本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用证据查找器搜索证据
您可以使用证据查找器执行特定搜索,并快速显示相关证据以供审核。
在此页面上,您将了解如何按评测、日期范围、资源合规性状态及其他属性等条件筛选搜索。应用这些筛选条件可以将搜索范围缩小到您需要的证据。您还可以按特定字段对结果进行分组,以便更好地分析其中的规律。
## 先决条件
确保您已完成在 Audit Manager 设置中启用证据查找器的步骤。有关说明,请参阅[启用证据查找器](evidence-finder-settings-enable.md)。
此外,确保您有权使用证据查找器执行搜索查询。有关您可以使用的权限策略示例,请参阅[允许用户在证据查找器中运行搜索查询](security_iam_id-based-policy-examples.md#evidence-finder-query-access)。
## 过程
按以下步骤在 Audit Manager 控制台中搜索证据。
1. [执行搜索查询](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#performing-a-search)
1. [停止正在进行的搜索查询(可选)](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#stopping-a-search)
1. [编辑搜索查询的筛选条件(可选)](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#editing-a-search)
**注意**
您也可以使用 CloudTrail API 来查询您的证据数据。有关更多信息,请参阅《AWS CloudTrail API Reference》**中的 [StartQuery](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartQuery.html)。如果您更喜欢使用 AWS CLI,请参阅《*AWS CloudTrail 用户指南》*中的[开始查询](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-lake-cli.html#lake-cli-start-query)。
### 执行搜索查询
按以下步骤在证据查找器中执行搜索查询。
**若要搜索证据**
1. 在[https://console.aws.amazon.com/auditmanager/家](https://console.aws.amazon.com/auditmanager/home)中打开 AWS Audit Manager 控制台。
1. 在导航窗格中,选择**证据查找器**。
1. 接下来,应用筛选条件以缩小搜索范围。
1. 对于**评测**,请选择一项评测。
1. 对于**日期范围**,选择一个范围。
1. 对于**资源合规性**,请选择评测状态。
![\[证据查找器中所需的评测、日期范围和资源合规性筛选条件。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/evidence-finder-required_filters-console.png)
1. (可选)选择**其他筛选条件(可选)**以进一步缩小搜索范围。
1. 选择**添加标准**,选择一项标准,然后为该标准选择一个或多个值。
1. 继续按同样的方式构建更多筛选条件。
1. 若要移除不需要的筛选条件,请选择**移除**。
![\[证据查找器中用于特定控件的附加筛选条件。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/evidence-finder-additional_filters-console.png)
1. 在**分组**下,指定是否要对搜索结果进行分组。
1. 如果要对结果分组,请选择一个值作为此结果分组依据。
1. 如果不想对结果分组,请继续执行第 6 步。
![\[选定分组结果选项,按值选择分组。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/evidence-finder-grouping-console.png)
1. 选择**搜索**。
![\[用于在证据查找器中启动搜索查询的搜索按钮。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/evidence-finder-search-console.png)
您的搜索可能需要几分钟,具体取决于您的证据数据量。在搜索过程中,您可随意离开证据查找器。搜索结果准备就绪时,您会获得闪光栏通知。
### 停止搜索查询
如果出于任何原因要停止搜索查询,请按下列步骤操作。
**注意**
停止搜索查询,仍会产生费用。对于停止搜索查询之前扫描的证据数据量,您需要支付费用。停止后,您可查看返回的部分结果。
**若要停止正在进行的搜索查询**
1. 在屏幕顶部的蓝色进度闪烁栏中,选择**停止搜索**。
![\[表示搜索查询何时进行的蓝色闪光条。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/in_progress_search-evidence-finder-console.png)
1. (可选)查看在停止搜索查询前返回的部分结果。
1. 如果您在证据查找器页面,则屏幕上会显示部分结果。
1. 如果您离开了证据查找器,请在绿色确认闪光栏中选择**查看部分结果**。
![\[表示搜索停止时间的绿色闪光条。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/stopped_search-evidence-finder-console.png)
### 编辑搜索筛选条件
按以下步骤返回至最近的搜索查询,并根据需要调整筛选条件。
**注意**
当您编辑筛选条件并选择 **搜索** 时,将启动一个新的搜索查询。
**若要编辑最近的搜索查询**
1. 在**查看结果** 页面,从页面导览痕迹导航菜单中选择**证据查找器**。
![\[控制台上突出显示了证据查找器的面包屑导航菜单。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/breadcrumb_menu-evidence-finder-console.png)
1. 选择 **筛选条件和分组** 以展开筛选条件选择。
![\[证据查找器的可扩展筛选条件和分组部分。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/expand_filters-evidence-finder-console.png)
1. 接下来,编辑您的筛选条件或开始新搜索。
1. 要编辑筛选条件,请调整或移除当前的筛选条件和分组选择。
1. 要重新开始,请选择 **清除筛选条件**,然后应用您选择的筛选条件和分组选项。
![\[“清除筛选条件” 按钮可用于重新开始新的搜索查询。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/evidence-finder-clear_filters-console.png)
1. 完成此操作后,选择**搜索**。
![\[用于在证据查找器中启动新搜索查询的搜索按钮。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/evidence-finder-search-console.png)
## 后续步骤
搜索完成后,您可查看符合搜索条件的结果。有关说明,请参阅[查看证据查找器中的结果](viewing-search-results-in-evidence-finder.md)。
## 其他资源
+ [证据查找器的筛选条件和分组选项](evidence-finder-filters-and-groups.md)
+ [证据查找器示例使用案例](example-use-cases-for-evidence-finder.md)
+ [证据查找器问题排查](evidence-finder-issues.md)