从证据查找器导出搜索结果 - AWS Audit Manager

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

从证据查找器导出搜索结果

查看搜索结果后,您可以根据这些结果生成评估报告。或者,您可以将证据查找器搜索结果导出到CSV文件中。

先决条件

以下过程假设您已经按照步骤在证据查找器中执行搜索并查看搜索结果

过程

根据搜索结果生成评估报告

对搜索结果感到满意后,您可以生成评估报告。

若要根据您的搜索结果生成评测报告
  1. 查看结果 表顶部,选择生成评测报告

  2. 输入评测报告的名称与描述,然后查看评测报告的详细信息。

  3. 选择生成评测报告

评测报告的生成需要几分钟时间。发生这种情况时,您可以离开证据查找器,绿色成功通知将确认报告准备就绪的时间。然后,您可以前往 Audit Manager 下载中心下载您的评测报告

注意

Audit Manager 仅通过搜索结果中的证据生成一次性报告。该报告不包括从评测页面手动添加至报告的任何证据。

评测报告中包含的证据数量有一定限制。有关更多信息,请参阅 证据查找器问题排查

将搜索结果导出到CSV文件中

对于证据查找器搜索结果,您可能需要可移植版本。在这种情况下,您可以将搜索结果导出到CSV文件中。

导出搜索结果后,该CSV文件将在七天内在 Audit Manager 下载中心提供。该CSV文件的副本还会传送到您的首选 S3 存储桶,即所谓的导出目的地。在您删除该CSV文件之前,您的文件在此存储桶中仍可用。

Audit Manager 使用 CloudTrail Lake 功能从证据查找器中导出和交付CSV文件。以下因素定义了CSV导出过程的工作原理:

  • 您的所有搜索结果都包含在CSV文件中。如果您只想纳入特定搜索结果,我们建议您编辑搜索筛选条件。这样,您可以缩小结果范围,即仅针对要导出的证据。

  • CSV文件以压缩GZIP格式导出。默认CSV文件名是queryID/result.csv.gz,其中queryID是您的搜索查询的 ID。

  • 一次CSV导出的最大文件大小为 1 TB。如果您要导出超过 1 TB 的数据,则该结果将拆分为多个文件。每个CSV文件都有名字result_number.csv.gz。您获得CSV的文件数量取决于搜索结果的总大小。例如,导出 2 TB 的数据会为您提供两个查询结果文件:即 result_1.csv.gzresult_2.csv.gz

  • 除CSV文件外,还会将JSON签名文件传送到您的 S3 存储桶。此文件充当校验和,用于验证CSV文件中的信息是否准确。要了解更多信息,请参阅AWS CloudTrail 开发人员指南中的CloudTrail 签名文件结构。要确定查询结果在传送后是被修改、删除还是未更改,您可以使用 CloudTrail 查询结果完整性验证。若要了解更多信息,请参阅AWS CloudTrail 开发人员指南中的验证已保存的查询结果

注意

目前,证据查找器预览或CSV导出中未包含手动证据文本回复。要查看文本响应数据,请在证据查找器结果中选择手动证据名称以打开证据详细信息页面。如果您需要在 Audit Manager 控制台之外查看文字回复数据,我们建议您根据证据查找器的结果生成评测报告。所有手动证据细节(包括文字答复)都包含在评测报告中。

按以下步骤首次导出搜索结果。您可通过此程序选项,指定所有未来导出的默认导出目标。如果您现在不想保存默认导出目标,可以稍后通过更新导出目标设置进行保存。

重要

在开始之前,请确保您有 S3 存储桶可用作导出目标。您可以使用现有的 S3 存储桶之一,也可以在 Amazon S3 中创建新存储桶。此外,您的 S3 存储桶必须具有允许 CloudTrail 向其写入导出文件所需的权限策略。更具体地说,存储桶策略必须包括s3:PutObject操作和存储桶ARN,并列 CloudTrail 为服务委托人。我们提供了一个权限策略示例‭以供您使用。有关如何将此策略附加至 S3 存储桶的说明,请参阅使用 Amazon S3 控制台添加存储桶策略

有关更多提示,请参阅导出目标的配置提示。如果您在导出CSV文件时遇到任何问题,请参阅csv-exports

导出搜索结果(首次运行体验)
  1. 查看结果表的顶部,选择导出CSV

  2. 指定要将文件导出的目标 S3 存储桶。

    • 选择 浏览 S3,从您的存储桶列表中选择。

    • 或者,您可以按以下URI格式输入存储桶:s3://bucketname/prefix

    提示

    为了使目标存储桶井井有条,您可以为CSV导出创建一个可选文件夹。为此,请在 “资源” URI 框中的值后面附加一个斜杠 (/) 和一个前缀(例如,/evidenceFinderExports)。然后,Audit Manager 在将CSV文件添加到存储桶时会包含此前缀,然后 Amazon S3 会生成由该前缀指定的路径。有关 Amazon S3 中前缀的更多信息,请参阅 Amazon Simple Storage Service 用户指南中的 Amazon S3 控制台中的组织对象

  3. (可选)如果您不想将此存储桶保存为默认导出目标,请清除复选框 将此存储桶保存为证据查找器设置中的默认导出目标

  4. 选择导出

将默认 S3 存储桶保存为默认导出目标后,您可继续执行以下步骤。

若要导出搜索结果(在保存默认导出目标之后)
  1. 查看结果表的顶部,选择导出CSV

  2. 在出现的提示中,查看保存导出文件的默认 S3 存储桶。

    1. (可选)要继续使用此存储桶并继续隐藏此消息,请选中 不再提醒 复选框。

    2. (可选)若要更改此存储桶,请按步骤更新您的导出目标设置

  3. 选择确认

根据您要导出的数据量,导出过程可能需要几分钟完成。在导出过程中,您可随意离开证据查找器。当您离开证据查找器后,搜索将停止,搜索结果将被丢弃在控制台。但是,CSV导出过程在后台继续进行。该CSV文件将包含与您的查询相匹配的完整搜索结果集。

导出结果后查看

要查找您的CSV文件并检查其状态,请前往 Audit Manager Audit Manager 下载中心。导出的文件准备就绪后,您可以从下载中心下载CSV文件

您也可以从您的导出目标 S3 存储桶中查找并下载该CSV文件。

在 Amazon S3 控制台中查找您的CSV文件并签署文件
  1. 打开 Amazon S3 控制台

  2. 选择您在导出CSV文件时指定的导出目标存储桶。

  3. 浏览对象层次结构,直到找到CSV文件和签名文件。CSV文件有.csv.gz扩展名,签名文件有.json扩展名。

您将看到一个与下面示例类似的对象层次结构,但具体存储桶名称、账户 ID、日期和查询 ID 有所不同。

All Buckets Export_Destination_Bucket_Name AWSLogs Account_ID; CloudTrail-Lake Query YYYY MM DD Query_ID

其他 资源