Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Cakupan runtime dan pemecahan masalah untuk klaster Amazon ECS

PDF
RSS
Mode fokus
Cakupan runtime dan pemecahan masalah untuk klaster Amazon ECS - Amazon GuardDuty
Meninjau statistik cakupanPerubahan status cakupan dengan EventBridge notifikasiMemecahkan masalah cakupan runtime Amazon ECS-Fargate

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cakupan runtime untuk klaster Amazon ECS mencakup tugas yang sedang berjalan dan instans penampung AWS Fargate Amazon ECS. 1

Untuk klaster Amazon ECS yang berjalan di Fargate, cakupan runtime dinilai pada tingkat tugas. Cakupan runtime cluster ECS mencakup tugas-tugas Fargate yang sudah mulai berjalan setelah Anda mengaktifkan Runtime Monitoring dan konfigurasi agen otomatis untuk Fargate (hanya ECS). Secara default, tugas Fargate tidak dapat diubah. GuardDuty tidak akan dapat menginstal agen keamanan untuk memantau kontainer pada tugas yang sudah berjalan. Untuk memasukkan tugas Fargate seperti itu, Anda harus berhenti dan memulai tugas lagi. Pastikan untuk memeriksa apakah layanan terkait didukung.

Untuk informasi tentang wadah Amazon ECS, lihat Pembuatan kapasitas.

Meninjau statistik cakupan

Statistik cakupan untuk sumber daya Amazon ECS yang terkait dengan akun Anda sendiri atau akun anggota Anda adalah persentase klaster Amazon ECS yang sehat di semua cluster Amazon ECS yang dipilih. Wilayah AWS Ini termasuk cakupan untuk cluster Amazon ECS yang terkait dengan instans Fargate dan Amazon. EC2 Persamaan berikut mewakili ini sebagai:

(Cluster sehat/Semua cluster) * 100

Pertimbangan

  • Statistik cakupan untuk cluster ECS mencakup status cakupan tugas Fargate atau instance kontainer ECS yang terkait dengan cluster ECS tersebut. Status cakupan tugas Fargate mencakup tugas yang berada dalam status berjalan atau baru saja selesai berjalan.

  • Di tab cakupan runtime cluster ECS, bidang yang dicakup instance Container menunjukkan status cakupan instance container yang terkait dengan cluster Amazon ECS Anda.

    Jika klaster Amazon ECS Anda hanya berisi tugas Fargate, hitungannya muncul sebagai 0/0.

  • Jika klaster Amazon ECS Anda dikaitkan dengan EC2 instans Amazon yang tidak memiliki agen keamanan, klaster Amazon ECS juga akan memiliki status cakupan Tidak Sehat.

    Untuk mengidentifikasi dan memecahkan masalah cakupan untuk EC2 instans Amazon terkait, lihat instans Memecahkan masalah cakupan EC2 runtime Amazon Amazon EC2.

Pilih salah satu metode akses untuk meninjau statistik cakupan akun Anda.

Console

  • Masuk ke AWS Management Console dan buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

  • Di panel navigasi, pilih Runtime Monitoring.

  • Pilih tab cakupan Runtime.

  • Di bawah tab cakupan runtime cluster ECS, Anda dapat melihat statistik cakupan yang dikumpulkan berdasarkan status cakupan setiap klaster Amazon ECS yang tersedia di tabel daftar Clusters.

    • Anda dapat memfilter tabel daftar Cluster dengan kolom berikut:

      • ID Akun

      • Nama Cluster

      • Jenis manajemen agen

      • Status cakupan

  • Jika salah satu cluster Amazon ECS Anda memiliki status Cakupan sebagai Tidak Sehat, kolom Masalah menyertakan informasi tambahan tentang alasan status Tidak Sehat.

    Jika klaster Amazon ECS dikaitkan dengan EC2 instans Amazon, navigasikan ke tab cakupan waktu proses EC2 instans dan filter menurut bidang nama Cluster untuk melihat Masalah terkait.

API/CLI

  • Jalankan ListCoverageAPI dengan ID detektor valid Anda sendiri, Wilayah saat ini, dan titik akhir layanan. Anda dapat memfilter dan mengurutkan daftar instance menggunakan API ini.

    • Anda dapat mengubah contoh filter-criteria dengan salah satu opsi berikut untukCriterionKey:

      • ACCOUNT_ID

      • ECS_CLUSTER_NAME

      • COVERAGE_STATUS

      • MANAGEMENT_TYPE

    • Anda dapat mengubah contoh AttributeName sort-criteria dengan opsi berikut:

      • ACCOUNT_ID

      • COVERAGE_STATUS

      • ISSUE

      • ECS_CLUSTER_NAME

      • UPDATED_AT

        Bidang akan diperbarui hanya jika tugas baru dibuat di klaster Amazon ECS terkait atau ada perubahan dalam status cakupan yang sesuai.

    • Anda dapat mengubah max-results (hingga 50).

    • Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan detectorId ListDetectorsAPI.

    aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "ECS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5

  • Jalankan GetCoverageStatisticsAPI untuk mengambil statistik agregat cakupan berdasarkan. statisticsType

    • Anda dapat mengubah contoh statisticsType ke salah satu opsi berikut:

      • COUNT_BY_COVERAGE_STATUS— Merupakan statistik cakupan untuk cluster ECS yang dikumpulkan berdasarkan status cakupan.

      • COUNT_BY_RESOURCE_TYPE— Statistik cakupan dikumpulkan berdasarkan jenis AWS sumber daya dalam daftar.

      • Anda dapat mengubah contoh filter-criteria dalam perintah. Anda dapat menggunakan opsi berikut untukCriterionKey:

        • ACCOUNT_ID

        • ECS_CLUSTER_NAME

        • COVERAGE_STATUS

        • MANAGEMENT_TYPE

        • INSTANCE_ID

    • Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan detectorId ListDetectorsAPI.

    aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
anchoranchor

  • Masuk ke AWS Management Console dan buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

  • Di panel navigasi, pilih Runtime Monitoring.

  • Pilih tab cakupan Runtime.

  • Di bawah tab cakupan runtime cluster ECS, Anda dapat melihat statistik cakupan yang dikumpulkan berdasarkan status cakupan setiap klaster Amazon ECS yang tersedia di tabel daftar Clusters.

    • Anda dapat memfilter tabel daftar Cluster dengan kolom berikut:

      • ID Akun

      • Nama Cluster

      • Jenis manajemen agen

      • Status cakupan

  • Jika salah satu cluster Amazon ECS Anda memiliki status Cakupan sebagai Tidak Sehat, kolom Masalah menyertakan informasi tambahan tentang alasan status Tidak Sehat.

    Jika klaster Amazon ECS dikaitkan dengan EC2 instans Amazon, navigasikan ke tab cakupan waktu proses EC2 instans dan filter menurut bidang nama Cluster untuk melihat Masalah terkait.

Untuk informasi selengkapnya tentang masalah cakupan, lihatMemecahkan masalah cakupan runtime Amazon ECS-Fargate.

Perubahan status cakupan dengan EventBridge notifikasi

Status cakupan cluster Amazon ECS Anda mungkin tampak tidak sehat. Untuk mengetahui kapan status pertanggungan berubah, kami sarankan Anda untuk memantau status pertanggungan secara berkala, dan memecahkan masalah jika status menjadi tidak sehat. Atau, Anda dapat membuat EventBridge aturan Amazon untuk menerima pemberitahuan saat status cakupan berubah dari Tidak Sehat menjadi Sehat atau lainnya. Secara default, GuardDuty publikasikan ini di EventBridge bus untuk akun Anda.

Skema pemberitahuan sampel

Dalam EventBridge aturan, Anda dapat menggunakan contoh peristiwa dan pola peristiwa yang telah ditentukan sebelumnya untuk menerima pemberitahuan status cakupan. Untuk informasi selengkapnya tentang membuat EventBridge aturan, lihat Membuat aturan di Panduan EventBridge Pengguna Amazon.

Selain itu, Anda dapat membuat pola acara khusus dengan menggunakan skema pemberitahuan contoh berikut. Pastikan untuk mengganti nilai untuk akun Anda. Untuk mendapatkan pemberitahuan saat status cakupan klaster Amazon ECS Anda berubah dari Healthy keUnhealthy, detail-type seharusnya begitu. GuardDuty Runtime Protection Unhealthy Untuk mendapatkan pemberitahuan ketika status cakupan berubah dari Unhealthy keHealthy, ganti nilai detail-type denganGuardDuty Runtime Protection Healthy.

{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Akun AWS ID",
  "time": "event timestamp (string)",
  "region": "Wilayah AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "ECS",
        "ecsClusterDetails": {
          "clusterName":"",
          "fargateDetails":{
            "issues":[],
            "managementType":""
          },
          "containerInstanceDetails":{
            "coveredContainerInstances":int,
            "compatibleContainerInstances":int
          }
        }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}

Memecahkan masalah cakupan runtime Amazon ECS-Fargate

Jika status cakupan klaster Amazon ECS Anda tidak sehat, Anda dapat melihat alasannya di bawah kolom Masalah.

Tabel berikut menyediakan langkah-langkah pemecahan masalah yang disarankan untuk masalah Fargate (hanya Amazon ECS). Untuk informasi tentang masalah cakupan EC2 instans Amazon, lihat Memecahkan masalah cakupan EC2 runtime Amazon EC2 instans Amazon.

Jenis masalah Informasi tambahan Langkah pemecahan masalah yang disarankan

Agen tidak melaporkan

Agen tidak melaporkan tugas di TaskDefinition - 'TASK_DEFINITION'

Validasi bahwa titik akhir VPC untuk tugas klaster Amazon ECS Anda telah dikonfigurasi dengan benar. Untuk informasi selengkapnya, lihat Memvalidasi konfigurasi titik akhir VPC.

Jika organisasi Anda memiliki kebijakan kontrol layanan (SCP), validasi bahwa batas izin tidak membatasi izin. guardduty:SendSecurityTelemetry Untuk informasi selengkapnya, lihat Memvalidasi kebijakan kontrol layanan organisasi Anda.

VPC_ISSUE; for task in TaskDefinition - 'TASK_DEFINITION'

Lihat detail masalah VPC di informasi tambahan.

Agen keluar

ExitCode: EXIT_CODE untuk tugas-tugas di TaskDefinition - 'TASK_DEFINITION'

Lihat detail masalah di informasi tambahan.

Alasan: REASON untuk tugas-tugas di TaskDefinition - 'TASK_DEFINITION'

ExitCode: EXIT_CODE dengan alasan: 'EXIT_CODE' untuk tugas di TaskDefinition - 'TASK_DEFINITION'

Agen keluar: Alasan:CannotPullContainerError: tarik manifes gambar telah dicoba lagi...

Peran eksekusi tugas harus memiliki izin Amazon Elastic Container Registry (Amazon ECR) berikut:

...
      "ecr:GetAuthorizationToken",
      "ecr:BatchCheckLayerAvailability",
      "ecr:GetDownloadUrlForLayer",
      "ecr:BatchGetImage",
...

Untuk informasi selengkapnya, lihat Berikan izin ECR dan detail subnet.

Setelah Anda menambahkan izin Amazon ECR, Anda harus memulai ulang tugas.

Jika masalah berlanjut, lihatAWS Step Functions Alur kerja saya gagal secara tak terduga.

Pembuatan Titik Akhir VPC Gagal

Mengaktifkan DNS pribadi memerlukan atribut keduanya dan enableDnsSupport enableDnsHostnames VPC disetel ke true for vpcId (Layanan: EC2, Kode Status: 400, ID Permintaan:). a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

Pastikan atribut VPC berikut disetel ke trueenableDnsSupport dan. enableDnsHostnames Untuk informasi selengkapnya, lihat atribut DNS di VPC Anda.

Jika Anda menggunakan Konsol VPC Amazon di https://console.aws.amazon.com/vpc/untuk membuat VPC Amazon, pastikan untuk memilih Aktifkan nama host DNS dan Aktifkan resolusi DNS. Untuk informasi selengkapnya, lihat opsi konfigurasi VPC.

Agen tidak disediakan

Pemanggilan yang tidak didukung oleh SERVICE untuk tugas di TaskDefinition - 'TASK_DEFINITION'

Tugas ini dipanggil oleh a SERVICE yang tidak didukung.

Arsitektur CPU yang tidak didukung TYPE '' untuk tugas di TaskDefinition - 'TASK_DEFINITION'

Tugas ini berjalan pada arsitektur CPU yang tidak didukung. Untuk informasi tentang arsitektur CPU yang didukung, lihatMemvalidasi persyaratan arsitektur.

TaskExecutionRolehilang dari TaskDefinition - 'TASK_DEFINITION'

Peran eksekusi tugas ECS tidak ada. Untuk informasi tentang menyediakan peran eksekusi tugas dan izin yang diperlukan, lihatBerikan izin ECR dan detail subnet.

Konfigurasi jaringan 'CONFIGURATION_DETAILS' tidak ada untuk tugas di TaskDefinition - 'TASK_DEFINITION'

Masalah konfigurasi jaringan mungkin muncul karena konfigurasi VPC yang hilang, atau subnet yang hilang atau kosong.

Validasi bahwa konfigurasi jaringan Anda benar. Untuk informasi selengkapnya, lihat Berikan izin ECR dan detail subnet.

Untuk informasi selengkapnya, lihat parameter definisi tugas Amazon ECS di Panduan Pengembang Layanan Kontainer Elastis Amazon.

Tugas dimulai ketika cluster memiliki tag pengecualian dikecualikan dari Runtime Monitoring. ID tugas yang terkena dampak: 'TASK_ID

Bila Anda mengubah GuardDuty tag yang telah ditentukan dari GuardDutyManaged - true ke GuardDutyManaged -false, tidak GuardDuty akan menerima peristiwa runtime untuk cluster Amazon ECS ini.

Perbarui tag ke GuardDutyManaged - true dan kemudian luncurkan kembali tugas.

Layanan yang diterapkan saat klaster memiliki tag pengecualian dikecualikan dari Runtime Monitoring. Nama layanan yang terkena dampak: '' SERVICE_NAME

Ketika layanan diterapkan dengan tag pengecualian GuardDutyManaged -false, tidak GuardDuty akan menerima peristiwa runtime untuk klaster Amazon ECS ini.

Perbarui tag ke GuardDutyManaged - true dan kemudian gunakan kembali layanan.

Tugas yang dimulai sebelum mengaktifkan Konfigurasi Agen Otomatis tidak tercakup. ID tugas yang terkena dampak: '' TASK_ID

Ketika cluster berisi tugas yang diluncurkan sebelum mengaktifkan konfigurasi agen Otomatis untuk Amazon ECS, maka tidak GuardDuty akan dapat melindungi ini. Luncurkan kembali tugas untuk dipantau oleh. GuardDuty

Layanan yang digunakan sebelum mengaktifkan Konfigurasi Agen Otomatis tidak tercakup. Nama layanan yang terkena dampak: '' SERVICE_NAME

Ketika layanan diterapkan sebelum mengaktifkan konfigurasi agen Otomatis untuk Amazon ECS, tidak GuardDuty akan menerima peristiwa runtime untuk kluster ECS.

Layanan 'SERVICE_NAME' memerlukan penerapan baru untuk memperbaiki/memecahkan masalah. Referensikan dokumentasi, Nama layanan yang terkena dampak: '' SERVICE_NAME

Layanan yang dimulai sebelum mengaktifkan Runtime Monitoring tidak didukung.

Anda dapat memulai ulang layanan atau memperbarui layanan dengan forceNewDeployment opsi dengan mengikuti langkah-langkah di bawah Memperbarui layanan Amazon ECS menggunakan konsol di Panduan Pengembang Layanan Amazon Elastic Container. Atau, Anda juga dapat menggunakan langkah-langkah UpdateServicedi bawah Referensi API Amazon Elastic Container Service.

Tugas yang dimulai sebelum mengaktifkan Runtime Monitoring memerlukan peluncuran ulang. ID tugas yang terkena dampak: '' TASK_ID_1

Di Amazon ECS, tugasnya tidak dapat diubah. Untuk menilai perilaku runtime atau AWS Fargate tugas yang sedang berjalan, pastikan Runtime Monitoring sudah diaktifkan, lalu restart tugas GuardDuty untuk menambahkan sespan container.

Lainnya

Masalah tak dikenal, untuk tugas di TaskDefinition - 'TASK_DEFINITION'

Gunakan pertanyaan-pertanyaan berikut untuk mengidentifikasi akar penyebab masalah:

  • Apakah tugas dimulai sebelum Anda mengaktifkan Runtime Monitoring?

    Di Amazon ECS, tugasnya tidak dapat diubah. Untuk menilai perilaku runtime dari tugas Fargate yang sedang berjalan, pastikan Runtime Monitoring sudah diaktifkan, lalu restart tugas GuardDuty untuk menambahkan sespan container.

  • Apakah tugas ini bagian dari penerapan layanan yang dimulai sebelum Anda mengaktifkan Runtime Monitoring?

    Jika ya, Anda dapat memulai ulang layanan atau memperbarui layanan forceNewDeployment dengan menggunakan langkah-langkah dalam Memperbarui layanan.

    Anda juga dapat menggunakan UpdateServiceatau AWS CLI.

  • Apakah tugas diluncurkan setelah mengecualikan cluster ECS dari Runtime Monitoring?

    Saat Anda mengubah GuardDuty tag yang telah ditentukan sebelumnya dari GuardDutyManaged - true ke GuardDutyManaged -false, tidak GuardDuty akan menerima peristiwa runtime untuk cluster ECS.

  • Apakah layanan Anda berisi tugas yang memiliki format lamataskArn?

    GuardDuty Runtime Monitoring tidak mendukung cakupan untuk tugas yang memiliki format lama. taskArn

    Untuk informasi tentang Nama Sumber Daya Amazon (ARNs) untuk sumber daya Amazon ECS, lihat Nama Sumber Daya Amazon (ARNs) dan IDs.

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.