Grundlegendes zu CloudWatch Protokollen und Gründen für das Überspringen von Ressourcen beim Scannen von Malware EC2 Protection - Amazon GuardDuty
CloudWatch Audit-Logs im GuardDuty Malware-Schutz für EC2GuardDuty Malware-Schutz für die Aufbewahrung von EC2 ProtokollenGründe für das Überspringen der Ressource

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegendes zu CloudWatch Protokollen und Gründen für das Überspringen von Ressourcen beim Scannen von Malware EC2 Protection

GuardDuty Malware Protection for EC2 veröffentlicht Ereignisse in Ihrer CloudWatch Amazon-Protokollgruppe/aws/guardduty/malware-scan-events. Für jedes Ereignis im Zusammenhang mit dem Malware-Scan können Sie den Status und das Scanergebnis Ihrer betroffenen Ressourcen überwachen. Bestimmte EC2 Amazon-Ressourcen und EBS Amazon-Volumes wurden möglicherweise beim EC2 Scannen durch Malware-Schutz übersprungen.

CloudWatch Audit-Logs im GuardDuty Malware-Schutz für EC2

In der Protokollgruppe/aws/guardduty/malware-scan-events werden drei Typen von Scanereignissen CloudWatch unterstützt.

Malware-Schutz für den Namen des Scanereignisses EC2 Erklärung

EC2_SCAN_STARTED

Wird erstellt, wenn ein GuardDuty Malware-Schutz für EC2 den Prozess des Malware-Scans einleitet, z. B. die Erstellung eines Snapshots eines EBS Volumes vorbereitet.

EC2_SCAN_COMPLETED

Wird erstellt, wenn der GuardDuty Malware-Schutz für den EC2 Scan mindestens eines der EBS Volumes der betroffenen Ressource abgeschlossen ist. Zu diesem Ereignis gehört auch das EreignissnapshotId, das zum gescannten EBS Volume gehört. Nach Abschluss des Scans lautet das Scanergebnis entweder CLEAN, THREATS_FOUND oder NOT_SCANNED.

EC2_SCAN_SKIPPED

Wird erzeugt, wenn der GuardDuty Malware-Schutz für den EC2 Scan alle EBS Volumes der betroffenen Ressource überspringt. Um den Grund für das Überspringen zu ermitteln, wählen Sie das entsprechende Ereignis aus und sehen Sie sich die Details an. Weitere Informationen zu den Gründen für das Überspringen finden Sie unter Gründe für das Überspringen von Ressourcen beim Malware-Scan weiter unten.

Anmerkung

Wenn Sie eine verwenden AWS Organizations, werden CloudWatch Protokollereignisse von Mitgliedskonten in Organizations sowohl im Administratorkonto als auch in der Protokollgruppe des Mitgliedskontos veröffentlicht.

Wählen Sie Ihre bevorzugte Zugriffsmethode, um CloudWatch Ereignisse anzuzeigen und abzufragen.

Console

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich Protokolle die Option Protokollgruppen. Wählen Sie die Protokollgruppe/aws/guardduty/malware-scan-events aus, um die Scanereignisse für GuardDuty Malware Protection for anzuzeigen. EC2

    Um eine Abfrage auszuführen, wählen Sie Log Insights.

    Informationen zum Ausführen einer Abfrage finden Sie unter Analysieren von Protokolldaten mit CloudWatch Logs Insights im CloudWatch Amazon-Benutzerhandbuch.

  3. Wählen Sie Scan-ID, um die Details der betroffenen Ressourcen und Malware-Erkenntnisse zu überwachen. Sie können beispielsweise die folgende Abfrage ausführen, um die CloudWatch Protokollereignisse zu filtern, indem Sie scanId Stellen Sie sicher, dass Sie Ihre eigene gültige Version verwenden scan-id.

    fields @timestamp, @message, scanRequestDetails.scanId as scanId
| filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
| sort @timestamp asc
API/CLI

  • Informationen zur Arbeit mit Protokollgruppen finden Sie unter Suchen nach Protokolleinträgen mithilfe von AWS CLI im CloudWatch Amazon-Benutzerhandbuch.

    Wählen Sie die Protokollgruppe/aws/guardduty/malware-scan-events aus, um die Scan-Ereignisse für GuardDuty Malware Protection for anzuzeigen. EC2

  • Informationen zum Anzeigen und Filtern von Protokollereignissen finden Sie unter GetLogEvents und FilterLogEventsjeweils in der CloudWatch APIAmazon-Referenz.

GuardDuty Malware-Schutz für die Aufbewahrung von EC2 Protokollen

Die Standardaufbewahrungsdauer für die Protokollgruppe/aws/guardduty/malware-scan-events beträgt 90 Tage. Danach werden die Protokollereignisse automatisch gelöscht. Informationen zum Ändern der Protokollaufbewahrungsrichtlinie für Ihre CloudWatch Protokollgruppe finden Sie unter Ändern der Aufbewahrung von Protokolldaten in CloudWatch Logs im CloudWatch Amazon-Benutzerhandbuch, oder PutRetentionPolicyin der CloudWatch APIAmazon-Referenz.

Gründe für das Überspringen von Ressourcen beim Malware-Scan

Bei Ereignissen im Zusammenhang mit dem Malware-Scan wurden möglicherweise bestimmte EC2 Ressourcen und EBS Volumes während des Scanvorgangs übersprungen. In der folgenden Tabelle sind die Gründe aufgeführt, warum GuardDuty Malware Protection for die Ressourcen EC2 möglicherweise nicht scannt. Verwenden Sie gegebenenfalls die vorgeschlagenen Schritte, um diese Probleme zu beheben, und scannen Sie diese Ressourcen, wenn GuardDuty Malware Protection for das nächste Mal einen Malware-Scan EC2 initiiert. Die anderen Probleme dienen dazu, Sie über den Verlauf der Ereignisse zu informieren, und sind nicht umsetzbar.

Gründe für das Überspringen Erklärung Vorgeschlagene Schritte

RESOURCE_NOT_FOUND

Die für die Initiierung des On-Demand-Malware-Scans resourceArn bereitgestellte Datei wurde in Ihrer AWS Umgebung nicht gefunden.

Überprüfen Sie den Workload resourceArn Ihrer EC2 Amazon-Instance oder Ihres Containers und versuchen Sie es erneut.

ACCOUNT_INELIGIBLE

Die AWS Konto-ID, von der aus Sie versucht haben, einen On-Demand-Malware-Scan zu starten, wurde nicht aktiviert GuardDuty.

Stellen Sie sicher, dass GuardDuty es für dieses AWS Konto aktiviert ist.

Wenn Sie ein neues Konto aktivieren GuardDuty AWS-Region , kann die Synchronisierung bis zu 20 Minuten dauern.

UNSUPPORTED_KEY_ENCRYPTION

GuardDuty Malware Protection for EC2 unterstützt Volumes, die sowohl unverschlüsselt als auch mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind. Das Scannen von EBS Volumes, die mit EBSAmazon-Verschlüsselung verschlüsselt sind, werden nicht unterstützt.

Derzeit gibt es einen regionalen Unterschied, bei dem dieser Übersprungsgrund nicht zutrifft. Weitere Informationen zu diesen finden Sie AWS-Regionen unterVerfügbarkeit regionsspezifischer Feature.

Ersetzen Sie Ihren Verschlüsselungsschlüssel durch einen vom Kunden verwalteten Schlüssel. Weitere Informationen zu den GuardDuty unterstützten Verschlüsselungsarten finden Sie unterUnterstützte EBS Amazon-Volumes für Malware-Scans.

EXCLUDED_BY_SCAN_SETTINGS

Die EC2 Instance oder EBS das Volume wurde beim Malware-Scan ausgeschlossen. Es gibt zwei Möglichkeiten: Entweder wurde das Tag zur Einschließen-Liste hinzugefügt, aber die Ressource ist nicht mit diesem Tag verknüpft, das Tag wurde der Ausschließen-Liste hinzugefügt und die Ressource ist mit diesem Tag verknüpft, oder das GuardDutyExcluded-Tag ist für diese Ressource auf true gesetzt.

Aktualisieren Sie Ihre Scanoptionen oder die mit Ihrer EC2 Amazon-Ressource verknüpften Tags. Weitere Informationen finden Sie unter Scan-Optionen mit benutzerdefinierten Tags.

UNSUPPORTED_VOLUME_SIZE

Das Volumen ist größer als 2048 GB.

Nicht umsetzbar.

NO_VOLUMES_ATTACHED

GuardDuty Der Malware-Schutz für EC2 hat die Instanz in Ihrem Konto gefunden, aber es wurde kein EBS Volume an diese Instanz angehängt, um mit dem Scan fortzufahren.

Nicht umsetzbar.

UNABLE_TO_SCAN

Es ist ein interner Servicefehler.

Nicht umsetzbar.

SNAPSHOT_NOT_FOUND

Die aus den EBS Volumes erstellten und mit dem Dienstkonto geteilten Snapshots wurden nicht gefunden, und GuardDuty Malware Protection for EC2 konnte den Scan nicht fortsetzen.

Stellen CloudTrail Sie sicher, dass die Snapshots nicht absichtlich entfernt wurden.

SNAPSHOT_QUOTA_REACHED

Sie haben das maximale Volumen erreicht, das für Snapshots für jede Region zulässig ist. Dadurch wird verhindert, dass Snapshots nicht nur gespeichert, sondern auch neue erstellt werden.

Sie können entweder alte Snapshots entfernen oder eine Erhöhung des Kontingents beantragen. Das Standardlimit für Snapshots pro Region und wie Sie eine Erhöhung des Kontingents beantragen können, finden Sie unter Service Quotas im Allgemeinen Referenzhandbuch von AWS .

MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED

Mehr als 11 EBS Volumes wurden an eine EC2 Instanz angehängt. GuardDuty Malware Protection for hat die ersten 11 EBS Volumes EC2 gescannt, was durch deviceName alphabetische Sortierung der Volumes ermittelt wurde.

Nicht umsetzbar.

UNSUPPORTED_PRODUCT_CODE_TYPE

GuardDuty unterstützt das Scannen von Instanzen mit productCode as marketplace nicht. Weitere Informationen finden Sie unter Bezahlt AMIs im EC2Amazon-Benutzerhandbuch.

Informationen zu finden productCode Sie unter ProductCodein der EC2APIAmazon-Referenz.

Nicht umsetzbar.