporten auch neue CSV CSV Exporte aus vorhandenen Bewertungen. Bestehende Bewertungen — und all ihre CSV Exporte — verwenden weiterhin den alten Schlüssel. KMS Wenn die IAM Identität, die die CSV Datei exportiert, nicht berechtigt ist, den alten KMS Schlüssel zu verwenden, können Sie Berechtigungen auf der Ebene der wichtigsten Richtlinien gewähren.

Ich kann keine bestimmten Beweise aus meinen Suchergebnissen exportieren

Alle Ihre Suchergebnisse sind in den Ergebnissen enthalten.

Wenn Sie nur bestimmte Beweise in die CSV Datei aufnehmen möchten, empfehlen wir Ihnen, Ihre aktuellen Suchfilter zu bearbeiten. Auf diese Weise können Sie Ihre Ergebnisse einschränken, sodass nur die Beweise angezeigt werden, die Sie exportieren möchten.

Ich kann nicht mehrere CSV Dateien gleichzeitig exportieren

Dieser Fehler wird dadurch verursacht, dass zu viele CloudTrail Lake-Abfragen gleichzeitig ausgeführt werden.

Dies kann passieren, wenn Sie Ihre Suchergebnisse gruppieren und versuchen, für jede Zeile in Ihren gruppierten Ergebnissen sofort eine CSV Datei zu exportieren. Wenn Sie Ihre Suchergebnisse abrufen und eine CSV Datei exportieren, ruft jede dieser Aktionen eine Abfrage auf. Sie können nur bis zu fünf Anfragen gleichzeitig ausführen. Wenn Sie die maximale Anzahl gleichzeitiger Anfragen ausführen, wird ein MaxConcurrentQueriesException-Fehler zurückgegeben.

Um diesen Fehler zu vermeiden, stellen Sie sicher, dass Sie nicht zu viele CSV Dateien gleichzeitig exportieren.

Warten Sie, bis Ihre laufenden CSV Exporte abgeschlossen sind, um diesen Fehler zu beheben. Die meisten Exporte dauern nur wenige Minuten. Wenn Sie jedoch eine sehr große Datenmenge exportieren, kann es bis zu einer Stunde dauern, bis der Export abgeschlossen ist. Sie können die Beweiserhebung jederzeit verlassen, während der Export läuft.

Sie können dabei den Exportstatus jederzeit im Download-Center in der Audit Manager-Konsole überprüfen. Wenn Ihre exportierten Dateien fertig sind, kehren Sie zu Ihren gruppierten Ergebnissen in der Beweiserhebung zurück. Sie können dann mit dem Abrufen der Ergebnisse fortfahren und für jeden Einzelposten eine CSV Datei exportieren.