翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CloudWatch Logs を監査する方法と、Malware Protection for EC2 スキャン中にリソースがスキップされる理由について
GuardDuty Malware Protection for EC2 は Amazon CloudWatch ロググループ /aws/guardduty/malware-scan-events にイベントを発行します。マルウェアスキャンに関連する各イベントについて、影響を受けるリソースのステータスとスキャン結果を監視できます。特定の Amazon EC2 リソースと Amazon EBS ボリュームが、Malware Protection for EC2 スキャン中にスキップされた可能性があります。
GuardDuty Malware Protection for EC2 の CloudWatch Logs の監査
CloudWatch ロググループ /aws/guardduty/malware-scan-events でサポートされるスキャンイベントには 3 つのタイプがあります。
| Malware Protection for EC2 スキャンイベント名 | 説明 |
|---|---|
|
|
GuardDuty Malware Protection for EC2 が、EBS ボリュームのスナップショットを作成する準備など、マルウェアスキャンのプロセスを開始するときに作成されます。 |
|
|
影響を受けるリソースの EBS ボリュームの少なくとも 1 つに対して GuardDuty Malware Protection for EC2 スキャンが完了したときに作成されます。このイベントには、スキャンされた EBS ボリュームに属する |
|
|
GuardDuty Malware Protection for EC2 スキャンが影響を受けるリソースのすべての EBS ボリュームをスキップするときに作成されます。スキップ理由を特定するには、対応するイベントを選択し、詳細を表示します。スキップの理由の詳細については、以下の「マルウェアスキャン中にリソースをスキップする理由」を参照してください。 |
注記
AWS Organizations を使用している場合、組織のメンバーアカウントからの CloudWatch ログイベントは、管理者アカウントとメンバーアカウントのロググループの両方に公開されます。
任意のアクセス方法を選択して、CloudWatch イベントを表示およびクエリします。
GuardDuty Malware Protectionfor EC2 ログの保持
ロググループ /aws/guardduty/malware-scan-events のデフォルトのログ保持期間は 90 日で、その後ログイベントは自動的に削除されます。CloudWatch ロググループのログ保持ポリシーを変更するには、「Amazon CloudWatch ユーザーガイド」の「CloudWatch Logs でのログデータ保持を変更する」または「Amazon CloudWatch API リファレンス」の「PutRetentionPolicy」を参照してください。
マルウェアスキャン中にリソースをスキップする理由
マルウェアスキャンに関連するイベントでは、特定の EC2 リソースと EBS ボリュームがスキャンプロセス中にスキップされた可能性があります。次の表に、GuardDuty Malware Protection for EC2 がリソースをスキャンしない理由を示します。該当する場合は、提案された手順を使用してこれらの問題を解決し、次回 GuardDuty Malware Protection for EC2 がマルウェアスキャンを開始したときにこれらのリソースをスキャンするようにします。その他の問題は、イベントの経過を知らせるために使用されるものであり、対応不要です。
| スキップの理由 | 説明 | 提案されるステップ |
|---|---|---|
|
|
オンデマンドマルウェアスキャンを開始するために提供された |
Amazon EC2 インスタンスの |
|
|
オンデマンドマルウェアスキャンを開始しようとした AWS アカウント ID では、GuardDuty が有効になっていません。 |
AWS アカウントで GuardDuty が有効になっていることを確認します。 新しい AWS リージョン で GuardDuty を有効にすると、同期に最大 20 分かかることがあります。 |
|
|
GuardDuty Malware Protection for EC2 は、暗号化されていないボリュームと、カスタマーマネージドキーで暗号化されたボリュームをサポートします。Amazon EBS 暗号化を使用して暗号化された EBS ボリュームのスキャンはサポートされていません。 現在、リージョンによってはこのスキップ理由が当てはまらないことがあります。こうした AWS リージョンの詳細については、「リージョン固有機能の可用性」を参照してください。 |
暗号化キーをカスタマーマネージドキーに置き換えます。GuardDuty がサポートする暗号化タイプの詳細については、「マルウェアスキャンでサポートされている Amazon EBSボリューム」を参照してください。 |
|
|
EC2 インスタンスまたは EBS ボリュームは、マルウェアスキャン中に除外されました。2 つの可能性があります。タグが対象リストに追加されたが、リソースがこのタグに関連付けられていないか、タグが除外リストに追加され、リソースがそのタグに関連付けられている、または、 |
スキャンオプションまたは Amazon EC2 リソースに関連付けられているタグを更新します。詳細については、「ユーザー定義タグ付きのスキャンオプション」を参照してください。 |
|
|
ボリュームが 2,048 GB を超えています。 |
実用的ではありません。 |
|
|
GuardDuty Malware Protection for EC2 がアカウントでインスタンスを検出しましたが、このインスタンスにスキャンを続行するための EBS ボリュームがアタッチされていません。 |
実用的ではありません。 |
|
|
内部サービスエラー。 |
実用的ではありません。 |
|
|
EBS ボリュームから作成され、サービスアカウントと共有されているスナップショットが見つかりませんでした。GuardDuty Malware Protection for EC2 はスキャンを続行できませんでした。 |
CloudTrail をチェックして、スナップショットが意図的に削除されていないことを確認します。 |
|
|
各リージョンのスナップショットに許可されている最大ボリュームに達しました。これにより、スナップショットの保持だけでなく、新しいスナップショットの作成もできなくなります。 |
古いスナップショットを削除するか、クォータの増加をリクエストできます。リージョンごとのスナップショットのデフォルト制限と、クォータの増加をリクエストする方法については、「AWS 全般のリファレンスガイド」の「サービスクォータ」を参照してください。 |
|
|
EC2 インスタンスに 11 を超えた EBS ボリュームがアタッチされました。GuardDuty Malware Protection for EC2 は、 |
実用的ではありません。 |
|
|
GuardDuty は、
|
実用的ではありません。 |
