AWS Audit Manager 不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Audit Manager 可用性变更](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 证据查找器
证据查找器提供了一种在 Audit Manager 中搜索证据的强大功能。现在,您可以使用证据查找器快速查询证据,而不必通过浏览嵌套程度很高的证据文件夹来查找所需内容。如果您以委派管理员的身份使用证据查找器,则可以在组织中的所有成员账户中搜索证据。
使用筛选条件和分组的组合,可以逐步缩小搜索查询的范围。例如,如果您想从高层次查看系统运行状况,请进行广泛搜索并按评测、日期范围以及资源合规性进行筛选。如果您的目标是修复特定资源,则可以执行狭窄搜索,以瞄准特定控件或资源 ID 的证据。定义筛选条件后,您可分组并预览匹配的搜索结果,然后再创建评测报告。
若要使用证据查找器,必须从 Audit Manager 设置中启用此功能。
## 关键点
### 了解证据查找器如何与 Lak CloudTrail e 配合使用
证据查找器使用 [AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) 的查询和存储功能。在开始使用证据查找器之前,进一步了解 La CloudTrail ke 的工作原理会很有帮助。
CloudTrail Lake 将数据聚合到支持强大的 SQL 查询的单个可搜索事件数据存储中。这意味着您可在组织中搜索自定义时间范围内的数据。您可借助证据查找器,直接在 Audit Manager 控制台中使用此搜索功能。
当您请求启用证据查找器,Audit Manager 会代表您创建事件数据存储。启用证据查找器后,所有未来的 Audit Manager 证据都将导入事件数据存储中,供证据查找器搜索查询。启用证据查找器后,我们还会通过您过去两年的证据数据回填新创建的事件数据存储库。如果您以委派管理员的身份使用证据查找器,我们会回填您组织中所有成员账户的数据。
您的所有证据数据,无论是回填的还是新证据,都将在事件数据存储中保留 2 年。您可以随时更改默认留存期。有关说明信息,请参阅 *AWS CloudTrail 用户指南*中的[更新事件数据存储](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-lake-cli.html#lake-cli-update-eds.)。您可以在事件数据存储中保存事件数据长达七年,即2555天。
**注意**
向事件数据存储中添加新的证据数据时,会产生数据存储和摄取的 CloudTrail Lake 费用。
对于 CloudTrail Lake 查询,您需要按使用量付费。这意味着,对于您在证据查找器中运行的每项搜索查询,您都需要为扫描的数据付费。
有关 CloudTrail Lake 定价的更多信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
## 后续步骤
要开始使用,请从 Audit Manager 设置中启用证据查找器。有关说明,请参阅[启用证据查找器](evidence-finder-settings-enable.md)。
## 其他资源
+ [使用证据查找器搜索证据](search-for-evidence-in-evidence-finder.md)
+ [查看证据查找器中的结果](viewing-search-results-in-evidence-finder.md)
+ [证据查找器的筛选条件和分组选项](evidence-finder-filters-and-groups.md)
+ [证据查找器示例使用案例](example-use-cases-for-evidence-finder.md)
+ [证据查找器问题排查](evidence-finder-issues.md)