証拠ファインダーの問題のトラブルシューティング - AWS Audit Manager
証拠ファインダーを有効にできません証拠ファインダーを有効にしたが、検索結果に過去の証拠が表示されない証拠ファインダーを無効にできません検索クエリが失敗しましたコントロールドメインが「古くなった」とマークされていることがわかります。これは何を意味するのでしょうか? 検索結果から複数の評価レポートを生成できません検索結果から特定の証拠を含めることができません証拠ファインダーの結果がすべて評価レポートに含まれているわけではありません検索結果から評価レポートを生成したいのですが、クエリステートメントが失敗します追加リソースCSV エクスポートに失敗しました検索結果から特定の証拠をエクスポートできません一度に複数のCSVファイルをエクスポートできない

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

証拠ファインダーの問題のトラブルシューティング

このページの情報を使用して、Audit Manager での一般的な証拠収集の問題を解決できます。

証拠ファインダーに関する一般的な問題
証拠ファインダーの評価レポートの問題
証拠ファインダーのCSVエクスポートの問題

証拠ファインダーを有効にできません

証拠ファインダーを有効にできない一般的な理由には、次のような状況があります。

権限がありません

証拠ファインダーを初めて有効にする場合は、証拠ファインダー を有効にするために必要なアクセス許可があることを確認してください。これらのアクセス許可により、証拠ファインダーの検索クエリをサポートするために必要なイベントデータストアを CloudTrail Lake で作成および管理できます。この権限により、証拠ファインダーで検索クエリを実行することもできます。

アクセス許可に関するヘルプが必要な場合は、 AWS 管理者にお問い合わせください。 AWS 管理者の場合は、必要なアクセス許可ステートメントをコピーして、IAMポリシー にアタッチできます。

組織の管理アカウントの使用

管理アカウントを使用して証拠ファインダーを有効にすることはできませんので、ご注意ください。委任管理者アカウントとしてサインインし、再試行してください。

以前に証拠ファインダーを無効にした

現在、証拠ファインダーの再有効化には対応されません。以前に証拠ファインダーを無効にした場合は、再度有効にすることはできません。

証拠ファインダーを有効にしたが、検索結果に過去の証拠が表示されない

証拠ファインダーを有効にすると、過去の証拠データがすべて利用可能になるまでに最大 7 日かかります。

この 7 日間、イベントデータストアに過去 2 年分の証拠データがバックフィルされます。つまり、有効にした直後に証拠ファインダーを使用しても、バックフィルが完了するまですべての結果が表示されるわけではありません。

データバックフィルのステータスを確認する方法については、「」を参照してください証拠ファインダーのステータスの確認

証拠ファインダーを無効にできません

これは、次のいずれかの理由によって発生する可能性があります。

権限がありません

証拠ファインダーを無効にする場合は、証拠ファインダー を無効にするために必要なアクセス許可があることを確認してください。これらのアクセス許可により、証拠ファインダーを無効にするために必要な Lake の CloudTrailイベントデータストアを更新および削除できます。

アクセス許可に関するヘルプが必要な場合は、 AWS 管理者にお問い合わせください。 AWS 管理者の場合は、必要なアクセス許可ステートメントをコピーして、IAMポリシー にアタッチできます。

証拠ファインダーを有効にするリクエストはまだ進行中

証拠ファインダーの有効化をリクエストすると、証拠ファインダーのクエリをサポートするイベントデータストアが作成されます。イベントデータストアの作成中は、証拠ファインダーを無効にすることはできません。

続行するには、イベントデータストアが作成されてから、もう一度試してください。詳細については、「証拠ファインダーのステータスの確認」を参照してください。

証拠ファインダーを無効にするリクエストを既に行っています

証拠ファインダーの無効化をリクエストすると、証拠ファインダーのクエリに使用されていたイベントデータストアが削除されます。イベントデータストアの削除中に証拠ファインダーを再度無効にしようとすると、エラーメッセージが表示されます。

この場合、アクションは不要です。イベントデータストアが削除されるまでお待ちください。これが完了すると、証拠ファインダーはすぐに無効になります。詳細については、「証拠ファインダーのステータスの確認」を参照してください。

検索クエリが失敗しました

検索クエリが失敗する場合は、次のいずれかの理由が考えられます。

権限がありません

ユーザーが検索クエリの実行と検索結果へのアクセスに必要な権限を持っていることを確認してください。具体的には、以下の CloudTrail アクションに対するアクセス許可が必要です。

アクセス許可に関するヘルプが必要な場合は、 AWS 管理者にお問い合わせください。 AWS 管理者の場合は、必要なアクセス許可ステートメントをコピーして、IAMポリシー にアタッチできます。

実行しているクエリの数が最大数です。

一度に最大 5 つのクエリを実行できます。同時に実行するクエリの数が最大数に達すると、MaxConcurrentQueriesExceptionエラーになります。このエラーメッセージが表示される場合は、いくつかのクエリが終了するまでしばらくお待ちください。 その後、クエリを再実行してください。

クエリステートメントに検証エラーがあります

API または を使用して CloudTrail Lake StartQueryオペレーションCLIを実行している場合は、 が有効queryStatementであることを確認してください。クエリステートメントに検証エラー、不正な構文、サポートされていないキーワードがある場合は、InvalidQueryStatementExceptionという結果になります。

クエリの記述についての詳細は、AWS CloudTrail ユーザーガイドのクエリの作成または編集を参照してください。

有効な構文の例については、Audit Manager イベントデータストアへのクエリに使用できる次のクエリステートメントの例を参照してください。

例 1: 証拠とそのコンプライアンス状況を調査する

この例では、指定された日付範囲内で、アカウント内のすべての評価にわたってコンプライアンスステータスを持つ証拠を検索します。

SELECT eventData.evidenceId, eventData.resourceArn, eventData.resourceComplianceCheck FROM $EDS_ID WHERE eventTime > '2022-11-02 00:00:00.000' AND eventTime < '2022-11-03 00:00:00.000'
例 2: コントロールの非準拠証拠を特定する

この例では、特定の評価とコントロールについて、指定された日付範囲内のすべての非準拠証拠を検索します。

SELECT * FROM $EDS_ID WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' AND eventData.resourceComplianceCheck IN ('NON_COMPLIANT','FAILED','WARNING') AND eventData.controlId IN ('aa11bb22-cc33-dd44-ee55-ff66gg77hh88')
例 3: 証拠を名前で数える

この例では、指定された日付範囲内で、評価の証拠の総数を名前でグループ化し、証拠数の順に一覧表示します。

SELECT eventData.eventName as eventName, COUNT(*) as totalEvidence FROM  $EDS_ID WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' GROUP BY eventData.eventName ORDER BY totalEvidence DESC
例 4: データソースとサービスごとに証拠を調べる

この例では、特定のデータソースとサービスについて、指定された日付範囲内のすべての証拠を検索します。

SELECT * FROM $EDS_ID WHERE eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' AND eventData.service IN ('dynamodb') AND eventData.dataSource IN ('AWS API calls')
例 5: データソースとコントロールドメインごとに準拠している証拠を調べる

この例では、証拠が AWSConfig ではないデータソースから取得される特定のコントロールドメインの準拠証拠を見つけます。

 SELECT * FROM $EDS_ID WHERE eventData.resourceComplianceCheck IN ('PASSED','COMPLIANT') AND eventData.controlDomainName IN ('Logging and monitoring','Data security and privacy') AND eventData.dataSource NOT IN ('AWS Config')
その他のAPI例外

は、他のいくつかの理由で失敗StartQueryAPIすることがあります。考えられるエラーと説明の完全なリストについては、「 リファレンス」のStartQuery 「エラー」を参照してください。 AWS CloudTrail API

コントロールドメインが「古くなった」とマークされていることがわかります。これは何を意味するのでしょうか?

証拠ファインダーでコントロールドメインフィルターを適用すると、使用可能なコントロールドメインの一部が古い と記述されていることに気付くかもしれません。

証拠ファインダーの古いコントロールドメインフィルターのスクリーンショット。

2024 年 6 月 6 日現在、Audit Manager は Control Catalog が提供する AWS 新しいコントロールドメインのセットをサポートしています。これらのコントロールドメインのリストを取得するには、コントロールカタログリファレンスのListDomains「」を参照してください。 AWS API

コントロールドメインが古い とマークされている場合、表示しているコントロールドメインは Control Catalog によって提供される新しいコントロールドメインの 1 AWS つではないことを意味します。Audit Manager は、これらの古いコントロールドメインを引き続きサポートしているため、証拠を検索するときに基準として使用できます。

古いコントロールドメインは引き続きサポートされていますが、代わりに新しいコントロールドメインを使用することをお勧めします。新しいコントロールドメインは、2024 年 6 月 6 日に共通コントロールライブラリの一部として起動された更新された標準コントロールにマッピングされます。この日付に、 AWS マネージドソース から証拠を収集できる更新された標準コントロールをリリースしました。つまり、共通コントロールまたはコアコントロールの基盤となるデータソースが更新されるたびに、Audit Manager は関連するすべての標準コントロールに同じ更新を自動的に適用します。

検索結果から複数の評価レポートを生成できません

このエラーは、同時に実行する CloudTrail Lake クエリが多すぎることが原因です。

このエラーは、検索結果をグループ化し、グループ化された結果の各項目の評価レポートをすぐに生成しようとした場合に発生する可能性があります。検索結果を取得して評価レポートを生成すると、各アクションによってクエリが呼び出されます。一度に実行できるクエリは最大 5 つまでです。同時に実行するクエリの数が最大数に達すると、MaxConcurrentQueriesExceptionエラーが返されます。

このエラーを防ぐには、一度に生成する評価レポートの数が多すぎないようにしてください。同時に実行するクエリの数が最大数に達すると、MaxConcurrentQueriesExceptionエラーが返されます。このエラーメッセージが表示される場合は、進行中の評価レポートが完成するまで数分お待ちください。

Audit Manager コンソールのダウンロードセンターページから、評価レポートのステータスを確認できます。レポートが完成したら、証拠ファインダーでグループ化された結果に戻ります。その後、引き続き結果を取得し、各項目の評価レポートを生成できます。

検索結果から特定の証拠を含めることができません

検索結果はすべて評価レポートに含まれます。検索結果のセットから個々の行を選択して追加することはできません。

特定の検索結果のみを評価レポートに含めたい場合は、現在の検索フィルターを編集することをお勧めします。この方法により、レポートに含める証拠のみを対象とするように結果を絞り込むことができます。

証拠ファインダーの結果がすべて評価レポートに含まれているわけではありません

評価レポートを生成する場合、追加できる証拠の量には制限があります。制限は、評価 AWS リージョン の 、評価レポートの宛先として使用される S3 バケットのリージョン、および評価でカスタマー管理の を使用しているかどうかに基づきます AWS KMS key。

  1. 同じリージョンのレポートの制限は 22,000 件です (S3 バケットと評価が同じ AWS リージョンにある場合)

  2. クロスリージョンレポートの制限は 3,500 件です (S3 バケットと評価が異なる AWS リージョンにある場合)

  3. 評価でカスタマーマネージドKMSキーが使用されている場合、制限は 3,500 です。

この制限を超えた場合でも、レポートは作成されます。ただし、Audit Manager がレポートに追加するのは、最初の 3,500 件または 22,000 件の証拠項目だけです。

この問題を防ぐには、現在の検索フィルターを編集することをお勧めします。この方法では、対象とする証拠の量を減らすことで、検索結果を絞り込むことができます。必要に応じて、この方法を繰り返して、1 つの大きなレポートの代わりに複数の評価レポートを生成できます。

検索結果から評価レポートを生成したいのですが、クエリステートメントが失敗します

を使用してCreateAssessmentReportAPIいて、クエリステートメントが検証例外を返す場合は、次の表で修正方法のガイダンスを確認してください。

注記

クエリステートメントが で機能する場合でも CloudTrail、同じクエリが Audit Manager での評価レポートの生成に有効でない可能性があります。これは、2 つのサービスのクエリの検証に多少の違いがあるためです。

問題 ソリューション メモ

SELECT

SELECT句には列名が含まれています

SELECT句を削除し、SELECT eventJsonに置き換えます。

SELECT eventJson のみサポートされています。

この検証はAudit Manager によって処理されます。

FROM

FROM句には無効なイベントデータストア ID が含まれています

または

指定されたイベントデータストア ID は、Audit Manager 設定のイベントデータストア ID と一致しません

FROM句を削除してFROM edsIDに置き換えます。この場合、edsIDの値は Audit Manager 設定で指定されているイベントデータストア ID と一致します。

Audit Manager の設定からイベントデータストアARNの を取得できます。詳細については、「 AWS Audit Manager APIリファレンスGetSettings」の「」を参照してください。

 この検証はAudit Manager によって処理されます。

GROUP BY

クエリ内にGROUP BY句が存在します

GROUP BY 句を削除してください。

 この検証はAudit Manager によって処理されます。

HAVING

クエリ内にHAVING句が存在します

HAVING 句を削除してください。

 この検証はAudit Manager によって処理されます。

LIMIT

LIMIT句に最大許容値を超える値が含まれています

LIMIT句が存在する場合は、その値がサポートされている最大制限以下であることを確認してください。

  • 同じリージョンレポートの場合、上限は 22,000 件です

  • クロスリージョンレポートの場合、上限は 3,500 件です

  • 関連する評価がカスタマー管理の を使用するレポートの場合 AWS KMS key、制限は 3,500 です。

コンソールでは、返される証拠結果の数に制限はありません。ただし、評価レポートを生成する場合、含めることができる証拠の量には制限があります。

クエリステートメントにLIMIT値が指定されていない場合は、デフォルトの最大制限が適用されます。

この検証はAudit Manager によって処理されます。

ORDER BY

ORDER BY句に、SELECT句に存在しない集計関数またはエイリアスが含まれています

集計関数エイリアスを使用する条件がORDER BY句に含まれていないことを確認してください。

 この検証は によって処理されます CloudTrail StartQuery API。

WHERE

WHERE句には 1 つ以上のassessmentIdが含まれています

または

WHERE句に、createAssessmentReportリクエストのassessmentIdと一致しないassessmentIdが含まれています

または

WHERE句に対応されない列名が含まれています

assessmentID が 1 つだけ指定され、createAssessmentReportAPIリクエストで指定したassessmentId パラメータと一致することを確認します。

対応されない列名を削除します。

 この検証は によって処理されます CloudTrail StartQuery API。

次の例は、 CreateAssessmentReportオペレーションを呼び出すときに queryStatementパラメータを使用する方法を示しています。これらのクエリを使用する前に、placeholder text 独自の edsIdおよび assessmentId値を使用します。

例 1: レポートを作成する (同じリージョンの制限が適用されます)

この例では、2022 年 1 月 22 日~ 23 日の間に作成された S3 バケットの結果を含むレポートを作成します。

SELECT eventJson FROM 12345678-abcd-1234-abcd-123456789012 WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-01-22 00:00:00.000' AND eventTime < '2022-01-23 00:00:00.000' AND eventName='CreateBucket' LIMIT 22000
例 2: レポートを作成する (クロスリージョンの制限が適用されます)

この例では、日付範囲を指定せずに、指定されたイベントデータストアと評価のすべての結果を含むレポートを作成します。

SELECT eventJson FROM 12345678-abcd-1234-abcd-123456789012 WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' LIMIT 7000
例 3: レポートを作成する (デフォルトの制限内)

この例では、指定されたイベントデータストアと評価のすべての結果を含むレポートを、デフォルトの最大値を下回る制限付きで作成します。

SELECT eventJson FROM 12345678-abcd-1234-abcd-123456789012 WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' LIMIT 2000

追加リソース

次のページには、評価レポートに関する一般的なトラブルシューティングのガイダンスが含まれています

CSV エクスポートに失敗しました

CSV エクスポートは、いくつかの理由で失敗することがあります。この問題は、最もよく生じる原因を確認することで解決できます。

まず、CSVエクスポート機能を使用するための前提条件を満たしていることを確認してください。

証拠ファインダーが正常に有効化されました

証拠ファインダーを有効にしていない場合、検索クエリを実行して検索結果をエクスポートすることはできません。

イベントデータストアのバックフィルが完了しました

有効にした直後に証拠ファインダーを使用し、証拠バックフィルがまだ進行中の場合は、結果が表示されない可能性があります。バックフィルステータスを確認するには、「」を参照してください証拠ファインダーのステータスの確認

検索クエリは成功しました

Audit Manager は失敗したクエリの結果をエクスポートできません。失敗したクエリに対処するには、検索クエリが失敗しましたを参照してください。

前提条件を満たしていることを確認したら、次のチェックリストを使用して潜在的な問題がないか確認します。

  1. 検索クエリのステータスを確認する。

    1. クエリはキャンセルされましたか? 証拠ファインダーでは、クエリがキャンセルされる前に処理された部分的な結果が表示されます。ただし、Audit Manager は部分的な結果を S3 バケットやダウンロードセンターにエクスポートしません。

    2. クエリの実行時間が 1 時間を超えていますか? 1 時間以上実行するクエリは、タイムアウトすることがあります。証拠ファインダーでは、クエリがタイムアウトになる前に処理された部分的な結果が表示されます。ただし、Audit Manager は、部分的な結果をエクスポートしません。タイムアウトを避けるために、 によってスキャンされる証拠の量を減らし検索フィルターの編集て、より狭い時間範囲を指定できます。

  2. エクスポート先 S3 バケットの名前と URIを確認します。

    1. 指定されたバケットは存在しますか? バケット を手動で入力した場合はURI、何も入力ミスしていないことを確認してください。Audit Manager がCSVファイルを Amazon S3 にエクスポートしようとすると、タイプミスや誤ったRESOURCE_NOT_FOUNDエラーが発生するURI可能性があります。

  3. エクスポート先の S3 バケットの権限を確認してください。

    1. S3 バケットへの書き込み権限はありますか? エクスポート先として使用している S3 バケットへの書き込み権限が必要です。具体的には、IAMアクセス許可ポリシーに s3:PutObjectアクションとバケット が含まれARN、サービスプリンシパル CloudTrail としてリストされている必要があります。ご利用いただけるサンプルポリシーが用意されています。

  4. いずれかの AWS リージョン 情報が一致しないかどうかを確認します。

    1. カスタマーマネージドキー AWS リージョン の は、評価 AWS リージョン の と一致していますか? データ暗号化用にカスタマーマネージドキーを提供した場合、それは評価と同じ AWS リージョン にある必要があります。KMS キーを変更する方法については、「」を参照してくださいデータ暗号化設定の構成

  5. 委任管理者アカウントの権限を確認してください。

    1. Audit Manager の設定のカスタマーマネージドキーが、委任された管理者に許可を付与していること。委任管理者アカウントを使用していて、データ暗号化にカスタマーマネージドキーを指定した場合は、委任管理者がそのKMSキーにアクセスできることを確認してください。手順については、「 デベロッパーガイド」の「他のアカウントのユーザーにKMSキーの使用を許可する」を参照してください。 AWS Key Management Service Audit Manager で暗号化設定を確認および変更するには、「」を参照してくださいデータ暗号化設定の構成

注記

Audit Manager のデータ暗号化の設定を変更した場合、これらの変更は、今後作成する新しい評価に適用されます。これには、新しい評価からエクスポートするCSVファイルが含まれます。

この変更は、暗号化の設定を変更する前に作成した既存の評価には適用されません。これには、既存のCSVエクスポートに加えて、既存の評価からの新しいCSVエクスポートが含まれます。既存の評価とそのすべてのCSVエクスポートは、引き続き古いKMSキーを使用します。CSV ファイルをエクスポートする IAM ID に古いKMSキーを使用するアクセス許可がない場合は、キーポリシーレベルでアクセス許可を付与できます。

検索結果から特定の証拠をエクスポートできません

検索結果はすべて結果に含まれます。

CSV ファイルに特定の証拠のみを含める場合は、現在の検索フィルター を編集することをお勧めします。これにより、エクスポートしたい証拠だけをターゲットにするように結果を絞り込むことができます。

一度に複数のCSVファイルをエクスポートできない

このエラーは、同時に実行する CloudTrail Lake クエリが多すぎることが原因です。

これは、検索結果をグループ化し、グループ化された結果の各明細項目についてCSVファイルをすぐにエクスポートしようとした場合に発生する可能性があります。検索結果を取得してCSVファイルをエクスポートすると、これらの各アクションがクエリを呼び出します。一度に実行できるクエリは最大 5 つまでです。同時に実行するクエリの数が最大数に達すると、MaxConcurrentQueriesExceptionエラーが返されます。

このエラーを防ぐには、一度にエクスポートするCSVファイルが多すぎないことを確認してください。

このエラーを解決するには、進行中のCSVエクスポートが完了するまで待ちます。ほとんどのエクスポートには数分かかる場合があります。ただし、極めて大量のデータをエクスポートする場合、エクスポートが完了するまでに最大 1 時間かかることがあります。エクスポート中は、証拠ファインダーから自由に離れることができます。

Audit Manager コンソールのダウンロードセンターから、エクスポートステータスを確認できます。エクスポートしたファイルの準備ができたら、証拠ファインダーでグループ化された結果に戻ります。その後、引き続き結果を取得し、各明細項目についてCSVファイルをエクスポートできます。