Conferma dello stato di Evidence Finder - AWS Audit Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Conferma dello stato di Evidence Finder

Dopo aver inviato la richiesta per abilitare Evidence Finder, sono necessari fino a 10 minuti per abilitare la funzionalità e creare un archivio dati sugli eventi. Dal momento in cui viene creato l’archivio di dati degli eventi, tutte le nuove prove vengono inserite nell’archivio di dati degli eventi.

Quando evidence finder è abilitato e viene creato l’archivio di dati degli eventi, riempiamo il nuovo archivio di dati degli eventi con un massimo di due anni di prove passate. Questo processo avviene automaticamente e richiede fino a sette giorni per essere completato.

Segui i passaggi in questa pagina per verificare e comprendere lo stato della tua richiesta di abilitare Evidence Finder.

Prerequisiti

Assicurati di aver seguito i passaggi per abilitare Evidence Finder. Per istruzioni, consulta Attivazione di evidence finder.

Procedura

È possibile verificare lo stato attuale di Evidence Finder utilizzando la console Audit Manager AWS CLI, o Audit ManagerAPI.

Audit Manager console
Per visualizzare lo stato attuale di Evidence Finder sulla console Audit Manager
  1. Apri la console AWS Audit Manager a https://console.aws.amazon.com/auditmanager/casa.

  2. Nel riquadro di navigazione a sinistra scegliere Impostazioni.

  3. In Abilita evidence finder - facoltativo, rivedi lo stato corrente.

    Ogni stato è definito nel modo seguente:

    Stato Descrizione

    Il cercatore di prove non è abilitato

    Non hai ancora abilitato con successo il cercatore di prove.

    Hai richiesto di abilitare lo strumento di ricerca delle prove

    La tua richiesta è in attesa della creazione del data store degli eventi.

    Il cercatore di prove è abilitato

    L'archivio dati degli eventi è stato creato. È ora possibile utilizzare evidence finder.

    A seconda della quantità di prove a tua disposizione, occorrono fino a sette giorni per riempire il nuovo archivio di dati degli eventi i dati relativi alle prove precedenti. Un pannello informativo blu indica che il riempimento dei dati è in corso. Nel frattempo, sentiti libero di iniziare a esplorare evidence finder. Tuttavia, tieni presente che non tutti i dati sono disponibili fino al completamento del riempimento.

    Hai richiesto di disabilitare Evidence Finder

    La tua richiesta è in attesa che l'Event Data Store venga eliminato.

    Il cercatore di prove è stato disabilitato

    Evidence Finder è stato disabilitato in modo permanente e l'archivio dati degli eventi è stato eliminato.

AWS CLI
Per visualizzare lo stato attuale di Evidence Finder nel AWS CLI

Esegui il comando get-settings con il parametro --attribute impostato su EVIDENCE_FINDER_ENABLEMENT.

aws auditmanager get-settings --attribute EVIDENCE_FINDER_ENABLEMENT

Questa procedura restituisce le seguenti informazioni:

enablementStatus

Questo attributo mostra lo stato attuale di evidence finder.

  • ENABLE_IN_PROGRESS: hai richiesto di abilitare evidence finder. È attualmente in fase di creazione un archivio di dati degli eventi per supportare le query di evidence finder.

  • ENABLED: è stato creato un archivio di dati degli eventi ed evidence finder è abilitato. Ti consigliamo di attendere sette giorni prima che l’archivio di dati degli eventi venga riempito con i dati relativi alle prove precedenti. Nel frattempo puoi utilizzare evidence finder, ma non tutti i dati sono disponibili fino al completamento del riempimento.

  • DISABLE_IN_PROGRESS: hai richiesto di disabilitare evidence finder e la tua richiesta è in attesa che l’archivio di dati degli eventi venga eliminato.

  • DISABLED: hai disabilitato permanentemente evidence finder e l’archivio di dati degli eventi risulta eliminato. Dopo questa azione non puoi riattivare evidence finder.

backfillStatus

Questo attributo mostra lo stato attuale del riempimento dei dati delle prove.

  • NOT_STARTED: il riempimento non è ancora iniziato.

  • IN_PROGRESS: il riempimento è in corso. Il completamento di questa operazione richiede fino a sette giorni, a seconda della quantità di dati di prova.

  • COMPLETED: il riempimento è stato completato. Tutte le tue prove passate sono ora interrogabili.

Audit Manager API
Per vedere lo stato attuale di Evidence Finder utilizza il API

Richiama l'GetSettingsoperazione con il attribute parametro impostato su. EVIDENCE_FINDER_ENABLEMENT Questa procedura restituisce le seguenti informazioni:

enablementStatus

Questo attributo mostra lo stato attuale di evidence finder.

  • ENABLE_IN_PROGRESS: hai richiesto di abilitare evidence finder. È attualmente in fase di creazione un archivio di dati degli eventi per supportare le query di evidence finder.

  • ENABLED: è stato creato un archivio di dati degli eventi ed evidence finder è abilitato. Ti consigliamo di attendere sette giorni prima che l’archivio di dati degli eventi venga riempito con i dati relativi alle prove precedenti. Nel frattempo puoi utilizzare evidence finder, ma non tutti i dati sono disponibili fino al completamento del riempimento.

  • DISABLE_IN_PROGRESS: hai richiesto di disabilitare evidence finder e la tua richiesta è in attesa della cancellazione dell’archivio di dati degli eventi.

  • DISABLED: hai disabilitato permanentemente evidence finder e l’archivio di dati degli eventi risulta eliminato. Dopo questa azione non puoi riattivare evidence finder.

backfillStatus

Questo attributo mostra lo stato attuale del riempimento dei dati delle prove.

  • NOT_STARTED significa che il riempimento non è ancora iniziato.

  • IN_PROGRESS significa che il riempimento è in corso. Il completamento di questa operazione richiede fino a sette giorni, a seconda della quantità di dati di prova.

  • COMPLETED significa che il riempimento è completo. Tutte le tue prove passate sono ora interrogabili.

Per ulteriori informazioni, vedere evidenceFinderEnablementAudit Manager API Reference.

Passaggi successivi

Dopo aver abilitato correttamente Evidence Finder, puoi iniziare a utilizzare la funzione. Ti consigliamo di attendere sette giorni prima che l’archivio di dati degli eventi venga riempito con i dati relativi alle prove precedenti. Nel frattempo puoi utilizzare Evidence Finder, ma è possibile che non tutti i dati siano disponibili fino al completamento del backfill.

Per iniziare a usare Evidence Finder, vedi. Ricerca di prove in Evidence Finder

Risorse aggiuntive