AWS Audit Manager 不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [AWS Audit Manager 可用性变更](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 更改控件收集证据的频率
<a name="change-evidence-collection-frequency"></a>



 AWS Audit Manager 可以从各种数据源收集证据。证据收集的频率取决于控件所使用的数据来源类型。

以下章节提供了有关每种控件数据来源类型的证据收集频率以及如何对其进行更改（如果适用）的更多信息。

**Topics**
+ [关键点](#change-evidence-collection-frequency-key-points)
+ [API 调用的配置快照](#change-evidence-collection-frequency-api-calls)
+ [合规性检查来自 AWS Config](#change-evidence-collection-frequency-config)
+ [来自 Security Hub CSPM 的合规性检查](#change-evidence-collection-frequency-security-hub)
+ [用户活动日志来自 AWS CloudTrail](#change-evidence-collection-frequency-cloudtrail)

## 关键点
<a name="change-evidence-collection-frequency-key-points"></a>
+ 对于 **AWS API 调用**，Audit Manager 使用对另一个 AWS 服务的描述 API 调用来收集证据。您可以直接在 Audit Manager 中指定证据收集频率（仅适用于自定义控件）。
+ 对于 **AWS Config**，Audit Manager 直接从中报告合规性检查的结果 AWS Config。频率遵循 AWS Config 规则中定义的触发器。
+ 对于 **AWS Security Hub CSPM**，Audit Manager 直接从 Security Hub CSPM 报告合规性检查的结果。频率遵循了 Security Hub CSPM 检查的时间表。
+ 对于 **AWS CloudTrail**，Audit Manager 不断从中收集证据 CloudTrail。您无法更改此类证据的收集频率。

## 来自 AWS API 调用的配置快照
<a name="change-evidence-collection-frequency-api-calls"></a>

**注意**  
以下内容仅适用于自定义控件。对于标准控件，您无法更改证据收集频率。

如果自定义控件使用 AWS API 调用作为数据源类型，则可以按照以下步骤在 Audit Manager 中更改证据收集频率。

**更改以 API 调用作为数据来源的自定义控件的证据收集频率**

1. 在[https://console.aws.amazon.com/auditmanager/家](https://console.aws.amazon.com/auditmanager/home)中打开 AWS Audit Manager 控制台。

1. 在导航窗格中，选择**控件库**，然后选择**自定义**选项卡。

1. 选择要编辑的自定义控件，然后选择**编辑**。

1. 在**编辑控件详细信息**页面上，选择**编辑**。

1. 在**客户管理型来源**下，查找要更新的 API 调用数据来源。

1. 从表格中选择数据来源，然后选择**移除**。

1. 选择**添加**。

1. 选择 **AWS API 调用**。

1. 选择您在第 5 步中移除的 API 调用，然后选择您的首选证据收集频率。

1. 在**数据来源名称**下方，提供描述性名称。

1. （可选）在**其他详细信息**下，输入数据来源描述和疑难解答描述。

1. 选择**下一步**。

1. 在**编辑行动计划**页面上，选择**下一步**。

1. 在**查看和更新**页面上，查看自定义控件的信息。若要更改步骤信息，请选择**编辑**。

1. 完成后，选择**保存更改**。

在编辑控件后，所做的更改将在第二天 00:00（UTC）在包含该控件的所有活动评测中生效。

## 合规性检查来自 AWS Config
<a name="change-evidence-collection-frequency-config"></a>

**注意**  
以下内容适用于使用 AWS Config 规则 作为数据来源的标准控件和自定义控件。

如果控件 AWS Config 用作数据源类型，则无法直接在 Audit Manager 中更改证据收集频率。这是因为频率遵循 AWS Config 规则中定义的触发器。

有两种类型的触发器 AWS Config 规则：

1. **配置更改**- AWS Config 在创建、更改或删除某些类型的资源时对规则进行评估。

1. **定期**- AWS Config 按您选择的频率对规则进行评估（例如，每 24 小时一次）。

要了解有关触发器的更多信息 AWS Config 规则，请参阅《*AWS Config 开发者指南》*中的[触发器类型](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html#aws-config-rules-trigger-types)。

有关如何管理的说明 AWS Config 规则，请参阅[管理您的 AWS Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_manage-rules.html)。

## 来自 Security Hub CSPM 的合规性检查
<a name="change-evidence-collection-frequency-security-hub"></a>

**注意**  
以下内容适用于使用 Security Hub CSPM 检查作为数据源的标准控件和自定义控件。

如果控件使用 Security Hub CSPM 作为数据源类型，则无法直接在 Audit Manager 中更改证据收集频率。这是因为频率遵循了 Security Hub CSPM 检查的时间表。
+ 在最近一次运行后的 12 小时内，将自动运行**定期检查**。您无法更改周期。
+ 在关联的资源更改状态时，将运行**更改触发的检查**。即使资源没有更改状态，更改触发的检查的更新时间也将每 18 小时刷新一次。这有助于指明控件仍处于启用状态。通常，Security Hub CSPM 尽可能使用更改触发的规则。

要了解更多信息，请参阅 *AWS Security Hub CSPM 用户指南*中的[安全检查运行时间表](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-schedule.html)。

## 用户活动日志来自 AWS CloudTrail
<a name="change-evidence-collection-frequency-cloudtrail"></a>

**注意**  
以下内容适用于使用 AWS CloudTrail 用户活动日志作为数据来源的标准控件和自定义控件。

对于使用活动日志 CloudTrail 作为数据源类型的控件，您无法更改证据收集频率。Audit Manager 会持续收集此类证据。 CloudTrail 这种频率是持续的，因为用户活动可以在一天中的任何时间发生。