本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
证据查找器
证据查找器提供了一种在 Audit Manager 中搜索证据的强大功能。现在,您可以使用证据查找器快速查询证据,而不必通过浏览嵌套程度很高的证据文件夹来查找所需内容。如果您以委派管理员的身份使用证据查找器,则可以在组织中的所有成员账户中搜索证据。
使用筛选条件和分组的组合,可以逐步缩小搜索查询的范围。例如,如果您想从高层次查看系统运行状况,请进行广泛搜索并按评测、日期范围以及资源合规性进行筛选。如果您的目标是修复特定资源,则可以执行狭窄搜索,以瞄准特定控件或资源 ID 的证据。定义筛选条件后,您可分组并预览匹配的搜索结果,然后再创建评测报告。
若要使用证据查找器,必须从 Audit Manager 设置中启用此功能。
关键点
了解证据查找器如何与 Lak CloudTrail e 配合使用
证据查找器使用 AWS CloudTrail Lake 的查询和存储功能。在开始使用证据查找器之前,进一步了解 La CloudTrail ke 的工作原理会很有帮助。
CloudTrail Lake 将数据聚合到支持强大的 SQL 查询的单个可搜索事件数据存储中。这意味着您可在组织中搜索自定义时间范围内的数据。您可借助证据查找器,直接在 Audit Manager 控制台中使用此搜索功能。
当您请求启用证据查找器,Audit Manager 会代表您创建事件数据存储。启用证据查找器后,所有未来的 Audit Manager 证据都将导入事件数据存储中,供证据查找器搜索查询。启用证据查找器后,我们还会通过您过去两年的证据数据回填新创建的事件数据存储库。如果您以委派管理员的身份使用证据查找器,我们会回填您组织中所有成员账户的数据。
您的所有证据数据,无论是回填的还是新证据,都将在事件数据存储中保留 2 年。您可以随时更改默认留存期。有关说明信息,请参阅 AWS CloudTrail 用户指南中的更新事件数据存储。您可以在事件数据存储中保存事件数据长达七年,即2555天。
注意
向事件数据存储中添加新的证据数据时,会产生数据存储和摄取的 CloudTrail Lake 费用。
对于 CloudTrail Lake 查询,您需要按使用量付费。这意味着,对于您在证据查找器中运行的每项搜索查询,您都需要为扫描的数据付费。
有关 CloudTrail Lake 定价的更多信息,请参阅AWS CloudTrail 定价
后续步骤
要开始使用,请从 Audit Manager 设置中启用证据查找器。有关说明,请参阅启用证据查找器。
其他 资源
