本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 审计结果报告
<a name="mask-sensitive-log-data-audit-findings"></a>

如果您将 CloudWatch 日志数据保护审计策略设置为将审计报告写入 CloudWatch 日志、Amazon S3 或 Firehose，则这些发现报告与以下示例类似。 CloudWatch 日志会为每个包含敏感数据的日志事件写入一份发现报告。

```
{
    "auditTimestamp": "2023-01-23T21:11:20Z",
    "resourceArn": "arn:aws:logs:us-west-2:111122223333:log-group:/aws/lambda/MyLogGroup:*",
    "dataIdentifiers": [
        {
            "name": "EmailAddress",
            "count": 2,
            "detections": [
                {
                    "start": 13,
                    "end": 26
                },
{
                    "start": 30,
                    "end": 43
                }
            ]
        }
    ]
}
```

报告中的字段如下：
+ `resourceArn` 字段显示发现敏感数据的日志组。
+ `dataIdentifiers` 对象显示有关您正在审计的一种敏感数据的发现结果的信息。
+ `name` 字段标识此部分报告的敏感数据类型。
+ `count` 字段显示此类敏感数据在日志事件中出现的次数。
+ `start` 和 `end` 字段按字符计数显示日志事件中每次出现敏感数据的位置。

前面的示例显示了在一个日志事件中找到两个电子邮件地址的报告。第一个电子邮件地址从日志事件的第 13 个字符开始，到第 26 个字符结束。第二个电子邮件地址从第 30 个字符到第 43 个字符。即使此日志事件有两个电子邮件地址，`LogEventsWithFindings` 指标的值也只递增一，因为该指标计算包含敏感数据的日志事件的数量，而不是敏感数据的出现次数。

## 将审计结果发送到受保护的存储桶所需的密钥策略 AWS KMS
<a name="mask-sensitive-log-data-audit-findings-kms"></a>

您可以通过启用 Amazon S3 托管式密钥的服务器端加密（SSE-S3）或 KMS 密钥的服务器端加密（SSE-KMS）来保护 Amazon S3 存储桶中的数据。有关详情，请参阅《Amazon S3 用户指南》中的[使用服务器端加密保护数据](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html)。

如果将审计调查结果发送到 SSE-S3 保护的存储桶，则不需要额外的配置。Amazon S3 处理加密密钥。

如果将审计调查发现发送到 SSE-KMS 保护的存储桶，则您必须更新 KMS 密钥的密钥政策，以确保日志传输账户可以写入您的 S3 存储桶。有关与 SSE-KMS 一起使用的所需密钥策略的更多信息，请参阅 Amazon L CloudWatch ogs 用户指南[Amazon S3 存储桶服务器端加密](AWS-logs-infrastructure-S3.md#AWS-logs-SSE-KMS-S3)中的。