Perguntas frequentes sobre como solucionar problemas do monitoramento de runtime
Talvez seja necessário solucionar problemas ou verificar se o monitoramento de runtime está habilitado e em execução nas tarefas e nos contêineres.
Tópicos
- Como posso saber se o monitoramento de runtime está ativo na minha conta?
- Como posso saber se o monitoramento de runtime está ativo em um cluster?
- Como posso saber se o agente de segurança do GuardDuty está sendo executado em uma tarefa do Fargate?
- Como posso saber se o agente de segurança do GuardDuty está sendo executado em uma instância de contêiner do EC2?
- O que acontece quando não há perfil de execução de tarefas para uma tarefa em execução no cluster?
- Como posso saber se tenho as permissões corretas para marcar clusters no monitoramento de runtime?
- O que acontece quando não há conexão com o Amazon ECR?
- Como soluciono erros de falta de memória nas tarefas do Fargate depois de habilitar o monitoramento de runtime?
Como posso saber se o monitoramento de runtime está ativo na minha conta?
No console do Amazon ECS, as informações estão na página Configurações da conta.
Você também pode executar list-account-settings com a opção effective-settings.
aws ecs list-account-settings --effective-settings
Saída
A configuração com nome definido como guardDutyActivate e valor definido como on indica que a conta está configurada. Você deve verificar com o administrador do GuardDuty se o gerenciamento é automático ou manual.
{
"setting": {
"name": "guardDutyActivate",
"value": "enabled",
"principalArn": "arn:aws:iam::123456789012:root",
"type": "aws-managed"
}
}Como posso saber se o monitoramento de runtime está ativo em um cluster?
No console do Amazon ECS, as informações estão na guia Tags da página de detalhes do cluster.
Você também pode executar describe-clusters com a opção TAGS.
O exemplo a seguir mostra a saída do cluster padrão
aws ecs describe-clusters --cluster default --include TAGS
Saída
A tag com a Chave definida como GuardDutyManaged e o Valor definido como true indica que o cluster está configurado para monitoramento de runtime.
{
"clusters": [
{
"clusterArn": "arn:aws:ecs:us-east-1:1234567890:cluster/default",
"clusterName": "default",
"status": "ACTIVE",
"registeredContainerInstancesCount": 0,
"runningTasksCount": 1,
"pendingTasksCount": 0,
"activeServicesCount": 0,
"statistics": [],
"tags": [
{
"key": "GuardDutyManaged",
"value": "true"
}
],
"settings": [],
"capacityProviders": [],
"defaultCapacityProviderStrategy": []
}
],
"failures": []
}Como posso saber se o agente de segurança do GuardDuty está sendo executado em uma tarefa do Fargate?
O agente de segurança do GuardDuty é executado como contêiner auxiliar em tarefas do Fargate.
No console do Amazon ECS, o auxiliar é exibido em Contêineres na página Detalhes da tarefa.
Você pode executar describe-tasks e procurar o contêiner com um nome definido como aws-gd-agent e lastStatus definido como RUNNING.
O exemplo a seguir mostra a saída do cluster padrão para a tarefa aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE.
aws ecs describe-tasks --cluster default --tasks aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE
Saída
O contêiner denominado gd-agent está no estado RUNNING.
"containers": [
{
"containerArn": "arn:aws:ecs:us-east-1:123456789012:container/4df26bb4-f057-467b-a079-96167EXAMPLE",
"taskArn": "arn:aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE",
"lastStatus": "RUNNING",
"healthStatus": "UNKNOWN",
"memory": "string",
"name": "aws-gd-agent"
}
] Como posso saber se o agente de segurança do GuardDuty está sendo executado em uma instância de contêiner do EC2?
Execute o seguinte comando para visualizar o status:
sudo systemctl status amazon-guardduty-agent
O arquivo de log está no seguinte local:
/var/log/amzn-guardduty-agent
O que acontece quando não há perfil de execução de tarefas para uma tarefa em execução no cluster?
Para tarefas do Fargate, a tarefa começa sem o contêiner auxiliar do agente de segurança do GuardDuty. O painel do GuardDuty mostrará que a tarefa está sem proteção no painel de estatísticas de cobertura.
Como posso saber se tenho as permissões corretas para marcar clusters no monitoramento de runtime?
Para marcar um cluster, você deve ter a ação ecs:TagResource para CreateCluster e UpdateCluster.
Veja a seguir um trecho de um exemplo de política.
{ "Statement": [ { "Effect": "Allow", "Action": [ "ecs:TagResource" ], "Resource": "*", "Condition": { "StringEquals": { "ecs:CreateAction" : "CreateCluster", "ecs:CreateAction" : "UpdateCluster", } } } ] }
O que acontece quando não há conexão com o Amazon ECR?
Para tarefas do Fargate, a tarefa começa sem o contêiner auxiliar do agente de segurança do GuardDuty. O painel do GuardDuty mostrará que a tarefa está sem proteção no painel de estatísticas de cobertura.
Como soluciono erros de falta de memória nas tarefas do Fargate depois de habilitar o monitoramento de runtime?
O agente de segurança do GuardDuty é um processo leve. No entanto, o processo ainda consome recursos de acordo com o tamanho da workload. Recomendamos usar ferramentas de rastreamento de recursos de contêineres, como o Amazon CloudWatch Container Insights, para preparar as implantações do GuardDuty no cluster. Essas ferramentas ajudam você a descobrir o perfil de consumo do agente de segurança do GuardDuty para as aplicações. Em seguida, você pode ajustar o tamanho da tarefa do Fargate, se necessário, para evitar possíveis condições de falta de memória.
