确认取证者的状态 - AWS Audit Manager
先决条件 过程后续步骤其他 资源

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

确认取证者的状态

提交启用证据查找器的请求后,最多需要 10 分钟才能启用该功能并创建事件数据存储。一旦创建了事件数据存储,所有新的证据就会被导入事件数据存储中。

启用证据查找器并创建事件数据存储后,我们会在新创建的事件数据存储中重新填充您过去两年的证据。此过程会自动进行,最多需要七天才能完成。

按照此页面上的步骤检查并了解您启用证据查找器的请求的状态。

先决条件

请务必按照步骤启用证据查找器。有关说明,请参阅 启用证据查找器

过程

您可以使用 Audit Manager 控制台 AWS CLI、或 Audit Manager 查看证据查找器的当前状态API。

Audit Manager console
在 Audit Manager 控制台上查看证据查找器的当前状态

  1. https://console.aws.amazon.com/auditmanager/家中打开 A AWS udit Manager 控制台。

  2. 在左侧导航窗格中,选择 设置

  3. 启用证据查找器 - 可选下,查看当前状态。

    每种状态的定义如下所示:

    Status 描述

    证据查找器未启用

    您尚未成功启用证据查找器。
    您已请求启用证据查找器

    您的请求正在等待事件数据存储的创建。
    证据查找器已启用

    事件数据存储已创建。您现在可以使用证据查找器。

    根据您拥有的证据量,用您过去的证据数据回填新的事件数据存储最多需要七天。蓝色的信息面板表示数据回填正在进行中。在此期间,请随时开始浏览证据查找器。但是,请记住,在回填完成之前,并非所有数据都可用。

    您已请求禁用证据查找器

    您的请求正在等待删除事件数据存储。
    证据查找器已被禁用

    证据查找器已被永久禁用,事件数据存储已删除。
AWS CLI
要在中查看证据查找器的当前状态 AWS CLI

调用 get-settings 命令,并将 --attribute 参数设置为 EVIDENCE_FINDER_ENABLEMENT

aws auditmanager get-settings --attribute EVIDENCE_FINDER_ENABLEMENT

此过程返回以下信息:

enablementStatus

此属性显示证据查找器的当前状态。

  • ENABLE_IN_PROGRESS - 您已请求启用证据查找器。目前正在创建事件数据存储以支持证据查找器查询。

  • ENABLED - 已创建事件数据存储并启用了证据查找器。我们建议您等待 7 天,直到事件数据存储库中回填您过去的证据数据。在此期间,您可以使用证据查找器,但在回填完成之前,并非所有数据都可用。

  • DISABLE_IN_PROGRESS - 您已请求禁用证据查找器,但您的请求正在等待删除事件数据存储。

  • DISABLED - 您已永久禁用证据查找器,并且删除了事件数据存储。此后,您将无法重新启用证据查找器。

backfillStatus

此属性显示证据数据回填的当前状态。

  • NOT_STARTED - 回填尚未开始。

  • IN_PROGRESS - 回填正在进行中。这最多需要七天才能完成,具体取决于证据数据的数量。

  • COMPLETED - 回填完成。您过去的所有证据现在都可以查询。

Audit Manager API
要查看证据查找器的当前状态,请使用 API

attribute参数设置为,调用该GetSettings操作EVIDENCE_FINDER_ENABLEMENT。此过程返回以下信息:

enablementStatus

此属性显示证据查找器的当前状态。

  • ENABLE_IN_PROGRESS - 您已请求启用证据查找器。目前正在创建事件数据存储以支持证据查找器查询。

  • ENABLED - 已创建事件数据存储并启用了证据查找器。我们建议您等待 7 天,直到事件数据存储库中回填您过去的证据数据。在此期间,您可以使用证据查找器,但在回填完成之前,并非所有数据都可用。

  • DISABLE_IN_PROGRESS - 您已请求禁用证据查找器,但您的请求正在等待删除事件数据存储。

  • DISABLED - 您已永久禁用证据查找器,并且删除了事件数据存储。此后,您将无法重新启用证据查找器。

backfillStatus

此属性显示证据数据回填的当前状态。

  • NOT_STARTED 表示回填尚未开始。

  • IN_PROGRESS 表示回填正在进行中。这最多需要七天才能完成,具体取决于证据数据的数量。

  • COMPLETED 表示回填完成。您过去的所有证据现在都可以查询。

有关更多信息,请参阅《Audit Manager API 参考evidenceFinderEnablement中的。

后续步骤

成功启用证据查找器后,您就可以开始使用该功能了。我们建议您等待 7 天,直到事件数据存储库中回填您过去的证据数据。在此期间,您可以使用证据查找器,但在回填完成之前,并非所有数据都可用。

要开始使用证据查找器,请参阅在证据查找器中搜索证据

其他 资源