증거 찾기 문제 해결 - AWS Audit Manager
증거찾기를 활성화할 수가 없습니다.증거 찾기를 활성화했는데 검색 결과에 과거 증거가 보이지 않아요증거 찾기 비활성화가 안 됩니다.검색 쿼리가 실패했습니다.제어 도메인이 “구식”으로 표시된 것을 확인할 수 있습니다. 이것은 무엇을 의미하나요?검색 결과에서 여러 평가 보고서를 생성할 수 없습니다.검색 결과로부터 얻은 특정 증거를 포함시킬 수가 없었습니다.증거 찾기 결과 중에 평가 보고서에 포함되지 않는 것도 있습니다.검색 결과를 바탕으로 평가 보고서를 작성하고 싶은데 나의 쿼리 문구가 작동하지 않습니다.추가 리소스CSV수출이 실패했습니다.검색 결과에서 특정 증거를 내보낼 수 없었습니다.한 번에 여러 CSV 파일을 내보낼 수 없습니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

증거 찾기 문제 해결

이 페이지의 정보를 사용하여 Audit Manager의 일반적인 증거 찾기 문제를 해결하세요.

통상적인 증거 찾기 문제
증거 찾기 평가 보고서 문제
증거 찾기 내보내기 문제 CSV

증거찾기를 활성화할 수가 없습니다.

증거찾기를 활성화할 수 없는 통상적인 이유로는 다음과 같은 상황이 있습니다.

현재 귀하에게 권한이 없습니다.

처음으로 증거 찾기를 활성화하려는 경우 증거 찾기를 활성화하는 데 필요한 권한이 있는지 확인하십시오. 이러한 권한을 통해 CloudTrail Lake에서 이벤트 데이터 저장소를 생성하고 관리할 수 있으며, 이는 증거 찾기 검색 쿼리를 지원하는 데 필요합니다. 또한 권한을 통해 증거 찾기에서 검색 쿼리를 실행할 수 있습니다.

권한에 대한 도움이 필요한 경우 AWS 관리자에게 문의하세요. AWS 관리자인 경우 필요한 권한 설명을 복사하여 IAM정책에 첨부할 수 있습니다.

귀하가 자신의 조직의 관리 계정을 사용하고 있습니다.

관리 계정을 사용하여 증거 찾기를 활성화할 수 없다는 점에 유의하세요. 위임된 관리자 계정으로 로그인하고 다시 시도해 주세요.

귀하가 이전에 증거 찾기를 비활성화했습니다.

증거 찾기를 다시 활성화하는 것은 현재 지원되지 않습니다. 이전에 증거 찾기를 비활성화한 경우 다시 활성화할 수 없습니다.

증거 찾기를 활성화했는데 검색 결과에 과거 증거가 보이지 않아요

증거 찾기를 활성화하면 과거 증거 데이터를 모두 사용할 수 있을 때까지 최대 7일이 걸립니다.

이 7일 동안 이벤트 데이터 저장소에는 지난 2년 분량의 증거 데이터가 가득 차게 됩니다. 즉, 증거 찾기를 활성화한 직후에 증거 찾기를 사용하면 채우기가 완료될 때까지 모든 결과가 이용 가능하지는 않습니다.

데이터 채우기 상태를 확인하는 방법에 대한 지침은 을 참조하십시오증거 찾기 상태 확인하기 .

증거 찾기 비활성화가 안 됩니다.

이 현상의 원인은 다음 중 하나일 수 있습니다.

현재 귀하에게 권한이 없습니다.

증거 찾기를 비활성화하려는 경우 증거 찾기를 비활성화하는 데 필요한 권한이 있는지 확인하세요. 이러한 권한을 통해 CloudTrail Lake의 이벤트 데이터 저장소를 업데이트하고 삭제할 수 있으며, 이는 증거 찾기를 비활성화하는 데 필요합니다.

권한 관련 도움이 필요한 경우 AWS 관리자에게 문의하세요. AWS 관리자인 경우 필요한 권한 설명을 복사하여 IAM정책에 첨부할 수 있습니다.

증거 찾기 활성화 요청이 아직 진행 중입니다.

증거 찾기를 활성화하도록 요청하면 증거 찾기 쿼리를 지원하는 이벤트 데이터 저장소가 생성됩니다. 이벤트 데이터 저장소가 생성되는 동안에는 증거 찾기를 비활성화할 수 없습니다.

계속하려면 이벤트 데이터 저장소가 생성될 때까지 기다린 후 다시 시도하세요. 자세한 내용은 증거 찾기 상태 확인하기 단원을 참조하십시오.

증거 찾기를 비활성화하도록 이미 요청하셨습니다.

증거 찾기 비활성화를 요청하면 증거 찾기 쿼리에 사용된 이벤트 데이터 저장소가 삭제됩니다. 이벤트 데이터 저장소가 삭제되는 동안 증거 찾기를 다시 비활성화하려고 하면 오류 메시지가 나타납니다.

이 경우에는 별도의 작업이 필요하지 않습니다. 이벤트 데이터 저장소가 삭제될 때까지 기다리세요. 이 작업이 완료되는 즉시 증거 찾기가 비활성화됩니다. 자세한 내용은 증거 찾기 상태 확인하기 단원을 참조하십시오.

검색 쿼리가 실패했습니다.

검색어 실패는 다음 원인 중 하나로 인해 발생할 수 있습니다.

현재 귀하에게 권한이 없습니다.

사용자가 검색 쿼리를 실행하고 검색 결과에 액세스하는 데 필요한 권한을 가지고 있는지 확인하세요. 특히 다음 CloudTrail 작업에 대한 권한이 필요합니다.

권한에 대한 도움이 필요한 경우 AWS 관리자에게 문의하세요. AWS 관리자인 경우 필요한 권한 설명을 복사하여 IAM정책에 첨부할 수 있습니다.

귀하는 현재 최대 수의 쿼리를 실행하고 있습니다.

쿼리는 한 번에 최대 5개까지 실행할 수 있습니다. 최대 수의 동시 쿼리를 실행하는 경우 MaxConcurrentQueriesException 오류가 발생합니다. 이 오류 메시지가 표시되면 일부 쿼리가 완료될 때까지 잠시 기다린 다음 쿼리를 다시 실행하세요.

귀하의 쿼리문에 검증 오류가 있습니다.

APICLIOR를 사용하여 CloudTrail Lake StartQuery작업을 수행하는 경우 OR가 queryStatement 유효한지 확인하십시오. 쿼리문에 검증 오류가 있거나, 잘못된 구문 또는 지원되지 않는 키워드가 있는 경우 InvalidQueryStatementException가 발생합니다.

쿼리 작성에 대한 자세한 내용은 AWS CloudTrail 사용 설명서쿼리 작성 또는 편집을 참조하세요.

유효한 구문의 예를 보려면 Audit Manager 이벤트 데이터 저장소를 쿼리하는 데 사용할 수 있는 다음 쿼리문 예시를 검토하세요.

예 1: 증거 및 규정 준수 상태 조사

이 예시에서는 지정된 날짜 범위 내에서 계정 내 모든 평가의 규정 준수 상태가 있는 증거를 찾습니다.

SELECT eventData.evidenceId, eventData.resourceArn, eventData.resourceComplianceCheck FROM $EDS_ID WHERE eventTime > '2022-11-02 00:00:00.000' AND eventTime < '2022-11-03 00:00:00.000'
예 2: 제어에 대한 비준수 증거 결정

이 예시에서는 특정 평가 및 관리에 대해 지정된 날짜 범위의 규정을 준수하지 않는 모든 증거를 찾습니다.

SELECT * FROM $EDS_ID WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' AND eventData.resourceComplianceCheck IN ('NON_COMPLIANT','FAILED','WARNING') AND eventData.controlId IN ('aa11bb22-cc33-dd44-ee55-ff66gg77hh88')
예 3: 이름별로 증거의 개수 계산

이 예시는 지정된 날짜 범위의 평가에 대한 전체 증거를 이름별로 그룹화하고 증거 수별로 정렬하여 나열합니다.

SELECT eventData.eventName as eventName, COUNT(*) as totalEvidence FROM  $EDS_ID WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' GROUP BY eventData.eventName ORDER BY totalEvidence DESC
예 4: 데이터 소스 및 서비스별 증거 탐색

이 예시에서는 특정 데이터 소스 및 서비스에 대해 지정된 날짜 범위의 모든 증거를 찾습니다.

SELECT * FROM $EDS_ID WHERE eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' AND eventData.service IN ('dynamodb') AND eventData.dataSource IN ('AWS API calls')
예 5: 데이터 소스 및 제어 도메인별로 규정을 준수하는 증거 살펴보기

이 예제는 AWS Config가 아닌 데이터 소스에서 증거를 가져온 특정 제어 도메인에 대한 규정을 준수하는 증거를 찾습니다.

 SELECT * FROM $EDS_ID WHERE eventData.resourceComplianceCheck IN ('PASSED','COMPLIANT') AND eventData.controlDomainName IN ('Logging and monitoring','Data security and privacy') AND eventData.dataSource NOT IN ('AWS Config')
기타 예외 API

다른 여러 가지 이유로 StartQueryAPI실패할 수 있습니다. 가능한 오류 및 설명의 전체 목록은 AWS CloudTrail API참조의 StartQuery 오류를 참조하십시오.

제어 도메인이 “구식”으로 표시된 것을 확인할 수 있습니다. 이것은 무엇을 의미하나요?

Evidence Finder에서 제어 도메인 필터를 적용하면 사용 가능한 일부 제어 도메인이 구식으로 설명되는 것을 볼 수 있습니다.

증거 찾기에 있는 오래된 제어 도메인 필터의 스크린샷

2024년 6월 6일부터 Audit Manager는 제어 카탈로그에서 제공하는 AWS 새로운 제어 도메인 세트를 지원합니다. 이러한 제어 도메인 목록을 가져오려면 AWS 제어 카탈로그 API 참조를 참조하십시오 ListDomains.

제어 도메인이 오래됨으로 표시되면 현재 보고 있는 제어 도메인은 제어 카탈로그에서 제공하는 새 제어 도메인이 아님을 의미합니다. AWS Audit Manager는 이러한 오래된 제어 도메인을 계속 지원하므로 증거를 검색할 때 여전히 기준으로 사용할 수 있습니다.

오래된 제어 도메인은 계속 지원하지만 새 제어 도메인을 대신 사용하는 것이 좋습니다. 새 제어 도메인은 2024년 6월 6일에 공통 제어 라이브러리의 일부로 출시된 업데이트된 표준 제어에 매핑됩니다. 이 날짜에 당사는 AWS 관리되는 출처로부터 증거를 수집할 수 있는 업데이트된 표준 규제 항목을 출시했습니다. 즉, 공통 또는 핵심 컨트롤에 대한 기본 데이터 소스가 업데이트될 때마다 Audit Manager는 모든 관련 표준 컨트롤에 동일한 업데이트를 자동으로 적용합니다.

검색 결과에서 여러 평가 보고서를 생성할 수 없습니다.

이 오류는 동시에 너무 많은 CloudTrail Lake 쿼리를 실행하여 발생합니다.

검색 결과를 그룹화하고 그룹화된 결과의 각 라인 항목에 대한 평가 보고서를 즉시 생성하려고 하면 이 오류가 발생할 수 있습니다. 검색 결과를 가져와 평가 보고서를 생성하면 각 작업에서 쿼리가 호출됩니다. 한 번에 최대 5개의 쿼리만 실행할 수 있습니다. 최대 수의 동시 쿼리를 실행하는 경우 MaxConcurrentQueriesException 오류 반응이 표시됩니다.

이 오류를 방지하려면 한 번에 너무 많은 평가 보고서를 생성하지 않도록 하세요. 최대 수의 동시 쿼리를 실행하는 경우 MaxConcurrentQueriesException 오류 반응이 표시됩니다. 이 오류 메시지가 표시되면 진행 중인 평가 보고서가 완료될 때까지 몇 분 정도 기다리세요.

Audit Manager 콘솔의 다운로드 센터 페이지에서 평가 보고서의 상태를 확인할 수 있습니다. 보고서가 완성되면 증거 찾기에서 그룹화된 결과로 돌아가세요. 그런 다음 계속해서 결과를 얻고 각 항목에 대한 평가 보고서를 생성할 수 있습니다.

검색 결과로부터 얻은 특정 증거를 포함시킬 수가 없었습니다.

귀하의 모든 검색 결과가 평가 보고서에 포함됩니다. 검색 결과 세트에서 개별 행을 선택적으로 추가할 수는 없습니다.

평가 보고서에 특정 검색 결과만 포함하려면 현재 검색 필터를 편집하는 것이 좋습니다. 이렇게 하면 보고서에 포함하려는 증거만 대상으로 검색 결과를 좁힐 수 있습니다.

증거 찾기 결과 중에 평가 보고서에 포함되지 않는 것도 있습니다.

평가 보고서를 생성할 때 추가할 수 있는 증거의 양에는 제한이 있습니다. 한도는 평가, 평가 보고서 대상으로 사용되는 S3 버킷의 지역, 평가에서 고객 관리를 사용하는지 여부에 따라 달라집니다 AWS KMS key. AWS 리전

  1. 동일 지역 보고서의 한도는 22,000(S3 버킷과 평가가 동일한 AWS 리전내에 있는 경우)입니다.

  2. 지역 간 보고서(S3 버킷과 평가가 서로 다른 AWS 리전내에 있는 경우)의 경우 한도는 3,500입니다.

  3. 고객 관리 KMS 키를 사용하는 평가의 경우 한도는 3,500입니다.

이 한도를 초과할 경우 보고서가 계속 생성됩니다. 그러나 Audit Manager는 보고서에 처음 3,500개 또는 22,000개의 증거 항목만 추가합니다.

이 문제를 방지하려면 현재 검색 필터를 편집하는 것이 좋습니다. 이렇게 하면 적은 양의 증거를 대상으로 하여 검색 결과를 줄일 수 있습니다. 필요한 경우 이 방법을 반복하여 하나의 큰 보고서 대신 여러 평가 보고서를 생성할 수 있습니다.

검색 결과를 바탕으로 평가 보고서를 작성하고 싶은데 나의 쿼리 문구가 작동하지 않습니다.

를 사용 중이고 쿼리 명령문에서 유효성 검사 예외가 반환되는 경우 아래 표에서 해결 방법에 대한 지침을 확인하세요. CreateAssessmentReportAPI

참고

쿼리 명령문이 제대로 작동하더라도 Audit Manager에서 CloudTrail 평가 보고서를 생성하는 데는 동일한 쿼리가 유효하지 않을 수 있습니다. 이는 두 서비스 간에 쿼리 검증이 약간 다르기 때문입니다.

문구 문제 Solution 참고

SELECT

SELECT 문구에는 열 이름이 포함되어 있습니다.

SELECT 문구를 제거하고 SELECT eventJson로 바꿉니다.

SELECT eventJson만 지원됩니다.

이 검증은 Audit Manager에서 처리합니다.

FROM

FROM 문구에 잘못된 이벤트 데이터 저장소 ID가 포함되어 있습니다.

또는

제공된 이벤트 데이터 저장소 ID가 귀하의 Audit Manager 설정의 이벤트 데이터 저장소 ID와 일치하지 않습니다.

edsID의 값이 귀하의 Audit Manager 설정에 지정된 이벤트 데이터 저장소 ID와 일치하는 경우, FROM 문구를 제거하고 FROM edsID로 바꾸세요.

Audit Manager 설정에서 이벤트 데이터 저장소를 검색할 수 있습니다. ARN 자세한 내용은 GetSettings AWS Audit ManagerAPI참조를 참조하십시오.

 이 검증은 Audit Manager에서 처리합니다.

GROUP BY

쿼리에 GROUP BY 문구가 있습니다.

GROUP BY 문구를 삭제합니다.

 이 검증은 Audit Manager에서 처리합니다.

HAVING

쿼리에 HAVING 문구가 있습니다.

HAVING 문구를 삭제합니다.

 이 검증은 Audit Manager에서 처리합니다.

LIMIT

LIMIT 문구에 최대 허용 한도를 초과하는 값이 포함되어 있습니다.

LIMIT 문구가 있는 경우 그 값이 지원되는 최대 한도 이하인지 확인하세요.

  • 동일 지역 보고서의 경우 한도는 22,000입니다.

  • 지역 간 보고서의 경우 한도는 3,500입니다.

  • 관련 평가에서 관리 대상 AWS KMS key고객을 사용하는 보고서의 경우 한도는 3,500개입니다.

콘솔에서는 제공할 수 있는 증거 결과의 수에는 제한이 없습니다. 하지만 평가 보고서를 생성할 때 포함할 수 있는 증거의 양에는 제한이 적용됩니다.

쿼리 명령문에 LIMIT 값이 제공되지 않은 경우 기본 최대 한도가 적용됩니다.

이 검증은 Audit Manager에서 처리합니다.

ORDER BY

ORDER BY 문구에는 SELECT 문구에 없는 집계 함수 또는 별칭이 포함되어 있습니다.

집계 함수 또는 별칭을 사용하여 ORDER BY 문구에 조건이 포함되어 있지 않은지 확인합니다.

 이 검증은 에서 CloudTrail StartQuery API 처리합니다.

WHERE

WHERE 문구에는 복수의 assessmentId가 포함되어 있습니다.

또는

WHERE 문구에 귀하의 createAssessmentReport 요청 내 assessmentId과 일치하지 않는 assessmentId이 포함되어 있습니다.

또는

WHERE 문구에 지원되지 않는 열 이름이 포함되어 있습니다.

AssmentID가 하나만 지정되고 요청에서 지정한 assessmentId 매개변수와 일치하는지 확인하십시오. createAssessmentReport API

지원되지 않는 열 이름을 제거합니다.

 이 검증은 에서 처리합니다. CloudTrail StartQuery API

다음 예제는 CreateAssessmentReport작업을 호출할 때 queryStatement 매개 변수를 사용하는 방법을 보여줍니다. 이러한 쿼리를 사용하기 전에 다음을 대체하십시오.placeholder text 자신의 edsId assessmentId 가치와 가치로

예 1: 보고서 생성(동일 지역 제한 적용)

이 예시에서는 2022년 1월 22일부터 23일 사이에 생성된 S3 버킷에 대한 결과가 포함된 보고서를 생성합니다.

SELECT eventJson FROM 12345678-abcd-1234-abcd-123456789012 WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-01-22 00:00:00.000' AND eventTime < '2022-01-23 00:00:00.000' AND eventName='CreateBucket' LIMIT 22000
예 2: 보고서 생성(지역 간 제한 적용)

이 예시에서는 날짜 범위를 지정하지 않고 지정된 이벤트 데이터 저장소 및 평가에 대한 모든 결과가 포함된 보고서를 생성합니다.

SELECT eventJson FROM 12345678-abcd-1234-abcd-123456789012 WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' LIMIT 7000
예제 3: 보고서 생성(기본 한도 미만)

이 예시에서는 지정된 이벤트 데이터 저장소 및 평가에 대한 모든 결과를 포함하는 보고서를 생성합니다. 이 한도는 기본 최대값보다 작습니다.

SELECT eventJson FROM 12345678-abcd-1234-abcd-123456789012 WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' LIMIT 2000

추가 리소스

다음 페이지에는 평가 보고서에 대한 일반적인 문제 해결 지침이 포함되어 있습니다.

CSV수출이 실패했습니다.

여러 가지 이유로 CSV 수출이 실패할 수 있습니다. 가장 빈번한 원인을 확인하여 이 문제를 해결할 수 있습니다.

먼저 CSV 내보내기 기능을 사용하기 위한 사전 요구 사항을 충족하는지 확인하십시오.

증거 찾기를 성공적으로 활성화했습니다

귀하가 증거 찾기를 활성화하지 않은 경우 검색 쿼리를 실행하고 검색 결과를 내보낼 수 없습니다.

이벤트 데이터 저장소 채우기가 완료되었습니다

증거 찾기를 활성화한 후 즉시 사용하는데 증거 채우기가 아직 진행 중인 경우 일부 결과가 제공되지 않을 수 있습니다. 채우기 상태를 확인하려면 을 참조하십시오. 증거 찾기 상태 확인하기

귀하의 검색 쿼리가 성공했습니다

Audit Manager는 실패한 쿼리의 결과를 내보낼 수 없습니다. 실패한 쿼리 문제를 해결하려면 검색 쿼리가 실패했습니다.을 참조하세요.

사전 요구 사항을 충족하는지 확인한 후 다음 체크리스트를 사용하여 잠재적 문제를 확인하세요.

  1. 귀하의 검색 쿼리의 상태를 다음과 같이 확인합니다.

    1. 쿼리가 취소되었나요? 증거 찾기는 쿼리가 취소되기 전에 처리된 부분적인 결과를 표시합니다. 하지만 Audit Manager는 부분적인 결과를 S3 버킷이나 다운로드 센터로 내보내지 않습니다.

    2. 쿼리가 1시간 넘게 실행되었나요? 한 시간 이상 실행되는 쿼리는 시간이 초과될 수 있습니다. 증거 찾기는 쿼리가 시간 초과되기 전에 처리된 부분적인 결과를 표시합니다. 하지만 Audit Manager는 부분적인 결과를 내보내지 않습니다. 시간 초과를 방지하려면 스캔하는 증거의 양을 줄여 더 좁은 시간 범위를 지정할 수 있습니다. 검색 필터 편집

  2. 내보내기 대상 S3 URI 버킷의 이름과 이름을 확인하십시오.

    1. 귀하가 지정한 버킷이 존재하나요? 버킷을 수동으로 입력한 경우URI, 아무것도 잘못 입력하지 않았는지 확인하십시오. Audit Manager가 CSV 파일을 Amazon S3로 내보내려고 할 때 오타가 있거나 잘못된 RESOURCE_NOT_FOUND 경우 오류가 발생할 URI 수 있습니다.

  3. 내보내기 대상 S3 버킷의 권한을 확인하세요.

    1. S3 버킷에 대한 쓰기 권한이 있나요? 내보내기 대상으로 사용 중인 S3 버킷에 대한 쓰기 권한을 귀하가 가지고 있어야 합니다. 보다 구체적으로, IAM 권한 정책에는 s3:PutObject 작업과 ARN 버킷이 포함되어야 하고 서비스 보안 CloudTrail 주체로 나열되어야 합니다. 귀하가 사용할 수 있는 정책 예시를 제공합니다.

  4. AWS 리전 정보가 일치하지 않는지 확인하세요.

    1. 고객 관리 키가 평가 AWS 리전 내용과 일치하나요? AWS 리전 귀하가 데이터 암호화를 위하여 고객 관리 키를 제공한 경우 해당 키는 귀하의 평가와 동일한 AWS 리전 내에 있어야 합니다. KMS키 변경 방법에 대한 지침은 을 참조하십시오데이터 암호화 설정 구성.

  5. 위임된 관리자 계정의 권한을 확인하세요.

    1. 귀하의 Audit Manager 설정의 고객 관리 키는 위임된 관리자에게 권한을 부여합니까? 위임된 관리자 계정을 사용하고 데이터 암호화를 위해 고객 관리 키를 지정한 경우 위임된 관리자가 해당 KMS 키에 액세스할 수 있는지 확인하세요. 지침은 AWS Key Management Service 개발자 안내서의 다른 계정의 사용자에게 KMS 키 사용 허용을 참조하십시오. Audit Manager에서 암호화 설정을 검토 및 변경하려면 을 참조하십시오데이터 암호화 설정 구성.

참고

Audit Manager 데이터 암호화 설정을 변경하는 경우 이러한 변경 사항은 앞으로 새로 생성하는 평가에 적용됩니다. 여기에는 새 평가에서 내보낸 모든 CSV 파일이 포함됩니다.

암호화 설정을 변경하기 전에 생성한 기존 평가에는 변경 내용이 적용되지 않습니다. 여기에는 기존 CSV 내보내기뿐 아니라 기존 평가의 새 내보내기도 포함됩니다. CSV 기존 평가 및 모든 CSV 내보내기는 계속해서 이전 키를 사용합니다. KMS CSV파일을 내보내는 IAM ID에 이전 KMS 키를 사용할 권한이 없는 경우 키 정책 수준에서 권한을 부여할 수 있습니다.

검색 결과에서 특정 증거를 내보낼 수 없었습니다.

모든 검색 결과가 결과에 포함됩니다.

CSV파일에 특정 증거만 포함하려면 현재 검색 필터를 편집하는 것이 좋습니다. 이렇게 하면 내보내려는 증거만 대상으로 검색 결과를 좁힐 수 있습니다.

한 번에 여러 CSV 파일을 내보낼 수 없습니다.

이 오류는 동시에 너무 많은 CloudTrail Lake 쿼리를 실행하여 발생합니다.

검색 결과를 그룹화하고 그룹화된 결과의 각 라인 항목에 대해 CSV 파일을 즉시 내보내려고 하면 이런 일이 발생할 수 있습니다. 검색 결과를 가져오고 CSV 파일을 내보내는 경우 이러한 각 작업을 수행하면 쿼리가 호출됩니다. 한 번에 최대 5개의 쿼리만 실행할 수 있습니다. 최대 수의 동시 쿼리를 실행하는 경우 MaxConcurrentQueriesException 오류 반응이 표시됩니다.

이 오류를 방지하려면 한 번에 너무 많은 CSV 파일을 내보내지 않도록 하세요.

이 오류를 해결하려면 진행 중인 CSV 내보내기가 완료될 때까지 기다리십시오. 대부분의 내보내기에는 몇 분이 소요됩니다. 그러나 매우 많은 양의 데이터를 내보내는 경우 내보내기를 완료하는 데 최대 1시간이 걸릴 수 있습니다. 내보내기가 진행되는 동안에는 증거 찾기를 사용하지 않아도 됩니다.

Audit Manager 콘솔의 다운로드 센터에서 내보내기 상태를 확인할 수 있습니다. 내보낸 파일이 준비되면 증거 찾기에서 그룹화된 결과로 돌아가세요. 그런 다음 계속해서 결과를 확인하고 각 라인 항목에 대한 CSV 파일을 내보낼 수 있습니다.