Comprensione CloudWatch dei log e dei motivi per cui le risorse vengono ignorate durante la scansione di Malware Protection EC2 - Amazon GuardDuty
Controllo dei CloudWatch log in Malware Protection per GuardDuty EC2GuardDuty Protezione da malware per la conservazione dei EC2 logMotivi per cui una risorsa viene ignorata

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Comprensione CloudWatch dei log e dei motivi per cui le risorse vengono ignorate durante la scansione di Malware Protection EC2

GuardDuty Malware Protection for EC2 pubblica eventi nel tuo gruppo di CloudWatch log Amazon/aws/guardduty/malware-scan-events. Puoi monitorare lo stato e il risultato della scansione delle risorse interessate per ciascuno degli eventi relativi alla scansione malware. Alcune EC2 risorse Amazon e EBS volumi Amazon potrebbero essere stati ignorati durante la EC2 scansione di Malware Protection.

Controllo dei CloudWatch log in Malware Protection per GuardDuty EC2

Esistono tre tipi di eventi di scansione supportati nel gruppo di log/aws/guardduty/malware CloudWatch -scan-events.

Protezione da malware per il nome dell'evento di scansione EC2 Spiegazione

EC2_SCAN_STARTED

Creato quando un GuardDuty Malware Protection for EC2 avvia il processo di scansione antimalware, ad esempio quando si prepara a scattare un'istantanea di un EBS volume.

EC2_SCAN_COMPLETED

Creato quando GuardDuty Malware Protection for EC2 scan viene completata per almeno uno dei EBS volumi della risorsa interessata. Questo evento include anche i dati snapshotId che appartengono al volume scansionatoEBS. Al termine della scansione, il risultato sarà CLEAN, THREATS_FOUND o NOT_SCANNED.

EC2_SCAN_SKIPPED

Creato quando GuardDuty Malware Protection for EC2 scan salta tutti i EBS volumi della risorsa interessata. Per identificare il motivo per cui vengono ignorati, seleziona l'evento corrispondente e visualizza i dettagli. Per ulteriori informazioni sui motivi per cui le risorse vengono ignorate, consulta Motivi per cui una risorsa viene ignorata durante la scansione malware di seguito.

Nota

Se utilizzi un AWS Organizations, gli eventi di CloudWatch registro degli account dei membri in Organizations vengono pubblicati sia nell'account amministratore che nel gruppo di registro dell'account membro.

Scegli il metodo di accesso preferito per visualizzare e interrogare CloudWatch gli eventi.

Console

  1. Accedi a AWS Management Console e apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel riquadro di navigazione, in Log, scegli Gruppi di log. Scegli il gruppo di log/aws/guardduty/malware-scan-events per visualizzare gli eventi di scansione per GuardDuty Malware Protection. EC2

    Per eseguire una query, scegli Log Insights.

    Per informazioni sull'esecuzione di una query, consulta Analyzing log data with CloudWatch Logs Insights nella Amazon CloudWatch User Guide.

  3. Scegli ID scansione per monitorare i dettagli della risorsa interessata e gli esiti relativi al malware. Ad esempio, puoi eseguire la seguente query per filtrare gli eventi di CloudWatch registro utilizzando. scanId Assicurati di usare il tuo codice valido scan-id.

    fields @timestamp, @message, scanRequestDetails.scanId as scanId
| filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
| sort @timestamp asc
API/CLI

  • Per lavorare con i gruppi di log, consulta la sezione Ricerca AWS CLI nelle voci di log utilizzando la sezione della Amazon CloudWatch User Guide.

    Scegli il gruppo di log/aws/guardduty/malware-scan-events per visualizzare gli eventi di scansione di GuardDuty Malware Protection per. EC2

  • Per visualizzare e filtrare gli eventi di registro, vedere GetLogEvents e FilterLogEvents, rispettivamente, in Amazon CloudWatch API Reference.

GuardDuty Protezione da malware per la conservazione dei EC2 log

Il periodo di conservazione dei log predefinito per il gruppo di log/aws/guardduty/malware-scan-events è di 90 giorni, dopodiché gli eventi di registro vengono eliminati automaticamente. Per modificare la politica di conservazione dei log per il tuo gruppo di CloudWatch log, consulta Change log data retention in CloudWatch Logs nella Amazon CloudWatch User Guide, oppure PutRetentionPolicynell'Amazon CloudWatch API Reference.

Motivi per cui una risorsa viene ignorata durante la scansione malware

Negli eventi relativi alla scansione antimalware, è possibile che alcune EC2 risorse e EBS volumi siano stati ignorati durante il processo di scansione. La tabella seguente elenca i motivi per cui GuardDuty Malware Protection for EC2 potrebbe non scansionare le risorse. Se applicabile, utilizza i passaggi proposti per risolvere questi problemi ed esegui la scansione di queste risorse la prossima volta che GuardDuty Malware Protection for EC2 avvia una scansione antimalware. Gli altri problemi vengono utilizzati per informarti sul corso degli eventi e non possono essere risolti.

Motivi per cui una risorsa potrebbe essere ignorata Spiegazione Fasi proposte

RESOURCE_NOT_FOUND

La scansione antimalware resourceArn fornita per avviare la scansione antimalware su richiesta non è stata trovata nell'ambiente in uso. AWS

Convalida il carico resourceArn di lavoro dell'EC2istanza o del container Amazon e riprova.

ACCOUNT_INELIGIBLE

L'ID AWS dell'account da cui hai provato ad avviare una scansione antimalware su richiesta non è abilitato. GuardDuty

Verifica che GuardDuty sia abilitato per questo AWS account.

Quando ne GuardDuty abiliti uno nuovo Regione AWS , la sincronizzazione potrebbe richiedere fino a 20 minuti.

UNSUPPORTED_KEY_ENCRYPTION

GuardDuty Malware Protection for EC2 supporta volumi non crittografati e crittografati con chiave gestita dal cliente. Non supporta la scansione di EBS volumi crittografati utilizzando la EBScrittografia Amazon.

Attualmente, esiste una differenza regionale per cui questo motivo di salto non è applicabile. Per ulteriori informazioni su questi aspetti Regioni AWS, vedere. Disponibilità di funzionalità specifiche per ogni regione

Sostituisci la chiave di crittografia con una chiave gestita dal cliente. Per ulteriori informazioni sui tipi di crittografia GuardDuty supportati, vedereEBSVolumi Amazon supportati per la scansione di malware.

EXCLUDED_BY_SCAN_SETTINGS

L'EC2istanza o EBS il volume sono stati esclusi durante la scansione del malware. Esistono due motivazioni possibili: il tag è stato aggiunto all'elenco di inclusione, ma la risorsa non è associata a questo tag, il tag è stato aggiunto all'elenco di esclusione e la risorsa è associata a questo tag oppure il tag GuardDutyExcluded è impostato su true per questa risorsa.

Aggiorna le opzioni di scansione o i tag associati alla tua EC2 risorsa Amazon. Per ulteriori informazioni, consulta Opzioni di scansione con tag definiti dall'utente.

UNSUPPORTED_VOLUME_SIZE

Il volume è superiore a 2048 GB.

Non utilizzabile.

NO_VOLUMES_ATTACHED

GuardDuty Malware Protection for EC2 ha rilevato l'istanza nel tuo account, ma a questa istanza non è stato allegato alcun EBS volume per procedere con la scansione.

Non utilizzabile.

UNABLE_TO_SCAN

Si tratta di un errore interno del servizio.

Non utilizzabile.

SNAPSHOT_NOT_FOUND

Le istantanee create dai EBS volumi e condivise con l'account del servizio non sono state trovate e GuardDuty Malware Protection for non ha EC2 potuto procedere con la scansione.

Verifica che CloudTrail le istantanee non siano state rimosse intenzionalmente.

SNAPSHOT_QUOTA_REACHED

Hai raggiunto il volume massimo consentito per gli snapshot per ogni regione. Per questo motivo non è possibile né conservare né creare nuovi snapshot.

Puoi rimuovere gli snapshot meno recenti o richiedere un aumento della quota. Puoi visualizzare il limite predefinito per gli snapshot per ogni regione e scoprire come richiedere l'aumento della quota in Service Quotas nella Guida di riferimento generale di AWS .

MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED

A un'istanza sono stati allegati più di 11 EBS volumi. EC2 GuardDuty Malware Protection for EC2 ha scansionato i primi 11 EBS volumi, ottenuti ordinandoli alfabeticamente. deviceName

Non utilizzabile.

UNSUPPORTED_PRODUCT_CODE_TYPE

GuardDuty non supporta la scansione delle istanze con as. productCode marketplace Per ulteriori informazioni, consulta Paid AMIs in the Amazon EC2 User Guide.

Per informazioni suproductCode, vedi ProductCodenell'Amazon EC2 API Reference.

Non utilizzabile.