從證據查找器導出搜索結果

檢閱完搜尋結果後，您可以根據這些結果產生評估報告。或者，您可以將證據查找器搜索結果導出為 CSV 文件。

必要條件

下列程序假設您已按照步驟執行搜尋，並在證據尋找器中檢閱搜尋結果。

程序

內容

• 從搜尋結果產生評估報告
• 將搜尋結果匯出為 CSV 檔案
  • 匯出結果後檢視結果

從搜尋結果產生評估報告

對搜尋結果滿意後，您可以產生評估報告。

要從搜尋結果產生評估報告

1. 在檢視結果表格頂端，選擇產生評估報告。

2. 輸入評估報告的名稱和說明，並檢閱評估報告詳細資訊。

3. 選擇產生評估報告。

您的評估報告需要幾分鐘的時間才會產生。發生這種情況時，您可以離開證據搜尋工具，等待綠色的成功通知提醒您報告已準備就緒。然後，您可以前往 Audit Manager 下載中心並下載您的評估報告。

注意

Audit Manager 僅使用搜尋結果中的證據來產生一次性報告。此報告不包含從評估頁面手動新增至報告的任何證據。

限制適用於評估報告中包含多少項證據。如需詳細資訊，請參閱 證據搜尋工具問題疑難排解。

將搜尋結果匯出為 CSV 檔案

您可能需要可攜式版本的證據搜尋工具搜尋結果。在這種情況下，您可以將搜尋結果匯出為 CSV 檔案。

匯出搜尋結果後，七天內 CSV 檔案仍可在 Audit Manager 下載中心取得。CSV 檔案的副本也會傳送到您偏好的 S3 儲存貯體中，這稱為匯出目的地。您的 CSV 檔案會保留在此儲存貯體中，直到您刪除該檔案為止。

Audit Manager 使用 CloudTrail Lake 功能從證據搜尋工具匯出和傳送 CSV 檔案。下列因素定義了 CSV 匯出程序的運作方式：

• 您的所有搜尋結果都包含在 CSV 檔案中。如果您只想在評估報告中包含特定的搜尋結果，建議您編輯您的搜尋篩選器。如此一來，您就可以縮小結果範圍，僅針對您要匯出的證據。

• CSV 檔案會以壓縮的 GZIP 格式匯出。預設 CSV 檔案名稱為 queryID/result.csv.gz，其中 queryID 是搜尋查詢的 ID。

• CSV 匯出的檔案大小上限為 1 TB。如果您要匯出超過 1 TB 的資料，您的結果會分割為多個檔案。每個 CSV 檔案都會命名為 result_number.csv.gz。您取得的 CSV 檔案數量取決於搜尋結果的總大小。例如，匯出 2 TB 的資料會提供兩個查詢結果檔案：result_1.csv.gz 和 result_2.csv.gz。

• 除了 CSV 檔案之外，還會將 JSON 簽署檔案傳送到您的 S3 儲存貯體。此檔案可做為總和驗證碼，以驗證 CSV 檔案中的資訊是否正確。若要深入了解，請參閱AWS CloudTrail 開發人員指南中的 CloudTrail sign 檔案結構。若要判斷查詢結果在傳送後是否已修改、刪除或未變更，您可以使用 CloudTrail 查詢結果完整性驗證。如需指示，請參閱 AWS CloudTrail 開發人員指南中的驗證已儲存的查詢結果。

注意

證據搜尋工具預覽或 CSV 匯出中，目前不包含手動證據文字回覆。若要檢視文字回應數據，請在證據搜尋工具結果中選擇手動證據名稱以開啟證據詳細資訊頁面。如果您需要在 Audit Manager 主控台以外檢視文字回應資料，建議您根據證據搜尋工具結果產生評估報告。所有手動證據詳細資料，包括文字回應，都包含在評估報告中。

首次匯出結果

首次匯出搜尋結果時，請依照下列步驟進行。此程序為您提供指定未來所有匯出的預設匯出目的地選項。如果您不想立即儲存預設的匯出目的地，您可以稍後透過更新匯出目的地設定來進行操作。

重要

開始之前，請確定您有可用的 S3 儲存貯體作為匯出目的地。您可以使用其中一個現有的 S3 儲存貯體，也可以在 Amazon S3 中建立新儲存貯體。此外，您的 S3 儲存貯體必須具有必要的許可政策，才能 CloudTrail 將匯出檔案寫入該儲存貯體。更具體地說，值區政策必須包含s3:PutObject動作和值區 ARN，並將其列 CloudTrail 為服務主體。我們提供您可以使用的範例權限策略。關於如何將此政策附加到 S3 儲存貯體的指南，請參閱使用 Amazon S3 主控台新增儲存貯體政策。

如需更多秘訣，請參閱匯出目的地的組態提示。。如果您在匯出 CSV 檔案時遇到任何問題，請參閱csv-exports。

匯出搜尋結果（首次執行體驗）

1. 在檢視結果表格頂端，選擇匯出 CSV。

2. 指定您要匯出檔案的 S3 儲存貯體。

   • 選擇瀏覽 S3 以從儲存貯體清單中選取。

   • 或者，您也可以使用以下格式輸入儲存貯體 URI：s3://bucketname/prefix

   提示

   為確保目的地儲存貯體有序組織，您可以為 CSV 匯出建立選用資料夾。若要這麼做，請在資源 URI 方塊中的值加上斜線 (/) 和字首 (例如，/evidenceFinderExports)。然後，Audit Manager 會在將 CSV 檔案新增至儲存貯體時包含此字首，而 Amazon S3 會產生字首指定的路徑。如需在 Amazon S3 中首碼的詳細資訊，請參閱在Amazon 簡易儲存服務使用者指南中的在 Amazon S3 主控台編組物件。

3. （選擇性）如果您不想將此儲存貯體預設為匯出目的地，請取消選取在我的證據搜尋工具設定中，將此儲存貯體預設為匯出目的地的核取方塊。

4. 選擇 Export (匯出)。

儲存匯出目的地後，匯出結果

將預設 S3 儲存貯體儲存為匯出目的地後，您可以繼續執行下列步驟。

匯出搜尋結果(儲存預設匯出目的地後)

1. 在檢視結果表格頂端，選擇匯出 CSV。

2. 在出現的提示中，檢閱將儲存匯出檔案的預設 S3 儲存貯體。

   1. （選擇性）若要繼續使用此儲存貯體並隱藏此訊息，請勾選 不要再提醒我 方塊。

   2. （選擇性）若要變更儲存貯體，請依照程序更新匯出目的地設定。

3. 選擇確認。

視您要匯出的資料量而定，匯出程序可能需要幾分鐘的時間才能完成。您可以在匯出過程中離開證據搜尋工具。當您離開證據搜尋工具時，您的搜尋作業將停止，搜尋結果也會自主控台移除。不過，CSV 匯出程序會在背景中繼續執行。CSV 檔案將包含符合您查詢的完整搜尋結果集。

匯出結果後檢視結果

若要尋找您的 CSV 檔案並檢查其狀態，請前往 Audit Manager Audit Manager 下載中心。匯出的檔案準備就緒後，您可以從下載中心下載 CSV 檔案。

您也可以在匯出目的地 S3 儲存貯體中找到，並下載 CSV 檔案。

在 Amazon S3 主控台中尋找 CSV 檔案和簽署檔案

1. 開啟 Amazon S3 主控台。

2. 選擇您在匯出 CSV 檔案時，指定的匯出目的地儲存貯體。

3. 瀏覽物件階層，直到找出 CSV 檔案和簽署檔案。CSV 檔案的副檔名為 .csv.gz，而簽署檔案的副檔名為 .json。

您將瀏覽與下列範例類似的物件階層，但使用不同的匯出目的地儲存貯體名稱、帳戶 ID、日期和查詢 ID。

All Buckets
    Export_Destination_Bucket_Name
        AWSLogs
            Account_ID;
                CloudTrail-Lake
                    Query
                        YYYY
                            MM
                              DD
                                Query_ID

其他資源

• 證據搜尋工具問題疑難排解

• 設定證據搜尋器的預設匯出目的地