本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 從證據搜尋工具匯出搜尋結果
檢閱搜尋結果之後,您可以根據這些結果產生評估報告。或者,您可以在 CSV 檔案中匯出證據搜尋工具搜尋結果。
## 先決條件
下列程序假設您已遵循執行[搜尋的步驟,](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html)並在證據搜尋工具中[檢閱搜尋結果](https://docs.aws.amazon.com/audit-manager/latest/userguide/viewing-search-results-in-evidence-finder.html)。
## 程序
**Contents**
+ [從搜尋結果產生評估報告](#generate-one-time-report-from-search-results)
+ [將搜尋結果匯出至 CSV 檔案](#export-search-results)
+ [匯出結果後檢視結果](#viewing-results-after-export)
### 從搜尋結果產生評估報告
滿意搜尋結果後,您可以產生評估報告。
**要從搜尋結果產生評估報告**
1. 在**檢視結果**表格頂端,選擇**產生評估報告**。
1. 輸入評估報告的名稱和說明,並檢閱評估報告詳細資訊。
1. 選擇**產生評估報告**。
您的評估報告需要幾分鐘的時間才會產生。發生這種情況時,您可以離開證據搜尋工具,等待綠色的成功通知提醒您報告已準備就緒。然後,您可以前往 Audit Manager 下載中心並[下載您的評估報告](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html#download-a-file)。
**注意**
Audit Manager 僅使用搜尋結果中的證據來產生一次性報告。此報告不包含[從評估頁面手動新增至報告](https://docs.aws.amazon.com/audit-manager/latest/userguide/generate-assessment-report-include-evidence.html)的任何證據。
限制適用於評估報告中包含多少項證據。如需詳細資訊,請參閱[證據搜尋工具問題疑難排解](evidence-finder-issues.md)。
### 將搜尋結果匯出至 CSV 檔案
您可能需要可攜式版本的證據搜尋工具搜尋結果。在這種情況下,您可以將搜尋結果匯出為 CSV 檔案。
匯出搜尋結果後,七天內 CSV 檔案仍可在 Audit Manager 下載中心取得。CSV 檔案的副本也會傳送到您偏好的 S3 儲存貯體中,這稱為*匯出目的地*。您的 CSV 檔案會保留在此儲存貯體中,直到您刪除該檔案為止。
Audit Manager 使用 [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html)功能,從證據搜尋工具匯出和發送 CSV 檔案。下列因素定義了 CSV 匯出程序的運作方式:
+ 您的所有搜尋結果都包含在 CSV 檔案中。如果您只想在評估報告中包含特定的搜尋結果,建議您[編輯您的搜尋篩選器](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#editing-a-search)。如此一來,您就可以縮小結果範圍,僅針對您要匯出的證據。
+ CSV 檔案會以壓縮的 GZIP 格式匯出。預設 CSV 檔案名稱為 `queryID/result.csv.gz`,其中 `queryID` 是搜尋查詢的 ID。
+ CSV 匯出的檔案大小上限為 1 TB。如果您要匯出超過 1 TB 的資料,您的結果會分割為多個檔案。每個 CSV 檔案都會命名為 `result_number.csv.gz`。您取得的 CSV 檔案數量取決於搜尋結果的總大小。例如,匯出 2 TB 的資料會提供兩個查詢結果檔案:`result_1.csv.gz` 和 `result_2.csv.gz`。
+ 除了 CSV 檔案之外,還會將 JSON 簽署檔案傳送到您的 S3 儲存貯體。此檔案可做為總和驗證碼,以驗證 CSV 檔案中的資訊是否正確。若要深入了解,請參閱 *AWS CloudTrail 開發人員指南*中的 [CloudTrail 簽署檔案結構](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-results-file-validation-sign-file-structure.html)。若要判斷在 CloudTrail 傳送查詢結果之後,查詢結果是否經過修改、遭到刪除或未發生變更,您可以使用 CloudTrail 查詢結果完整性驗證。如需指示,請參閱 *AWS CloudTrail 開發人員指南*中的[驗證已儲存的查詢結果](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-query-results-validation-intro.html)。
**注意**
證據搜尋工具預覽或 CSV 匯出中,目前不包含手動證據文字回覆。若要檢視文字回應數據,請在證據搜尋工具結果中選擇手動證據名稱以開啟證據詳細資訊頁面。如果您需要在 Audit Manager 主控台以外檢視文字回應資料,建議您根據證據搜尋工具結果產生評估報告。所有手動證據詳細資料,包括文字回應,都包含在評估報告中。
#### 首次匯出結果
首次匯出搜尋結果時,請依照下列步驟進行。此程序為您提供指定未來所有匯出的預設匯出目的地選項。如果您不想立即儲存預設的匯出目的地,您可以稍後透過[更新匯出目的地設定](https://docs.aws.amazon.com/audit-manager/latest/userguide/settings-export-destination.html)來進行操作。
**重要**
開始之前,請確定您有可用的 S3 儲存貯體作為匯出目的地。您可以使用其中一個現有的 S3 儲存貯體,也可以[在 Amazon S3 中建立新儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)。為了獲得最佳安全性和效能,我們建議您在與評估相同的 AWS 帳戶和區域中使用 S3 儲存貯體。此外,您的 S3 儲存貯體必須擁有必要的許可政策,以允許 CloudTrail 將匯出檔案寫入該儲存貯體。具體而言,儲存貯體政策必須包含 `s3:PutObject` 動作和儲存貯體 ARN,並將 CloudTrail 列為服務主體。我們提供您可以使用的[範例權限策略](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_resource-based-policy-examples.html)。關於如何將此政策附加到 S3 儲存貯體的指南,請參閱[使用 Amazon S3 主控台新增儲存貯體政策](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)。
如需更多秘訣,請參閱 [匯出目的地的組態提示。](settings-export-destination.md#settings-export-destination-tips)。如果您在匯出 CSV 檔案時遇到任何問題,請參閱 [](evidence-finder-issues.md#csv-exports)。
**匯出搜尋結果(首次執行體驗)**
1. 在**檢視結果**表格頂端,選擇**匯出 CSV**。
1. 指定您要匯出檔案的 S3 儲存貯體。
+ 選擇**瀏覽 S3** 以從儲存貯體清單中選取。
+ 或者,您也可以使用以下格式輸入儲存貯體 URI:**s3://bucketname/prefix**
**提示**
為確保目的地儲存貯體有序組織,您可以為 CSV 匯出建立選用資料夾。若要這麼做,請在**資源 URI** 方塊中的值加上斜線 (**/**) 和字首 (例如,**/evidenceFinderExports**)。然後,Audit Manager 會在將 CSV 檔案新增至儲存貯體時包含此字首,而 Amazon S3 會產生字首指定的路徑。如需在 Amazon S3 中首碼的詳細資訊,請參閱在*Amazon 簡易儲存服務*使用者指南中的[在 Amazon S3 主控台編組物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html)。
1. (選擇性)如果您不想將此儲存貯體預設為匯出目的地,請取消選取**在我的證據搜尋工具設定中,將此儲存貯體預設為匯出目的地**的核取方塊。
1. 選擇 **Export** (匯出)。
#### 儲存匯出目的地後,匯出結果
將預設 S3 儲存貯體儲存為匯出目的地後,您可以繼續執行下列步驟。
**匯出搜尋結果(儲存預設匯出目的地後)**
1. 在**檢視結果**表格頂端,選擇**匯出 CSV**。
1. 在出現的提示中,檢閱將儲存匯出檔案的預設 S3 儲存貯體。
1. (選擇性)若要繼續使用此儲存貯體並隱藏此訊息,請勾選 **不要再提醒我** 方塊。
1. (選擇性)若要變更儲存貯體,請依照程序[更新匯出目的地設定](https://docs.aws.amazon.com/audit-manager/latest/userguide/settings-export-destination.html)。
1. 選擇**確認**。
視您要匯出的資料量而定,匯出程序可能需要幾分鐘的時間才能完成。您可以在匯出過程中離開證據搜尋工具。當您離開證據搜尋工具時,您的搜尋作業將停止,搜尋結果也會自主控台移除。不過,CSV 匯出程序會在背景中繼續執行。CSV 檔案將包含符合您查詢的完整搜尋結果集。
#### 匯出結果後檢視結果
若要尋找 CSV 檔案並檢查其狀態,請前往 Audit Manager[Audit Manager 下載中心](download-center.md)。匯出的檔案準備就緒後,[您可以從下載中心下載 CSV 檔案](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html#download-a-file)。
您也可以在匯出目的地 S3 儲存貯體中找到,並下載 CSV 檔案。
**在 Amazon S3 主控台中尋找 CSV 檔案和簽署檔案**
1. 開啟 [Amazon S3 主控台](https://console.aws.amazon.com/s3/)。
1. 選擇您在匯出 CSV 檔案時,指定的匯出目的地儲存貯體。
1. 瀏覽物件階層,直到找出 CSV 檔案和簽署檔案。CSV 檔案的副檔名為 `.csv.gz`,而簽署檔案的副檔名為 `.json`。
您將瀏覽與下列範例類似的物件階層,但使用不同的匯出目的地儲存貯體名稱、帳戶 ID、日期和查詢 ID。
```
All Buckets
Export_Destination_Bucket_Name
AWSLogs
Account_ID;
CloudTrail-Lake
Query
YYYY
MM
DD
Query_ID
```
## 其他資源
+ [證據搜尋工具問題疑難排解](evidence-finder-issues.md)
+ [設定證據搜尋工具的預設匯出目的地](settings-export-destination.md)