翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 監査結果レポート
CloudWatch Logs、Amazon S3、または Firehose に監査レポートを書き込むように CloudWatch Logs のデータ保護監査ポリシーを設定した場合、これらの検出結果レポートは以下の例と類似します。CloudWatch Logs は、機密データが含まれるログイベントごとに 1 つの結果レポートを書き込みます。
```
{
"auditTimestamp": "2023-01-23T21:11:20Z",
"resourceArn": "arn:aws:logs:us-west-2:111122223333:log-group:/aws/lambda/MyLogGroup:*",
"dataIdentifiers": [
{
"name": "EmailAddress",
"count": 2,
"detections": [
{
"start": 13,
"end": 26
},
{
"start": 30,
"end": 43
}
]
}
]
}
```
レポート内のフィールドは、以下のとおりです。
+ `resourceArn` フィールドには、機密データが見つかったロググループが表示されます。
+ `dataIdentifiers` オブジェクトには、監査している機密データのタイプの 1 つに関する結果が表示されます。
+ `name` フィールドには、このセクションで報告されている機密データのタイプが特定されています。
+ `count` フィールドには、ログイベントでこのタイプの機密データが出現する回数が表示されます。
+ `start` および `end` フィールドには、機密データがログイベントのどこで出現しているかが、出現ごとに文字数で表示されます。
上記の例は、1 つのログイベントで 2 件の E メールアドレスが見つかったレポートです。最初の E メールアドレスは、ログイベントの 13 文字目から始まり、26 文字目で終わります。2 番目のメールアドレスは 30 文字目から 43 文字目までとなっています。このログイベントには 2 件の E メールアドレスがありますが、`LogEventsWithFindings` メトリクスの値は 1 つしかインクリメントされていません。これは、メトリクスが数えているのが機密データの出現回数ではなく、機密データが含まれるログイベントの数だからです。
## で保護された バケットに監査結果を送信するために必要なキーポリシー AWS KMS
Amazon S3 バケット内のデータを保護するには、Amazon S3 マネージドキーを使用したサーバー側の暗号化 (SSE-S3)、または KMS キーを使用したサーバー側の暗号化 (SSE-KMS) のいずれかを有効にします。詳細については、Amazon S3 ユーザーガイドの「[サーバー側の暗号化を使用したデータの保護](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html)」を参照してください。
SSE-S3 で保護されているバケットに監査結果を送信した場合、追加の設定は必要ありません。Amazon S3 が暗号化キーを処理します。
SSE-KMS で保護されているバケットに監査結果を送信すると、ログ配信アカウントが S3 バケットに書き込めるように、KMS キーのキーポリシーを更新する必要があります。SSE-KMS での使用に必要なキーポリシーについては、「Amazon CloudWatch Logs ユーザーガイド」の「[Amazon S3 バケットのサーバー側の暗号化](AWS-logs-infrastructure-S3.md#AWS-logs-SSE-KMS-S3)」を参照してください。