本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 Detective 中搜索发现或实体
<a name="detective-search"></a>

使用 Amazon Detective 搜索功能，您可以搜索调查发现或实体。从搜索结果中，您可以导航到实体配置文件或调查发现概述。如果搜索返回的结果超过 10000 个，则仅显示前 10000 个结果。更改排序顺序会改变返回的结果。

您可以将搜索结果导出为逗号分隔值 (.csv) 文件。该文件包含搜索页面中返回的数据。数据以逗号分隔值 (CSV) 格式导出。导出数据的文件名遵循模式 detective-page-panel-yyyy-mm-dd.csv 格式。您可以使用其他支持CSV导入的AWS服务、第三方应用程序或电子表格程序来操纵数据，从而丰富您的安全调查。

**注意**  
如果当前正在导出数据，请等到导出完成后再尝试导出其他数据。

## 完成搜索
<a name="detective-search-completing"></a>

要完成搜索，请选择要搜索的实体类型。然后提供确切标识符或带有通配符 `*` 或 `?` 的标识符。要搜索一定范围的 IP 地址，也可以使用CIDR或点符号。请参阅以下搜索字符串示例。

对于 IP 地址：
+ `1.0.*.*`
+ `1.0.133.*`
+ `1.0.0.0/16`
+ `0.239.48.198/31`

对于所有其他类型的实体：
+ `Admin`
+ `ad*`
+ `ad*n`
+ `ad*n*`
+ `adm?n`
+ `a?m*`
+ `*min`

对于每种实体类型，都支持以下标识符：
+ 对于调查结果，是查找标识符或查找 Amazon 资源名称 (ARN)。
+ 对于 AWS 账户，为账户 ID。
+ 对于 AWS 角色和 AWS 用户，可以是委托人 ID、姓名或ARN。
+ 对于容器集群，使用集群名称或ARN。
+ 对于容器映像，即存储库或容器映像的完整摘要。
+ 对于容器 Pod 或 Tasks，是容器 Pod UID 的名称或 Pod 的。
+ 对于EC2实例，请使用实例标识符或ARN。
+ 对于调查发现群组，即调查发现群组标识符。
+ 对于 IP 地址，使用CIDR或点号表示的地址。
+ 对于 Kubernetes 主体（服务账户或用户），即名称。
+ 对于角色会话，您可以使用以下任何值进行搜索：
  +  角色会话标识符。

    角色会话标识符使用格式 `<rolePrincipalID>:<sessionName>`。

    以下是一个示例：`AROA12345678910111213:MySession`。
  + 角色会话 ARN
  + 会话名称
  + 所代入角色的主体 ID
  + 所代入的角色的名称
+ 对于 S3 存储桶，为存储桶名称或存储桶ARN。
+ 对于联合用户，即主体 ID 或用户名。主体 ID 为 `<identityProvider>:<username>` 或 `<identityProvider>:<audience>:<username>`。
+ 对于用户代理，即用户代理名称。

**要搜索调查发现或实体**

1. 登录到 AWS 管理控制台。然后打开 Detective 控制台，网址为[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。

1. 在导航窗格中，选择**搜索**。

1. 从**选择类型**菜单中，选择您要查找的项目类型。

   请注意，选择**用户**时，您可以搜索 AWS 用户或联合用户。

   **数据示例**包含行为图数据中选定类型标识符的样本集。要显示其中一个示例的配置文件，请选择其标识符。

1. 输入要搜索的确切标识符或带通配符的标识符。

   搜索不区分大小写。

1. 选择**搜索**或按**输入**。

## 使用搜索结果
<a name="detective-search-results"></a>

完成搜索后，Detective 会显示一个包含多达 10000 个匹配结果的列表。对于使用唯一标识符的搜索，只有一个匹配结果。

要从结果中浏览实体配置文件或调查发现概述，请选择标识符。

对于搜索结果、角色、用户和EC2实例，搜索结果包括关联的账户。要导航到该账户的配置文件，请选择账户标识符。

## 搜索故障排除
<a name="detective-search-troubleshooting"></a>

如果 Detective 找不到调查发现或实体，请先检查输入的标识符是否正确。如果标识符正确，您还可以检查以下内容。
+ **在行为图中，该调查发现或实体是否属于已启用的成员账户？** 如果关联账户未被邀请以成员账户的身份访问行为图，则行为图中不包含该账户的数据。

  如果受邀成员账户未接受邀请，则行为图中不包含该账户的数据。
+ **对于调查发现，该调查发现是否存档？** Detective 不会收到来自亚马逊的存档调查结果 GuardDuty。
+ **这一调查发现或实体是否发生在 Detective 开始将数据导入行为图之前？** 如果 Detective 采集的数据中不存在该调查发现或实体，则行为图中就不包含相关数据。
+ **调查发现或实体是否来自正确的区域？** 每个行为图都特定于 AWS 区域. 行为图不包含来自其他区域的数据。