

# 收集和分析取证证据
<a name="collect-analyze-forensic-evidence"></a>

 如本文档[准备](preparation.md)一节所述，取证是在事件响应期间收集和分析构件的过程。在 AWS 上，它不仅适用于基础架构域资源，例如网络流量数据包捕获、操作系统内存转储，也适用于服务域资源，例如 AWS CloudTrail 日志。

 取证过程具有以下基本特征：
+  **一致性**：严格遵循所记录的确切步骤，没有偏差。
+  **可重复性**：对同一个构件重复执行操作时，会产生完全相同的结果。
+  **惯用性**：会公开记录并被广泛采用。

 维护事件响应期间所收集构件的监管链至关重要。除了将构件存储在只读存储库外，使用自动化并生成此收集过程的自动文档也会有所帮助。应仅对所收集构件的精确副本进行分析，以保持完整性。