Memahami CloudWatch Log dan alasan melewatkan sumber daya selama Perlindungan Malware untuk EC2 pemindaian - Amazon GuardDuty
Mengaudit CloudWatch Log dalam Perlindungan GuardDuty Malware untuk EC2GuardDuty Perlindungan Malware untuk retensi EC2 logAlasan melewatkan sumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memahami CloudWatch Log dan alasan melewatkan sumber daya selama Perlindungan Malware untuk EC2 pemindaian

GuardDuty Perlindungan Malware untuk EC2 mempublikasikan peristiwa ke grup CloudWatch log Amazon Anda/aws/guardduty/malware-scan-events. Untuk setiap peristiwa yang terkait dengan pemindaian malware, Anda dapat memantau status dan hasil pemindaian sumber daya yang terkena dampak. EC2Sumber daya Amazon tertentu dan EBS volume Amazon mungkin telah dilewati selama Perlindungan Malware untuk EC2 pemindaian.

Mengaudit CloudWatch Log dalam Perlindungan GuardDuty Malware untuk EC2

Ada tiga jenis peristiwa pemindaian yang didukung dalam grup log/aws/guardduty/malware-scan-events CloudWatch .

Perlindungan Malware untuk nama acara EC2 pemindaian Penjelasan

EC2_SCAN_STARTED

Dibuat saat Perlindungan GuardDuty Malware untuk EC2 memulai proses pemindaian malware, seperti bersiap untuk mengambil snapshot volume. EBS

EC2_SCAN_COMPLETED

Dibuat saat Perlindungan GuardDuty Malware untuk EC2 pemindaian selesai untuk setidaknya satu EBS volume sumber daya yang terkena dampak. Acara ini juga termasuk snapshotId yang termasuk dalam EBS volume yang dipindai. Setelah pemindaian selesai, hasil pemindaian akan menjadiCLEAN,THREATS_FOUND, atauNOT_SCANNED.

EC2_SCAN_SKIPPED

Dibuat saat Perlindungan GuardDuty Malware untuk EC2 pemindaian melewatkan semua EBS volume sumber daya yang terkena dampak. Untuk mengidentifikasi alasan lewati, pilih acara yang sesuai, dan lihat detailnya. Untuk informasi lebih lanjut tentang alasan lewati, lihat Alasan melewatkan sumber daya selama pemindaian malware di bawah.

catatan

Jika Anda menggunakan AWS Organizations, CloudWatch log peristiwa dari akun anggota di Organizations akan dipublikasikan ke akun administrator dan grup log akun anggota.

Pilih metode akses pilihan Anda untuk melihat dan menanyakan CloudWatch acara.

Console

  1. Masuk ke AWS Management Console dan buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  2. Di panel navigasi, di bawah Log, pilih Grup log. Pilih grup log/aws/guardduty/malware-scan-events untuk melihat peristiwa pemindaian untuk Perlindungan GuardDuty Malware. EC2

    Untuk menjalankan kueri, pilih Wawasan Log.

    Untuk informasi tentang menjalankan kueri, lihat Menganalisis data CloudWatch log dengan Wawasan Log di Panduan CloudWatch Pengguna Amazon.

  3. Pilih Pindai ID untuk memantau detail sumber daya yang terkena dampak dan temuan malware. Misalnya, Anda dapat menjalankan kueri berikut untuk memfilter peristiwa CloudWatch log dengan menggunakanscanId. Pastikan untuk menggunakan valid Anda sendiri scan-id.

    fields @timestamp, @message, scanRequestDetails.scanId as scanId
| filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
| sort @timestamp asc
API/CLI

  • Untuk bekerja dengan grup log, lihat Menelusuri entri log menggunakan AWS CLI di Panduan CloudWatch Pengguna Amazon.

    Pilih grup log/aws/guardduty/malware-scan-events untuk melihat peristiwa pemindaian untuk Perlindungan GuardDuty Malware. EC2

  • Untuk melihat dan memfilter peristiwa log, lihat GetLogEvents dan FilterLogEvents, masing-masing, di CloudWatch APIReferensi Amazon.

GuardDuty Perlindungan Malware untuk retensi EC2 log

Periode penyimpanan log default untuk grup log/aws/guardduty/malware-scan-events adalah 90 hari, setelah itu peristiwa log dihapus secara otomatis. Untuk mengubah kebijakan penyimpanan log untuk grup CloudWatch log Anda, lihat Mengubah penyimpanan data CloudWatch log di Log di Panduan CloudWatch Pengguna Amazon, atau PutRetentionPolicydi CloudWatch APIReferensi Amazon.

Alasan melewatkan sumber daya selama pemindaian malware

Dalam peristiwa yang terkait dengan pemindaian malware, EC2 sumber daya dan EBS volume tertentu mungkin telah dilewati selama proses pemindaian. Tabel berikut mencantumkan alasan mengapa Perlindungan GuardDuty Malware for EC2 mungkin tidak memindai sumber daya. Jika berlaku, gunakan langkah-langkah yang diusulkan untuk mengatasi masalah ini, dan pindai sumber daya ini saat berikutnya Perlindungan GuardDuty Malware untuk EC2 memulai pemindaian malware. Masalah lain digunakan untuk memberi tahu Anda tentang jalannya acara dan tidak dapat ditindaklanjuti.

Alasan untuk melompat-lompat Penjelasan Langkah-langkah yang diusulkan

RESOURCE_NOT_FOUND

Yang resourceArn disediakan untuk memulai pemindaian malware sesuai permintaan tidak ditemukan di lingkungan Anda AWS .

Validasi EC2 instans Amazon atau beban kerja penampung Anda, dan coba lagi. resourceArn

ACCOUNT_INELIGIBLE

ID AWS akun tempat Anda mencoba memulai pemindaian malware On-Demand belum diaktifkan. GuardDuty

Verifikasi yang GuardDuty diaktifkan untuk AWS akun ini.

Saat Anda mengaktifkan GuardDuty dalam yang baru, Wilayah AWS mungkin diperlukan waktu hingga 20 menit untuk menyinkronkan.

UNSUPPORTED_KEY_ENCRYPTION

GuardDuty Perlindungan Malware untuk EC2 mendukung volume yang tidak terenkripsi dan dienkripsi dengan kunci yang dikelola pelanggan. Itu tidak mendukung EBS volume pemindaian yang dienkripsi menggunakan enkripsi Amazon EBS.

Saat ini, ada perbedaan regional di mana alasan lompatan ini tidak berlaku. Untuk informasi lebih lanjut tentang ini Wilayah AWS, lihatKetersediaan fitur khusus wilayah.

Ganti kunci enkripsi Anda dengan kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang jenis enkripsi yang GuardDuty mendukung, lihatEBSVolume Amazon yang didukung untuk pemindaian malware.

EXCLUDED_BY_SCAN_SETTINGS

EC2Instance atau EBS volume dikecualikan selama pemindaian malware. Ada dua kemungkinan - baik tag ditambahkan ke daftar inklusi tetapi sumber daya tidak terkait dengan tag ini, tag ditambahkan ke daftar pengecualian dan sumber daya dikaitkan dengan tag ini, atau GuardDutyExcluded tag diatur true untuk sumber daya ini.

Perbarui opsi pemindaian atau tag yang terkait dengan EC2 sumber daya Amazon Anda. Untuk informasi selengkapnya, lihat Opsi pindai dengan tag yang ditentukan pengguna.

UNSUPPORTED_VOLUME_SIZE

Volumenya lebih besar dari 2048 GB.

Tidak bisa ditindaklanjuti.

NO_VOLUMES_ATTACHED

GuardDuty Perlindungan Malware untuk EC2 menemukan instance di akun Anda tetapi tidak ada EBS volume yang dilampirkan ke instance ini untuk melanjutkan pemindaian.

Tidak bisa ditindaklanjuti.

UNABLE_TO_SCAN

Ini adalah kesalahan layanan internal.

Tidak bisa ditindaklanjuti.

SNAPSHOT_NOT_FOUND

Snapshot yang dibuat dari EBS volume dan dibagikan dengan akun layanan tidak ditemukan, dan Perlindungan GuardDuty Malware untuk EC2 tidak dapat melanjutkan pemindaian.

Periksa CloudTrail untuk memastikan bahwa snapshot tidak sengaja dihapus.

SNAPSHOT_QUOTA_REACHED

Anda telah mencapai volume maksimum yang diizinkan untuk snapshot untuk setiap Wilayah. Ini mencegah tidak hanya mempertahankan tetapi juga membuat snapshot baru.

Anda dapat menghapus snapshot lama atau meminta peningkatan kuota. Anda dapat melihat batas default untuk Snapshot per Wilayah dan cara meminta peningkatan kuota di bawah Kuota layanan di Panduan Referensi AWS Umum.

MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED

Lebih dari 11 EBS volume dilampirkan ke sebuah EC2 instance. GuardDuty Perlindungan Malware untuk EC2 memindai 11 EBS volume pertama, diperoleh dengan menyortir menurut deviceName abjad.

Tidak bisa ditindaklanjuti.

UNSUPPORTED_PRODUCT_CODE_TYPE

GuardDuty tidak mendukung pemindaian instance dengan productCode asmarketplace. Untuk informasi selengkapnya, lihat Dibayar AMIs di Panduan EC2 Pengguna Amazon.

Untuk informasi tentangproductCode, lihat ProductCodedi EC2APIReferensi Amazon.

Tidak bisa ditindaklanjuti.