本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在證據搜尋工具中搜尋證據
<a name="search-for-evidence-in-evidence-finder"></a>



您可以使用證據搜尋工具來執行目標搜尋，並快速呈現相關證據以供檢閱。

在此頁面上，您將了解如何依評估、日期範圍、資源合規狀態和其他屬性等條件篩選搜尋。套用這些篩選條件會將您的搜尋範圍縮小到您所需的證據。您也可以依特定欄位將結果分組，以更好地分析模式。

## 先決條件
<a name="search-for-evidence-in-evidence-finder-prerequisites"></a>

請確定您已完成在 Audit Manager 設定中啟用證據搜尋工具的步驟。如需說明，請參閱[啟用證據搜尋工具](evidence-finder-settings-enable.md)。

此外，請確定您具有在證據搜尋工具中執行搜尋查詢的許可。如需您可以使用的範例許可政策，請參閱 [允許使用者在證據搜尋工具中執行搜索查詢](security_iam_id-based-policy-examples.md#evidence-finder-query-access)。

## 程序
<a name="search-for-evidence-in-evidence-finder-procedure"></a>

請依照下列步驟在 Audit Manager 主控台中搜尋證據。

1. [執行搜尋查詢](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#performing-a-search)

1. [停止進行中搜尋查詢 （選用）](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#stopping-a-search)

1. [編輯搜尋查詢的篩選條件 （選用）](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#editing-a-search)

**注意**  
您也可以使用 CloudTrail API 來查詢您的證據資料。如需更多資訊，請參閱 *AWS CloudTrail API 參考*中的 [StartQuery](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartQuery.html)。如果您偏好使用 AWS CLI，請參閱*AWS CloudTrail 《 使用者指南*》中的[啟動查詢](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-lake-cli.html#lake-cli-start-query)。

### 執行搜尋查詢
<a name="performing-a-search"></a>

請按照以下步驟，在證據搜尋工具中執行搜尋查詢。

**要搜尋證據**

1. 開啟 AWS Audit Manager 主控台，[網址為 https://console.aws.amazon.com/auditmanager/home](https://console.aws.amazon.com/auditmanager/home)。

1. 在導覽窗格中，選擇**證據搜尋工具**。

1. 接下來，套用篩選條件以縮小搜尋範圍。

   1. 針對**評估**，選擇評估。

   1. 在**日期範圍**選取範圍。

   1. 針對**資源合規性**，選取評估狀態。  
![\[證據搜尋工具中所需的評估、日期範圍和資源合規性篩選條件。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/evidence-finder-required_filters-console.png)

1. (選用) 選擇**其他篩選條件 - 選用**以進一步縮小搜尋範圍。

   1. 選擇**新增條件**，選取條件，然後為該條件選取一或多個值。

   1. 繼續以相同的方式提出更多篩選條件。

   1. 若要移除不想要的篩選條件，請選擇**移除**  
![\[證據搜尋工具中特定控制項的其他篩選條件。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/evidence-finder-additional_filters-console.png)

1. 在**分組**底下，指定是否要將搜尋結果分組。

   1. 如果想對結果進行分組，請選取一個值作為分組結果依據。

   1. 如果您不想對結果進行分組，請繼續執行步驟 6。  
![\[已選取分組結果選項，並按照數值選取群組。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/evidence-finder-grouping-console.png)

1. 選擇 **Search** (搜尋)。  
![\[用於在證據搜尋工具中啟動搜尋查詢的搜尋按鈕。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/evidence-finder-search-console.png)

您的搜尋可能需要幾分鐘的時間，視您擁有的證據資料量而定。在搜尋過程中，您可以隨時離開證據搜尋工具。備妥搜尋結果時，即會出現閃光列通知您。

### 停止搜尋查詢
<a name="stopping-a-search"></a>

如果您因為任何理由而想要停止搜尋查詢，請依照下列步驟執行。

**注意**  
停止搜尋查詢仍可能會產生費用。停止搜尋查詢之前，即會依掃描的證據資料量向您收取費用。停止後，您可以檢視傳回的部分結果。

**若要停止進行中的搜尋查詢**

1. 在螢幕上方的藍色進度閃光列中，選擇**停止搜尋**。  
![\[藍色閃光列即表示搜尋查詢進行中。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/in_progress_search-evidence-finder-console.png)

1. (選用) 檢閱停止搜尋查詢之前傳回的部分結果。

   1. 如果您在證據搜尋工具頁面上，螢幕上會顯示部分結果。

   1. 如果您離開證據搜尋工具，請在綠色確認閃光列中選擇**檢視部分結果**。  
![\[綠色閃光列即表示已停止搜尋。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/stopped_search-evidence-finder-console.png)

### 編輯搜尋篩選條件
<a name="editing-a-search"></a>

請依照下列步驟返回您最近的搜尋查詢，並視需要調整篩選條件。

**注意**  
您編輯篩選條件並選擇**搜尋**時，這即會啟動新的搜尋查詢。

**若要編輯最近的搜尋查詢**

1. 在**檢視結果**頁面中，從頁面導覽路徑導覽選單中選取**證據搜尋工具**。  
![\[主控台上標示證據搜尋工具的導覽功能表。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/breadcrumb_menu-evidence-finder-console.png)

1. 選擇**篩選條件和分組**以展開篩選條件選項。  
![\[證據搜尋工具的可擴充篩選器和分組部分。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/expand_filters-evidence-finder-console.png)

1. 接下來，編輯篩選條件或開始新的搜尋。

   1. 若要編輯篩選條件，請調整或移除目前的篩選條件和分組選項。

   1. 若要重新開始，請選擇**清除篩選條件**，然後套用您選擇的篩選條件和分組選項。  
![\[清除篩選條件按鈕，您可以用來重新開始新的搜尋查詢。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/evidence-finder-clear_filters-console.png)

1. 完成後，請選擇**搜尋**。  
![\[用於在證據搜尋工具中啟動新的搜尋查詢的搜尋按鈕。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/evidence-finder-search-console.png)

## 後續步驟
<a name="search-for-evidence-in-evidence-finder-next-steps"></a>

搜尋完成後，您可以檢視符合搜尋條件的結果。如需說明，請參閱[在證據搜尋工具中檢視結果](viewing-search-results-in-evidence-finder.md)。

## 其他資源
<a name="search-for-evidence-in-evidence-finder-additional-resources"></a>
+ [證據搜尋工具的篩選和分組選項](evidence-finder-filters-and-groups.md)
+ [證據搜尋工具的範例使用案例](example-use-cases-for-evidence-finder.md)
+ [證據搜尋工具問題疑難排解](evidence-finder-issues.md)