从证据查找器导出搜索结果 - Amazon Audit Manager
先决条件 过程其他 资源

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

从证据查找器导出搜索结果

查看搜索结果后,您可以根据这些结果生成评估报告。或者,您可以将证据查找器搜索结果导出为 CSV 文件。

先决条件

以下过程假设您已经按照步骤在证据查找器中执行搜索并查看搜索结果

过程

根据搜索结果生成评估报告

对搜索结果感到满意后,您可以生成评估报告。

若要根据您的搜索结果生成评测报告

  1. 查看结果 表顶部,选择生成评测报告

  2. 输入评测报告的名称与描述,然后查看评测报告的详细信息。

  3. 选择生成评测报告

评测报告的生成需要几分钟时间。发生这种情况时,您可以离开证据查找器,绿色成功通知将确认报告准备就绪的时间。然后,您可以前往 Audit Manager 下载中心下载您的评测报告

注意

Audit Manager 仅通过搜索结果中的证据生成一次性报告。该报告不包括从评测页面手动添加至报告的任何证据。

评测报告中包含的证据数量有一定限制。有关更多信息,请参阅 证据查找器问题排查

将搜索结果导出为 CSV 文件

对于证据查找器搜索结果,您可能需要可移植版本。在这种情况下,您可以将搜索结果导出为 CSV 格式文件。

导出搜索结果后,CSV 文件可在 Audit Manager 下载中心保留七天,以供下载。CSV 文件的副本还会传送至您的首选 S3 存储桶,即所谓的导出目标。您的 CSV 文件在此存储桶中仍可用,直至您删除该文件。

Audit Manager 使用 CloudTrail Lake 功能从证据查找器中导出和交付 CSV 文件。以下因素定义了 CSV 导出过程的运行原理:

  • 您的所有搜索结果都包含在 CSV 格式文件中。如果您只想纳入特定搜索结果,我们建议您编辑搜索筛选条件。这样,您可以缩小结果范围,即仅针对要导出的证据。

  • CSV 文件以压缩 GZIP 格式导出。默认 CSV 文件名为 queryID/result.csv.gz,其中 queryID 是您的搜索查询的 ID。

  • 导出的最大 CSV 格式文件为 1 TB。如果您要导出超过 1 TB 的数据,则该结果将拆分为多个文件。每个 CSV 文件都以result_number.csv.gz命名。您获得的 CSV 文件数量,取决于搜索结果的总大小。例如,导出 2 TB 的数据会为您提供两个查询结果文件:即 result_1.csv.gzresult_2.csv.gz

  • 除了 CSV 文件外,您的 S3 存储桶还会收到 JSON 签名文件。该文件充当校验和,用于验证 CSV 文件中的信息是否准确。要了解更多信息,请参阅《AWS CloudTrail 开发人员指南》中的CloudTrail 签名文件结构。要确定查询结果在传送后是被修改、删除还是未更改,您可以使用 CloudTrail 查询结果完整性验证。若要了解更多信息,请参阅AWS CloudTrail 开发人员指南中的验证已保存的查询结果

注意

目前,证据查找器预览或 CSV 导出中不包含手动证据文字回复。要查看文本响应数据,请在证据查找器结果中选择手动证据名称以打开证据详细信息页面。如果您需要在 Audit Manager 控制台之外查看文字回复数据,我们建议您根据证据查找器的结果生成评测报告。所有手动证据细节(包括文字答复)都包含在评测报告中。

按以下步骤首次导出搜索结果。您可通过此程序选项,指定所有未来导出的默认导出目标。如果您现在不想保存默认导出目标,可以稍后通过更新导出目标设置进行保存。

重要

在开始之前,请确保您有 S3 存储桶可用作导出目标。您可以使用现有的 S3 存储桶之一,也可以在 Amazon S3 中创建新存储桶。此外,您的 S3 存储桶必须具有允许 CloudTrail 向其写入导出文件所需的权限策略。更具体地说,存储桶策略必须包括s3:PutObject操作和存储桶 ARN,并列 CloudTrail 为服务委托人。我们提供了一个权限策略示例‭以供您使用。有关如何将此策略附加至 S3 存储桶的说明,请参阅使用 Amazon S3 控制台添加存储桶策略

有关更多提示,请参阅导出目标的配置提示。如果在导出 CSV 文件时遇到任何问题,请参阅csv-exports

导出搜索结果(首次运行体验)

  1. 查看结果表顶部,选择导出 CSV

  2. 指定要将文件导出的目标 S3 存储桶。

    • 选择 浏览 S3,从您的存储桶列表中选择。

    • 或者,您可以输入以下格式的存储桶 URI:s3://bucketname/prefix

    提示

    要使目标存储桶井井有条,您可以为 CSV 导出创建一个可选文件夹。为此,请在资源 URI 框中的值前后附加一个斜杠 (/) 和一个前缀(例如 /evidenceFinderExports)。然后,Audit Manager 在将 CSV 文件添加至存储桶时会包含此前缀,而且 Amazon S3 会生成由该前缀指定的路径。有关 Amazon S3 中前缀的更多信息,请参阅 Amazon Simple Storage Service 用户指南中的 Amazon S3 控制台中的组织对象

  3. (可选)如果您不想将此存储桶保存为默认导出目标,请清除复选框 将此存储桶保存为证据查找器设置中的默认导出目标

  4. 选择导出

将默认 S3 存储桶保存为默认导出目标后,您可继续执行以下步骤。

若要导出搜索结果(在保存默认导出目标之后)

  1. 查看结果表顶部,选择导出 CSV

  2. 在出现的提示中,查看保存导出文件的默认 S3 存储桶。

    1. (可选)要继续使用此存储桶并继续隐藏此消息,请选中 不再提醒 复选框。

    2. (可选)若要更改此存储桶,请按步骤更新您的导出目标设置

  3. 选择确认

根据您要导出的数据量,导出过程可能需要几分钟完成。在导出过程中,您可随意离开证据查找器。当您离开证据查找器后,搜索将停止,搜索结果将被丢弃在控制台。但是,CSV 导出进程将在后台继续进行。CSV 文件将包含与您的查询匹配的完整搜索结果集。

导出结果后查看

要查找您的 CSV 文件并检查其状态,请前往 Audit Manager Audit Manager 下载中心。导出文件准备就绪后,您可以从下载中心下载 CSV 文件

您也可从导出目标 S3 存储桶中查找和下载 CSV 文件。

若要在 Amazon S3 控制台中查找您的 CSV 文件和签名文件

  1. 打开 Amazon S3 控制台

  2. 选择您在导出 CSV 文件时所指定的导出目标存储桶。

  3. 在对象层次结构中导航,直至找到 CSV 文件和签名文件。CSV .csv.gz文件具有扩展名,符号.json文件具有扩展名。

您将看到一个与下面示例类似的对象层次结构,但具体存储桶名称、账户 ID、日期和查询 ID 有所不同。

All Buckets
    Export_Destination_Bucket_Name
        AWSLogs
            Account_ID;
                CloudTrail-Lake
                    Query
                        YYYY
                            MM
                              DD
                                Query_ID

其他 资源