本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 证据查找器的筛选条件和分组选项
<a name="evidence-finder-filters-and-groups"></a>



在此页面上，您可以查看证据查找器中可用的筛选条件和分组选项列表。

## 筛选条件参考
<a name="filters"></a>

您可以使用以下过滤器来查找符合特定标准的证据，例如评估、对照或 AWS 服务。

**主题**
+ [必要筛选条件](#required-filters)
+ [其他筛选条件（可选）](#additional-filters)
+ [组合筛选条件](#combining-filters)

### 必要筛选条件
<a name="required-filters"></a>

使用这些筛选条件，开始对评测中的证据进行简要概述。


| 筛选条件名称 | 说明 | 注意 | 
| --- | --- | --- | 
|  **评测**  |  返回特定评测证据。  |  您只能按一项评测筛选。  | 
|  **日期范围**  |  返回特定时间段内的证据。  |  或者，您也可以使用*相对范围*定义相对于今天日期的范围（例如**Last 30 days**）。 或者，您可以使用*绝对范围* 指定特定的日期范围（例如**June 27th – July 4th**）。  | 
| 资源合规性 | 返回经特定合规性检查评测的资源。 |  Audit Manager 收集使用 AWS Config 和 S [ecurity Hub CSPM 作为数据源类型的控件的合规性检查证据](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#evidence)。在收集证据期间，可能需要评测多种资源。因此，一份合规性检查证据可包含一个或多个资源。您可以使用此筛选条件浏览资源级别的合规性状态。 您可以选择以下选项之一： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/evidence-finder-filters-and-groups.html)  | 

### 其他筛选条件（可选）
<a name="additional-filters"></a>

使用这些筛选条件缩小搜索查询范围。例如，使用**服务**查看与 Amazon S3 关联的所有证据。使用**资源类型**功能，可以仅关注 S3 存储桶。或者，使用**资源 ARN** 定位特定的 S3 存储桶。

您可使用以下条件创建其他筛选条件。


| 条件名称 | 说明 | 何时使用此条件 | 
| --- | --- | --- | 
| 账户 ID |  向下钻取 AWS 账户。  | 使用此条件查找与特定 AWS 账户相关的证据。 | 
| 控件 |  按控件名称向下钻取。  |  使用此条件查找与特定控件相关的证据。  | 
| 控件域 |  按控件域向下钻取。  |  为审计做准备时，使用此标准将重点放在特定的主题领域。如果您要查询按标准框架创建的评测，则可以按控制域进行筛选。 控件域的示例包括网络安全、身份和访问管理以及数据保护。 在审计管理器过渡到控制目录提供的一组新的控制域之后，某些控制域可能会被 AWS 标记为 “**已过**期”。有关更多信息，请参阅 [我看到控件域被标记为“已过时”。这意味着什么？](evidence-finder-issues.md#outdated-control-domains)。  | 
| 数据来源类型 |  按数据来源类型向下钻取。  |  使用此条件将重点放在特定数据来源。 将该值设置为 `Manual`，以查找您手动上传的证据。否则，您可以根据自动证据的来源（例如`AWS Config`、`CloudTrail`、`Security Hub CSPM` 或 `AWS API calls`）筛选自动证据。  | 
| 事件名称 |  按事件名称向下钻取。  |  使用此条件，将重点放在与证据相关的特定事件。事件指的是 AWS 账户中的某一活动的记录。 例如，您可以搜索 API 调用的名称，如用于配置权限的 IAM `AttachRolePolicy` 操作。或者，搜索 CloudTrail 关键字，例如用户登录您的账户 CloudTrail 时记录`ConsoleLogin`的事件。  | 
| 资源 ARN |  按Amazon 资源名称（ARN）向下钻取。  |  使用此条件查找与特定 AWS 资源相关的证据。  | 
| 资源类型 |  按资源类型向下钻取。  | 使用此条件，重点关注正在评测的资源类型，例如 Amazon EC2 实例或 S3 存储桶。 | 
| 服务 |  按 AWS 服务 名称向下钻取。  | 使用此标准查找与特定 AWS 服务内容相关的证据，例如 Amazon EC2、Amazon S3 或 AWS Config。 | 
| 服务类别 |  按 AWS 服务 类别向下钻取。  | 使用此标准将重点放在特定的类别上 AWS 服务。示例包括安全性、身份和合规性、数据库以及存储。 | 

### 组合筛选条件
<a name="combining-filters"></a>



#### 条件行为
<a name="criteria-behavior"></a>

指定多个条件时，Audit Manager 会针对您的选择应用 `AND` 运算符。这意味着所有条件都被分组至同一查询中，并且结果必须与所有组合条件相匹配。

**示例**  
在以下筛选条件设置中，证据查找器返回过去 7 天内调用的**MySOC2Assessment**不合规评测资源。此外，结果与 IAM policy 以及指定控件有关。

![\[选择已应用的筛选条件，并突出显示 AND 运算符。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/evidence-finder-filter_description-console.png)


#### 条件值行为
<a name="criteria-value-behavior"></a>

当您指定多个条件值时，这些值将与 `OR` 运算符相关联。证据查找器返回与这些条件值中的任何一个都匹配的结果。

**示例**  
在以下筛选器设置中，证据查找器返回来自 AWS CloudTrail AWS Config、或的搜索结果 AWS Security Hub CSPM。

![\[显示为单个条件定义的、多个值的筛选条件设置示例。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/evidence-finder-filter_description-multiple_values-console.png)


## 分组引用
<a name="groups"></a>

您可以对搜索结果进行分组，以更快导航。分组显示搜索结果的广度，及其在特定维度上的分布情况。

您可使用以下任意分组值。


| 分组依据 | 说明  | 
| --- | --- | 
| 账户 ID | 按以下方式对结果进行分组 AWS 账户。 | 
| 控件 | 按控件名称对结果分组。 | 
| 数据源类型 | 按证据来源的数据来源类型对结果分组。 | 
| 事件名称 | 按事件名称对结果分组。 | 
| 资源 ARN | 按Amazon 资源名称（ARN）对结果分组。 | 
| 资源类型 | 按资源类型对结果分组。 | 
| 服务 | 按 AWS 服务 名称对结果进行分组。 | 
| 服务类别 | 按 AWS 服务 类别对结果进行分组。 |