Solución de problemas con el buscador de evidencias
Utilice la información de esta página para resolver problemas comunes relacionados con el buscador de evidencias en Audit Manager.
Problemas generales relacionados con el buscador de evidencias
Problemas con el informe de evaluación del buscador de evidencias
Problemas de exportación a CSV del del buscador de evidencias
No puedo habilitar el buscador de evidencias
Algunas razones comunes por las que no puede cerrar una incluyen las siguientes situaciones:
- Le faltan permisos
-
Si está intentando habilitar el buscador de evidencias por primera vez, asegúrese de tener los permisos necesarios para habilitarlo. Estos permisos le permiten crear y administrar un almacén de datos de eventos en CloudTrail Lake, que es necesario para respaldar las consultas de búsqueda del buscador de evidencias. Los permisos también le permiten realizar consultas de búsqueda en el buscador de evidencias.
Si necesita ayuda con los permisos, póngase en contacto con su administrador de AWS. Si es un administrador AWS, puede copiar la declaración de permiso requerida y adjuntarla a una política de IAM.
- Está utilizando la cuenta de administración de Organizations
-
Recuerde que no puede usar la cuenta de administración para habilitar el buscador de evidencias. Inicie sesión como la cuenta de administrador delegado e inténtelo de nuevo.
- Ha desactivado anteriormente el buscador de evidencias
-
Actualmente, no se permite volver a habilitar el buscador de evidencias. Si anteriormente desactivó el buscador de evidencias, no podrá volver a habilitarlo.
He activado el buscador de evidencias, pero no veo pruebas anteriores en los resultados de mi búsqueda
Al activar el buscador de evidencias, todos los datos de las pruebas anteriores tardan hasta 7 días en estar disponibles.
Durante este período de 7 días, se rellena un almacén de datos de eventos con los datos probatorios de los últimos dos años. Esto significa que si utiliza el buscador de evidencias inmediatamente después de activarlo, no estarán disponibles todos los resultados hasta que haya completado el proceso de relleno.
Para obtener instrucciones sobre cómo comprobar el estado de la reposición de datos, consulte Confirming the status of evidence finder.
No puedo desactivar el buscador de evidencias
Esto podría deberse a una de las siguientes causas.
- Le faltan permisos
-
Si está intentando deshabilitar el buscador de evidencias, asegúrese de tener los permisos necesarios para deshabilitarlo. Estos permisos le permiten actualizar y eliminar un almacén de datos de eventos de CloudTrail Lake, lo que es necesario para deshabilitar el buscador de evidencias.
Si necesita ayuda, póngase en contacto con su administrador de AWS. Si es un administrador AWS, puede copiar la declaración de permiso requerida y adjuntarla a una política de IAM.
- Todavía se está tramitando una solicitud para habilitar el buscador de evidencias
-
Cuando solicita habilitar el buscador de evidencias, creamos un almacén de datos de eventos para respaldar las consultas del buscador de evidencias. No puede deshabilitar el buscador de evidencias mientras se crea el almacén de datos del evento.
Para continuar, espere a que se cree el almacén de datos de eventos e inténtelo de nuevo. Para obtener más información, consulte Confirming the status of evidence finder.
- Ya ha solicitado desactivar el buscador de evidencias
-
Cuando solicita la desactivación del buscador de evidencias, eliminamos el almacén de datos de eventos que se utiliza para las consultas del buscador de evidencias. Si intenta volver a desactivar el buscador de evidencias mientras se elimina el almacén de datos de eventos, aparecerá un mensaje de error.
En este caso, no es necesario realizar ninguna acción. Espere a que se elimine el almacén de datos de eventos. Tan pronto como se complete, el buscador de evidencias se desactivará. Para obtener más información, consulte Confirming the status of evidence finder.
Mi consulta de búsqueda falla
Una consulta de búsqueda fallida puede deberse a una de las siguientes razones.
- Le faltan permisos
-
Compruebe que el usuario tiene los permisos necesarios para ejecutar consultas de búsqueda y acceder a los resultados de la búsqueda. En concreto, necesita permisos para las siguientes acciones de CloudTrail:
Si necesita ayuda, póngase en contacto con su administrador de AWS. Si es un administrador AWS, puede copiar la declaración de permiso requerida y adjuntarla a una política de IAM.
- Está ejecutando el número máximo de consultas
-
Puede ejecutar hasta 5 consultas a la vez. Si ejecuta el número máximo de consultas simultáneas, se producirá un error
MaxConcurrentQueriesException. Si aparece este mensaje de error, espere un minuto a que finalicen algunas consultas y, a continuación, vuelva a ejecutar la consulta. - La declaración de consulta contiene un error de validación
-
Si utiliza la API o la CLI para realizar la operación CloudTrail Lake StartQuery, asegúrese de que su
queryStatementes válida. Si la declaración de consulta contiene errores de validación, una sintaxis incorrecta o palabras clave no compatibles, el resultado es unInvalidQueryStatementException.Para obtener más información sobre cómo escribir una consulta, consulte Creación o edición de una consulta en la Guía del usuario de AWS CloudTrail.
Para ver ejemplos de sintaxis válida, revise los siguientes ejemplos de instrucciones de consulta que se pueden utilizar para consultar un almacén de datos de eventos de Audit Manager.
Ejemplo 1: investigue las pruebas y su estado de conformidad
En este ejemplo, se buscan pruebas con cualquier estado de conformidad en todas las evaluaciones consideradas, dentro de un intervalo de fechas específico.
SELECT eventData.evidenceId, eventData.resourceArn, eventData.resourceComplianceCheck FROM $EDS_ID WHERE eventTime > '2022-11-02 00:00:00.000' AND eventTime < '2022-11-03 00:00:00.000'Ejemplo 2: determine las pruebas de incumplimiento de un control
En este ejemplo, se buscan todas las pruebas que no cumplen con las normas de un intervalo de fechas especificado para una evaluación y un control específicos.
SELECT * FROM $EDS_ID WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' AND eventData.resourceComplianceCheck IN ('NON_COMPLIANT','FAILED','WARNING') AND eventData.controlId IN ('aa11bb22-cc33-dd44-ee55-ff66gg77hh88')Ejemplo 3: cuente las pruebas por su nombre
En este ejemplo, se enumeran las pruebas totales de una evaluación en un intervalo de fechas específico, agrupadas por nombre y ordenadas por recuento de pruebas.
SELECT eventData.eventName as eventName, COUNT(*) as totalEvidence FROM $EDS_ID WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' GROUP BY eventData.eventName ORDER BY totalEvidence DESCEjemplo 4: explore las pruebas por origen de datos y servicio
En este ejemplo, se buscan todas las pruebas de un intervalo de fechas especificado para un servicio y un origen de datos específicos.
SELECT * FROM $EDS_ID WHERE eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' AND eventData.service IN ('dynamodb') AND eventData.dataSource IN ('AWS API calls')Ejemplo 5: Explore las pruebas de conformidad por origen de datos y dominio de control
En este ejemplo, se buscan pruebas de conformidad para dominios de control específicos, donde las pruebas provienen de un origen de datos que no es AWS Config.
SELECT * FROM $EDS_ID WHERE eventData.resourceComplianceCheck IN ('PASSED','COMPLIANT') AND eventData.controlDomainName IN ('Logging and monitoring','Data security and privacy') AND eventData.dataSource NOT IN ('AWS Config') - Otras excepciones de API
-
La API StartQuery puede fallar por otros motivos. Para obtener una lista completa de los posibles errores y descripciones, consulte la referencia sobre errores de StartQuery en la referencia de la AWS CloudTrail API.
Veo que un dominio de control está marcado como obsoleto ¿Qué significa esto?
Al aplicar un filtro de dominio de control en el buscador de evidencias, es posible que observe que algunos dominios de control disponibles se describen como Obsoletos.
A partir del 6 de junio de 2024, Audit Manager admite un nuevo conjunto de dominios de control proporcionados por AWS Control Catalog. Para obtener una lista de estos dominios de control, consulte ListDomains en la Referencia de la API de AWS Control Catalog.
Si un dominio de control está marcado como Obsoleto, esto significa que el dominio de control que está viendo no es uno de los nuevos dominios de control proporcionados por AWS Control Catalog. Audit Manager sigue siendo compatible con estos dominios de control obsoletos para que pueda seguir utilizándolos como criterio a la hora de buscar evidencias.
Aunque seguimos admitiendo los dominios de control obsoletos, le recomendamos que utilice los nuevos dominios de control. Los nuevos dominios de control se asignan a los controles estándar actualizados que se lanzaron como parte de la biblioteca de controles comunes el 6 de junio de 2024. En esta fecha, publicamos controles estándar actualizados que pueden recopilar evidencias de orígenes administrados por AWS. Esto significa que cada vez que hay una actualización de los orígenes de datos subyacentes para un control común o principal, Audit Manager aplicará automáticamente la misma actualización a todos los controles estándar relacionados.
No puedo generar varios informes de evaluación a partir de los resultados de mi búsqueda
Este error se debe a que se ejecutan demasiadas consultas de CloudTrail Lake al mismo tiempo.
Este error puede producirse si agrupa los resultados de la búsqueda e intenta generar inmediatamente informes de evaluación para cada partida de los resultados agrupados. Cuando obtiene los resultados de la búsqueda y genera un informe de evaluación, cada acción invoca una consulta. Solo puede ejecutar hasta 5 consultas a la vez. Si ejecuta el número máximo de consultas simultáneas, se mostrará un error MaxConcurrentQueriesException.
Para evitar este error, asegúrese de no generar demasiados informes de evaluación a la vez. Si ejecuta el número máximo de consultas simultáneas, se mostrará un error MaxConcurrentQueriesException. Si recibe este mensaje de error, espere unos minutos a que se completen los informes de evaluación en curso.
Puede comprobar el estado de los informes de evaluación desde la página del centro de descargas de la consola de Audit Manager. Una vez completados los informes, vuelva a los resultados agrupados en el buscador de evidencias. A continuación, podrá seguir obteniendo los resultados y generar un informe de evaluación para cada partida.
No puedo incluir pruebas específicas de los resultados de mi búsqueda
Todos los resultados de la búsqueda se incluyen en el informe de evaluación. No puede añadir filas individuales de forma selectiva a su conjunto de resultados de búsqueda.
Si solo quiere incluir resultados de búsqueda específicos en el informe de evaluación, le recomendamos que edite sus filtros de búsqueda actuales. De esta forma, puede restringir los resultados para centrarse únicamente en las pruebas que desee incluir en el informe.
No todos los resultados de mi buscador de evidencias se incluyen en el informe de evaluación
Al generar un informe de evaluación, hay límites en cuanto a la cantidad de evidencia que se puede añadir. El límite se basa en Región de AWS de su evaluación, en la región del bucket de S3 que se utiliza como destino del informe de evaluación y en si la evaluación utiliza una evaluación gestionada por el cliente AWS KMS key.
-
El límite es de 22.000 para los informes de la misma región (en los que el bucket de S3 y la evaluación están en la misma Región de AWS)
-
El límite es de 3500 para los informes de la misma región (en los que el bucket de S3 y la evaluación están en la misma Regiones de AWS)
-
El límite es de 3500 si la evaluación utiliza una clave KMS administrada por el cliente
Si supera este límite, el informe aún se crea. Sin embargo, Audit Manager agrega solo los primeros 3500 o 22.000 elementos de evidencia al informe.
Para evitar este problema, le recomendamos que edite los filtros de búsqueda actuales. De esta forma, puede reducir los resultados de la búsqueda segmentando una cantidad menor de pruebas. Si es necesario, puede repetir este método y generar varios informes de evaluación en lugar de un informe más grande.
Quiero generar un informe de evaluación a partir de los resultados de mi búsqueda, pero el enunciado de mi consulta no funciona
Si utiliza la API CreateAssessmentReport y su enunciado de consulta devuelve una excepción de validación, consulte la siguiente tabla para obtener instrucciones sobre cómo solucionarlo.
nota
Incluso si una declaración de consulta funciona en CloudTrail, es posible que la misma consulta no sea válida para la generación de informes de evaluación en Audit Manager. Esto se debe a algunas diferencias en la validación de consultas entre los dos servicios.
| Cláusula | Problema | Solución | Notas |
|---|---|---|---|
|
|
La cláusula |
Elimine la cláusula |
Solo se admite Esta validación la gestiona Audit Manager. |
|
|
La cláusula o El ID del almacén de datos de eventos proporcionado no coincide con el ID del almacén de datos de eventos en la configuración de su Audit Manager. |
Elimine la cláusula Puede recuperar el ARN del almacén de datos de eventos desde la configuración de Audit Manager. Para obtener más información, consulte GetProducts en la Referencia de la API de AWS Audit Manager. |
Esta validación la gestiona Audit Manager. |
|
|
Hay una cláusula |
Elimine la cláusula |
Esta validación la gestiona Audit Manager. |
|
|
Hay una cláusula |
Elimine la cláusula |
Esta validación la gestiona Audit Manager. |
|
|
La cláusula |
Si la cláusula
|
En la consola, no hay límite en cuanto al número de resultados de evidencias que se pueden devolver. Sin embargo, al generar un informe de evaluación, se aplica un límite a la cantidad de evidencias que se pueden incluir. Si no se proporciona ningún valor |
|
|
La cláusula |
Asegúrese de que la cláusula |
Esta validación la gestiona la API StartQuery de CloudTrail. |
|
|
La cláusula o La cláusula o La cláusula |
Asegúrese de que solo se especifique un AssessmentID y de que coincida con el parámetro AssessmentID que especificó en la solicitud de API Elimine los nombres de columna no admitidos. |
Esta validación la gestiona la API StartQuery de CloudTrail. |
Ejemplos
En los siguientes ejemplos, se muestra cómo puede utilizar el parámetro queryStatement al llamar a la operación CreateAssessmentReport. Antes de utilizar estas consultas, sustituya el texto del marcador de posición por sus edsId y valores assessmentId.
Ejemplo 1: crear un informe (se aplica el límite para la misma región)
En este ejemplo, se crea un informe que incluye los resultados de los buckets de S3 creados entre el 22 y el 23 de enero de 2022.
SELECT eventJson FROM12345678-abcd-1234-abcd-123456789012WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-01-22 00:00:00.000' AND eventTime < '2022-01-23 00:00:00.000' AND eventName='CreateBucket' LIMIT 22000
Ejemplo 2: crear un informe (se aplica un límite entre regiones)
En este ejemplo, se crea un informe que incluye todos los resultados del almacén de datos de eventos y la evaluación del evento especificados, sin especificar ningún intervalo de fechas.
SELECT eventJson FROM12345678-abcd-1234-abcd-123456789012WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' LIMIT 7000
Ejemplo 3: crear un informe (por debajo del límite predeterminado)
En este ejemplo, se crea un informe que incluye todos los resultados del almacén de datos de eventos y la evaluación del evento especificados, con un límite inferior al máximo predeterminado.
SELECT eventJson FROM12345678-abcd-1234-abcd-123456789012WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' LIMIT 2000
Recursos adicionales de
La siguiente página contiene una guía general para la solución de problemas relacionados con los informes de evaluación:
Mi exportación CSV ha fallado
La exportación de CSV puede fallar por varias razones. Puede solucionar este problema comprobando las causas más frecuentes.
Primero, asegúrese de que cumple los requisitos previos para usar la característica de exportación de CSV:
- Ha activado correctamente el buscador de evidencias
-
Si no ha activado el buscador de evidencias, no podrá ejecutar una consulta de búsqueda ni exportar los resultados de la búsqueda.
- El relleno de su almacén de datos de eventos está completo
-
Si utiliza el buscador de evidencias inmediatamente después de activarlo y aún está rellenando las pruebas, es posible que algunos resultados no estén disponibles. Para comprobar el estado de la reposición, consulte Confirming the status of evidence finder.
- La consulta de búsqueda se ha realizado correctamente
-
Audit Manager no puede exportar los resultados de una consulta fallida. Para solucionar problemas relacionados con una consulta fallida, consulte Mi consulta de búsqueda falla.
Una vez que haya confirmado que cumple los requisitos previos, utilice la siguiente lista de comprobación para comprobar si hay posibles problemas:
-
Verifique el estado de la consulta de búsqueda:
-
¿Se ha cancelado la consulta? El buscador de evidencias muestra resultados parciales que se hayan procesado antes de que se cancelara la consulta. Sin embargo, Audit Manager no exporta resultados parciales a su bucket de S3 ni al centro de descargas.
-
¿La consulta lleva ejecutándose más de una hora? Es posible que las consultas que se ejecuten durante más de una hora agoten el tiempo de espera. El buscador de evidencias muestra resultados parciales que se hayan procesado antes de que se agotara el tiempo de espera de la consulta. Sin embargo, Audit Manager no exporta resultados parciales. Para evitar que se agote el tiempo de espera, puede reducir la cantidad de evidencias escaneadas por Editar filtros de búsqueda para especificar un intervalo más reducido.
-
-
Comprueba el nombre y el URI del bucket de S3 de destino de exportación:
-
¿Existe el bucket que ha especificado? Si ha introducido el URI de un bucket de forma manual, asegúrese de no haber escrito nada mal. Un error tipográfico o un URI incorrecto pueden provocar un error
RESOURCE_NOT_FOUNDcuando Audit Manager intente exportar el archivo CSV a Amazon S3.
-
-
Compruebe los permisos del bucket de S3 de destino de exportación:
-
¿Tiene permisos de escritura del bucket de S3? Debe disponer de acceso de escritura para el bucket de S3 que utilice como destino de exportación. Más específicamente, la política de permisos de IAM debe incluir una acción
s3:PutObjecty el ARN del bucket, y debe incluir CloudTrail como principal del servicio. Proporcionamos un ejemplo de política que puede utilizar.
-
-
Comprueba si alguno de sus datos Región de AWS no coincide:
-
¿La Región de AWS de la clave administrada por el cliente coincide con la Región de AWS de su evaluación? Si proporcionó una clave administrada por el cliente para el cifrado de datos, debe estar en la misma Región de AWS que la de su evaluación. Para obtener instrucciones sobre cómo cambiar la clave de KMS, consulte Configuración de los ajustes del cifrado de datos.
-
-
Compruebe los permisos de su cuenta de administrador delegado:
-
¿La clave administrada por el cliente en la configuración de Audit Manager concede permisos a su administrador delegado? Si utiliza una cuenta de administrador delegado y especificó una clave administrada por el cliente para el cifrado de datos, asegúrese de que el administrador delegado tenga acceso a esa clave de KMS. Para obtener más información, consulte Permitir que los usuarios de otras cuentas utilicen una clave de KMS en la AWS Key Management ServiceGuía para desarrolladores. Para revisar y cambiar la configuración del cifrado de Audit Manager, consulte Configuración de los ajustes del cifrado de datos.
-
nota
Si cambia la configuración de cifrado de datos de Audit Manager, estos cambios se aplicarán a las nuevas evaluaciones que cree en el futuro. Esto incluye cualquier archivo CSV que exporte de sus nuevas evaluaciones.
Los cambios no se aplican a las evaluaciones existentes que creó antes de cambiar la configuración del cifrado. Esto incluye las nuevas exportaciones a CSV de las evaluaciones existentes, además de las exportaciones a CSV existentes. Las evaluaciones existentes (y todas sus exportaciones a CSV) siguen utilizando la antigua clave KMS. Si la identidad de IAM que exporta el archivo CSV no tiene permisos para usar la clave KMS anterior, puedes conceder permisos a nivel de política clave.
No puedo exportar pruebas específicas de los resultados de mi búsqueda
Todos los resultados de la búsqueda se incluyen en los resultados.
Si quiere incluir solo pruebas específicas en el archivo CSV, le recomendamos que edite sus filtros de búsqueda actuales. De esta forma, puede restringir los resultados para centrarse únicamente en las pruebas que desee exportar.
No puedo exportar varios archivos CSV a la vez
Este error se debe a que se ejecutan demasiadas consultas de CloudTrail Lake al mismo tiempo.
Esto puede ocurrir si agrupa los resultados de la búsqueda e intenta exportar inmediatamente un archivo CSV para cada partida de los resultados agrupados. Al obtener los resultados de la búsqueda y exportar un archivo CSV, cada una de estas acciones invoca una consulta. Solo puede ejecutar hasta cinco consultas a la vez. Si ejecuta el número máximo de consultas simultáneas, se mostrará un error MaxConcurrentQueriesException.
Para evitar este error, asegúrese de no exportar demasiados archivos CSV a la vez.
Para resolver este error, espere a que se completen las exportaciones CSV en curso. La mayoría de las exportaciones tardan unos minutos. Sin embargo, si exporta una gran cantidad de datos, la exportación puede tardar hasta una hora en completarse. No dude en salir del buscador de evidencias mientras la exportación esté en curso.
Puede comprobar el estado de la exportación desde el centro de descargas de la consola Audit Manager. Cuando los archivos exportados estén listos, vuelva a los resultados agrupados en el buscador de evidencias. A continuación, podrá seguir obteniendo los resultados y exportar un archivo CSV para cada partida.
