翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 証拠ファインダーの問題のトラブルシューティング
<a name="evidence-finder-issues"></a>



このページの情報を使用して、Audit Manager での一般的な証拠収集の問題を解決できます。

**証拠ファインダーに関する一般的な問題**
+ [証拠ファインダーを有効にできません](#cannot-enable-evidence-finder)
+ [証拠ファインダーを有効にしたが、検索結果に過去の証拠が表示されない](#cannot-see-past-evidence)
+ [証拠ファインダーを無効にできません](#cannot-disable-evidence-finder)
+ [検索クエリが失敗しました](#cannot-start-query)
+ [コントロールドメインが「古い」とマークされています。これは何を意味するのでしょうか?](#outdated-control-domains)

**証拠ファインダーの評価レポートの問題**
+  [検索結果から複数の評価レポートを生成できません](#cannot-generate-multiple-reports-from-search-results)
+ [検索結果から特定の証拠を含めることができません](#cannot-add-individual-evidence)
+ [証拠ファインダーの結果がすべて評価レポートに含まれているわけではありません](#not-all-results-present-in-report)
+ [検索結果から評価レポートを生成したいのですが、クエリステートメントが失敗します](#querystatement-exceptions)
+ [その他のリソース](#evidence-finder-assessment-report-see-also)

**証拠ファインダー CSV エクスポートの問題**
+ [CSV をエクスポートできませんでした](#export-checklist)
+ [検索結果から特定の証拠をエクスポートできません](#cannot-include-individual-evidence)
+ [複数の CSV ファイルを一度にエクスポートできません](#cannot-export-multiple-files-from-search-results)

## 証拠ファインダーを有効にできません
<a name="cannot-enable-evidence-finder"></a>

証拠ファインダーを有効にできない一般的な理由には、次のような状況があります。

**権限がありません**  
証拠ファインダーを初めて有効にする場合は、[証拠ファインダーを有効化するために必要な権限](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#full-administrator-access-enable-evidence-finder)があることを確認してください。これらの権限により、証拠ファインダーの検索クエリをサポートするために必要なイベントデータストアを CloudTrail Lake に作成および管理できます。この権限により、証拠ファインダーで検索クエリを実行することもできます。  
アクセス許可に関するヘルプが必要な場合は、 AWS 管理者にお問い合わせください。 AWS 管理者の場合は、必要なアクセス許可ステートメントをコピーし、[IAM ポリシーにアタッチ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)できます。

**組織の管理アカウントの使用**  
管理アカウントを使用して証拠ファインダーを有効にすることはできませんので、ご注意ください。委任管理者アカウントとしてサインインし、再試行してください。

**以前に証拠ファインダーを無効にした**  
現在、証拠ファインダーの再有効化には対応されません。以前に証拠ファインダーを無効にした場合は、再度有効にすることはできません。

## 証拠ファインダーを有効にしたが、検索結果に過去の証拠が表示されない
<a name="cannot-see-past-evidence"></a>

証拠ファインダーを有効にすると、過去の証拠データがすべて利用可能になるまでに最大 7 日かかります。

この 7 日間、イベントデータストアに過去 2 年分の証拠データがバックフィルされます。つまり、有効にした直後に証拠ファインダーを使用しても、バックフィルが完了するまですべての結果が表示されるわけではありません。

データバックフィルのステータスを確認する方法については、「[証拠ファインダーのステータスの確認](confirm-status-of-evidence-finder.md)」を参照してください。

## 証拠ファインダーを無効にできません
<a name="cannot-disable-evidence-finder"></a>

これは、次のいずれかの理由によって発生する可能性があります。

**権限がありません**  
証拠ファインダーを無効にする場合は、[証拠ファインダーを無効化するために必要な権限](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#full-administrator-access-disable-evidence-finder)があることを確認してください。これらの権限により、証拠ファインダーを無効にするために必要なイベントデータストアを CloudTrail Lake に更新し削除できます。  
アクセス許可に関するヘルプが必要な場合は、 AWS 管理者にお問い合わせください。 AWS 管理者の場合は、必要なアクセス許可ステートメントをコピーし、[IAM ポリシーにアタッチ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)できます。

**証拠ファインダーを有効にするリクエストはまだ進行中**  
証拠ファインダーの有効化をリクエストすると、証拠ファインダーのクエリをサポートするイベントデータストアが作成されます。イベントデータストアの作成中は、証拠ファインダーを無効にすることはできません。  
続行するには、イベントデータストアが作成されてから、もう一度試してください。詳細については、「[証拠ファインダーのステータスの確認](confirm-status-of-evidence-finder.md)」を参照してください。

**証拠ファインダーを無効にするリクエストを既に行っています**  
証拠ファインダーの無効化をリクエストすると、証拠ファインダーのクエリに使用されていたイベントデータストアが削除されます。イベントデータストアの削除中に証拠ファインダーを再度無効にしようとすると、エラーメッセージが表示されます。  
この場合、アクションは不要です。イベントデータストアが削除されるまでお待ちください。これが完了すると、証拠ファインダーはすぐに無効になります。詳細については、「[証拠ファインダーのステータスの確認](confirm-status-of-evidence-finder.md)」を参照してください。

## 検索クエリが失敗しました
<a name="cannot-start-query"></a>

検索クエリが失敗する場合は、次のいずれかの理由が考えられます。

**権限がありません**  
ユーザーが検索クエリの実行と検索結果へのアクセスに[必要な権限](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#evidence-finder-query-access)を持っていることを確認してください。特に、次の CloudTrail アクションの権限が必要です。  
+ [StartQuery](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartQuery.html)
+ [DescribeQuery](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_DescribeQuery.html)
+ [CancelQuery](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CancelQuery.html)
+ [GetQueryResults](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetQueryResults.html)
アクセス許可に関するヘルプが必要な場合は、 AWS 管理者にお問い合わせください。 AWS 管理者の場合は、必要なアクセス許可ステートメントをコピーし、[IAM ポリシーにアタッチ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)できます。

**実行しているクエリの数が最大数です。**  
一度に最大 5 つのクエリを実行できます。同時に実行するクエリの数が最大数に達すると、`MaxConcurrentQueriesException`エラーになります。このエラーメッセージが表示される場合は、いくつかのクエリが終了するまでしばらくお待ちください。　その後、クエリを再実行してください。

**クエリステートメントに検証エラーがあります**  
API または CLI を使用して CloudTrail Lake [StartQuery](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartQuery.html) を実行する場合は、`queryStatement`が有効であることを確認してください。クエリステートメントに検証エラー、不正な構文、サポートされていないキーワードがある場合は、`InvalidQueryStatementException`という結果になります。  
クエリの記述についての詳細は、AWS CloudTrail ユーザーガイドの[クエリの作成または編集](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-create-edit-query.html)を参照してください。  
有効な構文の例については、Audit Manager イベントデータストアへのクエリに使用できる次のクエリステートメントの例を参照してください。  
**例 1: 証拠とそのコンプライアンス状況を調査する**  
この例では、指定された日付範囲内で、アカウント内のすべての評価にわたってコンプライアンスステータスを持つ証拠を検索します。

```
SELECT eventData.evidenceId, eventData.resourceArn, eventData.resourceComplianceCheck FROM $EDS_ID WHERE eventTime > '2022-11-02 00:00:00.000' AND eventTime < '2022-11-03 00:00:00.000'
```
**例 2: コントロールの非準拠証拠を特定する**  
この例では、特定の評価とコントロールについて、指定された日付範囲内のすべての非準拠証拠を検索します。

```
SELECT * FROM $EDS_ID WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' AND eventData.resourceComplianceCheck IN ('NON_COMPLIANT','FAILED','WARNING') AND eventData.controlId IN ('aa11bb22-cc33-dd44-ee55-ff66gg77hh88')
```
**例 3: 証拠を名前で数える**  
この例では、指定された日付範囲内で、評価の証拠の総数を名前でグループ化し、証拠数の順に一覧表示します。

```
SELECT eventData.eventName as eventName, COUNT(*) as totalEvidence FROM  $EDS_ID WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' GROUP BY eventData.eventName ORDER BY totalEvidence DESC
```
**例 4: データソースとサービスごとに証拠を調べる**  
この例では、特定のデータソースとサービスについて、指定された日付範囲内のすべての証拠を検索します。

```
SELECT * FROM $EDS_ID WHERE eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' AND eventData.service IN ('dynamodb') AND eventData.dataSource IN ('AWS API calls')
```
**例 5: データソースとコントロールドメインごとに準拠している証拠を調べる**  
この例では、AWS Config ではないデータソースから証拠が得られる、特定の制御ドメインの準拠証拠を検索します。

```
 SELECT * FROM $EDS_ID WHERE eventData.resourceComplianceCheck IN ('PASSED','COMPLIANT') AND eventData.controlDomainName IN ('Logging and monitoring','Data security and privacy') AND eventData.dataSource NOT IN ('AWS Config')
```

**その他の API 例外**  
[StartQuery](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartQuery.html) API は、他にもいくつかの理由で失敗する可能性があります。考えられるエラーと説明の完全なリストについては、AWS CloudTrail API リファレンスの[StartQuery エラー](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartQuery.html#API_StartQuery_Errors)を参照してください。

## コントロールドメインが「古い」とマークされています。これは何を意味するのでしょうか?
<a name="outdated-control-domains"></a>

証拠ファインダーでコントロールドメインフィルターを適用すると、使用可能なコントロールドメインの一部が**古い**とマークされる場合があります。

![\[証拠ファインダーの古いコントロールドメインフィルターのスクリーンショット。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/troubleshooting-outdated-control-domain-filter-console.png)


2024 年 6 月 6 日以降、Audit Manager は AWS Control Catalog が提供する新しいコントロールドメインセットをサポートしています。これらのコントロールドメインのリストを取得するには、「AWS Control Catalog API Reference」の「[ListDomains](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListDomains.html)」を参照してください。**

コントロールドメインが**古い**とマークされている場合、表示されているコントロールドメインは AWS Control Catalog が提供する新しいコントロールドメインの 1 つではないことを意味します。Audit Manager は、これらの古いコントロールドメインを引き続きサポートしているため、証拠を検索するときに基準として使用できます。

古いコントロールドメインは引き続きサポートされていますが、代わりに新しいコントロールドメインを使用することをお勧めします。新しいコントロールドメインは、2024 年 6 月 6 日に一般的なコントロールライブラリの一部として起動された更新済みの標準コントロールにマッピングされます。この日、[AWS マネージドソース](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#aws-managed-source) から証拠を収集できる更新済みの標準コントロールがリリースされました。つまり、一般的なコントロールまたはコアコントロールの基盤となるデータソースが更新されるたびに、Audit Manager は関連するすべての標準コントロールに同じ更新を自動的に適用します。

## 検索結果から複数の評価レポートを生成できません
<a name="cannot-generate-multiple-reports-from-search-results"></a>

このエラーは、同時に実行する CloudTrail Lake クエリが多すぎることが原因です。

このエラーは、検索結果をグループ化し、グループ化された結果の各項目の評価レポートをすぐに生成しようとした場合に発生する可能性があります。検索結果を取得して評価レポートを生成すると、各アクションによってクエリが呼び出されます。一度に実行できるクエリは最大 5 つまでです。同時に実行するクエリの数が最大数に達すると、`MaxConcurrentQueriesException`エラーが返されます。

このエラーを防ぐには、一度に生成する評価レポートの数が多すぎないようにしてください。同時に実行するクエリの数が最大数に達すると、`MaxConcurrentQueriesException`エラーが返されます。このエラーメッセージが表示される場合は、進行中の評価レポートが完成するまで数分お待ちください。

Audit Manager コンソールのダウンロードセンターページから、評価レポートのステータスを確認できます。レポートが完成したら、証拠ファインダーでグループ化された結果に戻ります。その後、引き続き結果を取得し、各項目の評価レポートを生成できます。

## 検索結果から特定の証拠を含めることができません
<a name="cannot-add-individual-evidence"></a>

検索結果はすべて評価レポートに含まれます。検索結果のセットから個々の行を選択して追加することはできません。

特定の検索結果のみを評価レポートに含めたい場合は、[現在の検索フィルターを編集する](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#editing-a-search)ことをお勧めします。この方法により、レポートに含める証拠のみを対象とするように結果を絞り込むことができます。

## 証拠ファインダーの結果がすべて評価レポートに含まれているわけではありません
<a name="not-all-results-present-in-report"></a>

評価レポートを生成する場合、追加できる証拠の量には制限があります。この制限は、評価 AWS リージョン の 、評価レポートの宛先として使用される S3 バケットのリージョン、および評価でカスタマーマネージドを使用しているかどうかに基づきます AWS KMS key。

1. 同じリージョンのレポートの制限は 22,000 件です (S3 バケットと評価が同じ AWS リージョンにある場合)

1. クロスリージョンレポートの制限は 3,500 件です (S3 バケットと評価が異なる AWS リージョンにある場合)

1. 評価でカスタマーマネージドの KMS キーを使用する場合の制限は 3,500 件です

この制限を超えた場合でも、レポートは作成されます。ただし、Audit Manager がレポートに追加するのは、最初の 3,500 件または 22,000 件の証拠項目だけです。

この問題を防ぐには、[現在の検索フィルターを編集する](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#editing-a-search)ことをお勧めします。この方法では、対象とする証拠の量を減らすことで、検索結果を絞り込むことができます。必要に応じて、この方法を繰り返して、1 つの大きなレポートの代わりに複数の評価レポートを生成できます。

## 検索結果から評価レポートを生成したいのですが、クエリステートメントが失敗します
<a name="querystatement-exceptions"></a>

[CreateAssessmentReport](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_CreateAssessmentReport.html) API を使用していて、クエリステートメントから検証例外が返された場合は、以下の表で修正方法のガイダンスを確認してください。

**注記**  
クエリステートメントが CloudTrail で機能する場合でも、同じクエリが Audit Manager での評価レポートの生成には有効ではない場合があります。これは、2 つのサービスのクエリの検証に多少の違いがあるためです。


| 句 | 問題 | ソリューション | 注意事項 | 
| --- | --- | --- | --- | 
|  `SELECT`  |  `SELECT`句には列名が含まれています  |  `SELECT`句を削除し、`SELECT eventJson`に置き換えます。  |  `SELECT eventJson` のみサポートされています。 この検証はAudit Manager によって処理されます。  | 
|  `FROM`  |  `FROM`句には無効なイベントデータストア ID が含まれています または 指定されたイベントデータストア ID は、Audit Manager 設定のイベントデータストア ID と一致しません  |  `FROM`句を削除して`FROM edsID`に置き換えます。この場合、`edsID`の値は Audit Manager 設定で指定されているイベントデータストア ID と一致します。 イベントデータストアの ARN は、Audit Manager の設定から取得できます。詳細については、「AWS Audit Manager API リファレンス」の「[GetProducts](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetSettings.html)」を参照してください。  | この検証はAudit Manager によって処理されます。 | 
|  `GROUP BY`  |  クエリ内に`GROUP BY`句が存在します  |  `GROUP BY`句を削除してください。  | この検証はAudit Manager によって処理されます。 | 
|  `HAVING`  |  クエリ内に`HAVING`句が存在します  |  `HAVING`句を削除してください。  | この検証はAudit Manager によって処理されます。 | 
|  `LIMIT`  |  `LIMIT`句に最大許容値を超える値が含まれています  |  `LIMIT`句が存在する場合は、その値がサポートされている最大制限以下であることを確認してください。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/evidence-finder-issues.html)  | コンソールでは、返される証拠結果の数に制限はありません。ただし、評価レポートを生成する場合、含めることができる証拠の量には制限があります。クエリステートメントに`LIMIT`値が指定されていない場合は、デフォルトの最大制限が適用されます。この検証はAudit Manager によって処理されます。 | 
|  `ORDER BY`  |  `ORDER BY`句に、`SELECT`句に存在しない[集計関数](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-limitations.html#query-aggregates-condition-operators)または[エイリアス](https://www.w3schools.com/sql/sql_alias.asp)が含まれています  |  [集計関数](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-limitations.html#query-aggregates-condition-operators)や[エイリアス](https://www.w3schools.com/sql/sql_alias.asp)を使用する条件が`ORDER BY`句に含まれていないことを確認してください。  | この検証は CloudTrail [StartQuery API によって処理されます。](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartQuery.html) | 
|  `WHERE`  |  `WHERE`句には 1 つ以上の`assessmentId`が含まれています または `WHERE`句に、`createAssessmentReport`リクエストの`assessmentId`と一致しない`assessmentId`が含まれています または `WHERE`句に対応されない列名が含まれています  |  評価 ID が 1 つだけ指定されていることと、`createAssessmentReport`API リクエストで指定した[評価 ID パラメータ](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_CreateAssessmentReport.html#auditmanager-CreateAssessmentReport-request-assessmentId)と一致することを確認してください。 対応されない列名を削除します。  | この検証は CloudTrail [StartQuery API によって処理されます。](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartQuery.html) | 

### 例
<a name="querystatement-examples"></a>

以下の例は、[CreateAssessmentReport](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_CreateAssessmentReport.html) の実行を呼び出すときに `queryStatement` パラメータを使用する方法を示しています。これらのクエリを使用する前に、*プレースホルダーテキスト*を独自の`edsId`および`assessmentId`値に置き換えてください。

**例 1: レポートを作成する (同じリージョンの制限が適用されます)**  
この例では、2022 年 1 月 22 日～ 23 日の間に作成された S3 バケットの結果を含むレポートを作成します。

```
SELECT eventJson FROM 12345678-abcd-1234-abcd-123456789012 WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-01-22 00:00:00.000' AND eventTime < '2022-01-23 00:00:00.000' AND eventName='CreateBucket' LIMIT 22000
```

**例 2: レポートを作成する (クロスリージョンの制限が適用されます)**  
この例では、日付範囲を指定せずに、指定されたイベントデータストアと評価のすべての結果を含むレポートを作成します。

```
SELECT eventJson FROM 12345678-abcd-1234-abcd-123456789012 WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' LIMIT 7000
```

**例 3: レポートを作成する (デフォルトの制限内)**  
この例では、指定されたイベントデータストアと評価のすべての結果を含むレポートを、デフォルトの最大値を下回る制限付きで作成します。

```
SELECT eventJson FROM 12345678-abcd-1234-abcd-123456789012 WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' LIMIT 2000
```

## その他のリソース
<a name="evidence-finder-assessment-report-see-also"></a>

次のページには、評価レポートに関する一般的なトラブルシューティングのガイダンスが含まれています
+ [評価レポートの問題のトラブルシューティング](assessment-report-issues.md)

## CSV をエクスポートできませんでした
<a name="export-checklist"></a>

CSV エクスポートは、いくつかの理由で失敗する可能性があります。この問題は、最もよく生じる原因を確認することで解決できます。

まず、CSV エクスポート機能を使用するための前提条件を満たしていることを確認してください。

**証拠ファインダーが正常に有効化されました**  
[証拠ファインダーを有効にしていない](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder-settings-enable.html)場合、検索クエリを実行して検索結果をエクスポートすることはできません。

**イベントデータストアのバックフィルが完了しました**  
有効にした直後に証拠ファインダーを使用し、[証拠バックフィル](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html#understanding-evidence-finder)がまだ進行中の場合は、結果が表示されない可能性があります。バックフィルステータスを確認するには、「[証拠ファインダーのステータスの確認](confirm-status-of-evidence-finder.md)」を参照してください。

**検索クエリは成功しました**  
Audit Manager は失敗したクエリの結果をエクスポートできません。失敗したクエリに対処するには、[検索クエリが失敗しました](#cannot-start-query)を参照してください。

前提条件を満たしていることを確認したら、次のチェックリストを使用して潜在的な問題がないか確認します。

1. 検索クエリのステータスを確認する。

   1. **クエリはキャンセルされましたか?** 証拠ファインダーでは、クエリがキャンセルされる前に処理された部分的な結果が表示されます。ただし、Audit Manager は部分的な結果を S3 バケットやダウンロードセンターにエクスポートしません。

   1. **クエリの実行時間が 1 時間を超えていますか?** 1 時間以上実行するクエリは、タイムアウトすることがあります。証拠ファインダーでは、クエリがタイムアウトになる前に処理された部分的な結果が表示されます。ただし、Audit Manager は、部分的な結果をエクスポートしません。タイムアウトを回避するには、[検索フィルターの編集](search-for-evidence-in-evidence-finder.md#editing-a-search) でより狭い時間範囲を指定することで、スキャンする証拠の量を減らすことができます。

1. エクスポート先の S3 バケットの名前と URI を確認してください。

   1. **指定されたバケットは存在しますか？** バケット URI を手動で入力した場合は、入力ミスがないことを確認してください。Audit Manager が CSV ファイルを Amazon S3 にエクスポートしようとしたときに、タイプミスまたは誤った URI によって`RESOURCE_NOT_FOUND`エラーが発生する可能性があります。

1. エクスポート先の S3 バケットの権限を確認してください。

   1. **S3 バケットへの書き込み権限はありますか?** エクスポート先として使用している S3 バケットへの書き込み権限が必要です。具体的には、IAM 権限ポリシーには`s3:PutObject`アクションとバケット ARN を含め、サービスプリンシパルとして CloudTrail をリスト化する必要があります。ご利用いただける[サンプルポリシー](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_resource-based-policy-examples.html)が用意されています。

1. いずれかの AWS リージョン 情報が一致しないかどうかを確認します。

   1. **カスタマーマネージドキー AWS リージョン の は、評価 AWS リージョン の と一致していますか?** データ暗号化用にカスタマーマネージドキーを提供した場合、それは評価と同じ AWS リージョン にある必要があります。KMS キーを変更する方法については、「[データ暗号化の設定](settings-KMS.md)」を参照してください。

1. 委任管理者アカウントの権限を確認してください。

   1. **Audit Manager の設定のカスタマーマネージドキーが、委任された管理者に許可を付与していること。**委任管理者アカウントを使用していて、データ暗号化にカスタマーマネージドキーを指定した場合は、委任管理者がその KMS キーにアクセスできることを確認してください。詳細については、「AWS Key Management Service 開発者ガイド」の「[他のアカウントのユーザーに KMS キーの使用を許可する](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html)」を参照してください。Audit Manager の暗号化の設定を確認および変更するには、「[データ暗号化の設定](settings-KMS.md)」を参照してください。

**注記**  
Audit Manager のデータ暗号化の設定を変更した場合、これらの変更は、今後作成する新しい評価に適用されます。これには、新しい評価からエクスポートするすべての CSV ファイルが含まれます。  
この変更は、暗号化の設定を変更する前に作成した既存の評価には適用されません。これには、既存の CSV エクスポートに加えて、既存の評価からの新しい CSV エクスポートが含まれます。既存の評価 およびそれらのすべてのエクスポートは、引き続き古い KMS キーを使用します。評価レポートを生成する IAM ID に、古い KMS キーを使用するための許可が付与されていない場合は、キーポリシーレベルで許可を付与できます。

## 検索結果から特定の証拠をエクスポートできません
<a name="cannot-include-individual-evidence"></a>

検索結果はすべて結果に含まれます。

CSV ファイルに特定の証拠のみを含めたい場合は、[現在の検索フィルターを編集する](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#editing-a-search)ことをお勧めします。これにより、エクスポートしたい証拠だけをターゲットにするように結果を絞り込むことができます。

## 複数の CSV ファイルを一度にエクスポートできません
<a name="cannot-export-multiple-files-from-search-results"></a>

このエラーは、同時に実行する CloudTrail Lake クエリが多すぎることが原因です。

これは、検索結果をグループ化した後、その結果の各項目の CSV ファイルをすぐにエクスポートしようとした場合に発生する可能性があります。検索結果を取得して CSV ファイルをエクスポートすると、これらの各アクションによってクエリが呼び出されます。一度に実行できるクエリは最大 5 つまでです。同時に実行するクエリの数が最大数に達すると、`MaxConcurrentQueriesException`エラーが返されます。

このエラーを防ぐには、一度にエクスポートする CSV ファイルの数が多すぎないようにしてください。

このエラーを解決するには、進行中の CSV エクスポートが完了するまでお待ちください。ほとんどのエクスポートには数分かかる場合があります。ただし、極めて大量のデータをエクスポートする場合、エクスポートが完了するまでに最大 1 時間かかることがあります。エクスポート中は、証拠ファインダーから自由に離れることができます。

Audit Manager コンソールのダウンロードセンターから、エクスポートステータスを確認できます。エクスポートしたファイルの準備ができたら、証拠ファインダーでグループ化された結果に戻ります。その後、引き続き結果を取得し、各項目の CSV ファイルをエクスポートできます。