本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 Detective 中搜尋調查結果或實體
<a name="detective-search"></a>

使用 Amazon Detective 搜尋功能，您可以搜尋調查結果或實體。從搜尋結果中，您可以導覽至實體設定檔或調查結果概觀。如果搜尋傳回的結果超過 10,000 個，則系統只會顯示前 10,000 個結果。變更排序順序會變更傳回的結果。

您可以將搜尋結果匯出為逗號分隔值 (.csv) 設定檔。此檔案包含搜尋頁面中傳回的資料。資料會以逗號分隔值 （CSV） 格式匯出。匯出資料的檔案名稱遵循模式 detective-page-panel-yyyy-mm-dd.csv 格式。您可以使用其他支援CSV匯入AWS的服務、第三方應用程式或試算表程式來控制資料，藉此豐富您的安全調查。

**注意**  
如果匯出目前正在進行中，請等待匯出完成，然後再嘗試匯出其他資料。

## 完成搜尋
<a name="detective-search-completing"></a>

若要完成搜尋，請選擇要搜尋的實體類型。然後提供確切的識別符或包含萬用字元 `*` 或 `?` 的識別符。若要搜尋一系列 IP 地址，您也可以使用 CIDR或 點符號。請參閱以下搜尋字串範例。

針對 IP 地址：
+ `1.0.*.*`
+ `1.0.133.*`
+ `1.0.0.0/16`
+ `0.239.48.198/31`

針對所有其他類型的實體：
+ `Admin`
+ `ad*`
+ `ad*n`
+ `ad*n*`
+ `adm?n`
+ `a?m*`
+ `*min`

針對每個實體類型，支援以下識別符：
+ 對於調查結果、調查結果識別符或調查結果 Amazon Resource Name （ARN）。
+ 對於 AWS 帳戶，則為 帳戶 ID。
+ 對於 AWS 角色和 AWS 使用者，可能是主體 ID、名稱或 ARN。
+ 對於容器叢集，叢集名稱或 ARN。
+ 針對容器映像，則為儲存庫或容器映像的完整摘要。
+ 對於容器 Pod 或任務，Pod 名稱或 Pod UID的 。
+ 對於EC2執行個體、執行個體識別符或 ARN。
+ 針對調查結果群組，則為調查結果群組識別符。
+ 對於 IP 地址， 中的地址CIDR或點符號。
+ 針對 Kubernetes 主體 (服務帳戶或使用者)，則為名稱。
+ 針對角色工作階段，您可以使用以下任一值來搜尋：
  +  角色工作階段識別符。

    角色工作階段識別符使用 `<rolePrincipalID>:<sessionName>` 格式。

    請見此處範例：`AROA12345678910111213:MySession`。
  + 角色工作階段 ARN
  + 工作階段名稱
  + 所擔任角色的主體 ID
  + 擔任的角色名稱
+ 對於 S3 儲存貯體，儲存貯體名稱或儲存貯體 ARN。
+ 若為聯合身分使用者，則為主體 ID 或使用者名稱。主體 ID 為 `<identityProvider>:<username>` 或 `<identityProvider>:<audience>:<username>`。
+ 針對使用者代理程式，則為使用者代理程式名稱。

**若要搜尋調查結果或實體**

1. 登入 AWS 管理主控台。然後在 開啟 Detective 主控台[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。

1. 在導覽窗格中，選擇**搜尋**。

1. 從**選擇類型**功能表中，選擇您要尋找的項目類型。

   請注意，當您選擇**使用者**時，您可以搜尋 AWS 使用者或聯合身分使用者。

   **資料中的範例**包含行為圖表資料中已選取類型的識別符範例集。若要顯示其中某一範例的設定檔，請選擇其識別符。

1. 輸入要搜尋的確切識別符或包含萬用字元的識別符。

   搜尋不區分大小寫。

1. 選擇**搜尋**或按 **Enter** 鍵。

## 對搜尋結果進行排序
<a name="detective-search-results"></a>

當您完成搜尋後，Detective 會顯示最多 10,000 個符合結果的清單。針對使用唯一識別符的搜尋，只有一個相符結果。

從結果中，若要導覽至實體設定檔或調查結果概觀，請選擇識別符。

對於調查結果、角色、使用者和EC2執行個體，搜尋結果包含相關聯的帳戶。若要導覽至帳戶的設定檔，請選擇帳戶識別符。

## 搜尋疑難排解
<a name="detective-search-troubleshooting"></a>

如果 Detective 無法找到調查結果或實體，請先檢查您輸入的識別符是否正確。如果識別符正確，您還可以檢查以下內容。
+ **調查結果或實體是否屬於行為圖表中已啟用的成員帳戶？** 如果關聯帳戶未以成員帳戶的身份邀請加入行為圖表，則行為圖表不會包含該帳戶的資料。

  如果受邀成員帳戶不接受邀請，則行為圖表不會包含該帳戶的資料。
+ **針對某一調查結果，是否對其封存？** Detective 不會從 Amazon 接收封存的調查結果 GuardDuty。
+ **在 Detective 開始將資料擷取至行為圖表之前，該调查結果或實體是否已出现？** 如果 Detective 所擷取的資料中無調查結果或實體，則行為圖表不會包含該調查結果的資料。
+ **調查結果或實體是否來自正確區域？** 每個行為圖表都是 特有的 AWS 區域。行為圖表不包含來自其他區域的資料。