了解在惡意軟體防護期間略過資源以進行EC2掃描的 CloudWatch 日誌和原因 - Amazon GuardDuty
的 GuardDuty 惡意軟體防護中的稽核 CloudWatch 日誌 EC2GuardDuty EC2日誌保留的惡意軟體防護略過資源的原因

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

了解在惡意軟體防護期間略過資源以進行EC2掃描的 CloudWatch 日誌和原因

GuardDuty 惡意軟體防護EC2會將事件發佈到您的 Amazon CloudWatch 日誌群組 /aws/guardduty/malware-scan-events 。對於與惡意軟體掃描相關的每個事件,您可以監控受影響資源的狀態和掃描結果。特定 Amazon EC2 資源和 Amazon EBS磁碟區可能在惡意軟體防護掃描期間略過EC2。

的 GuardDuty 惡意軟體防護中的稽核 CloudWatch 日誌 EC2

/aws/guardduty/malware-scan-events CloudWatch 日誌群組支援三種類型的掃描事件。

EC2 掃描事件名稱的惡意軟體防護 說明

EC2_SCAN_STARTED

當 的 GuardDuty 惡意軟體防護EC2啟動惡意軟體掃描程序時建立,例如準備拍攝EBS磁碟區的快照。

EC2_SCAN_COMPLETED

當EC2掃描的 GuardDuty 惡意軟體防護至少完成受影響資源的其中一個EBS磁碟區時建立。此事件也包含snapshotId屬於掃描EBS磁碟區的 。掃描完成後,掃描結果將為 CLEANTHREATS_FOUNDNOT_SCANNED

EC2_SCAN_SKIPPED

當EC2掃描的 GuardDuty 惡意軟體防護略過受影響資源的所有EBS磁碟區時建立。若要識別略過原因,請選取對應的事件,然後檢視詳細資訊。如需有關略過原因的詳細資訊,請參閱以下惡意軟體掃描期間略過資源的原因
注意

如果您使用的是 AWS Organizations,來自 Organizations 中成員帳戶的 CloudWatch 日誌事件會發佈至管理員帳戶和成員帳戶的日誌群組。

選擇您偏好的存取方法以檢視和查詢 CloudWatch 事件。

Console

  1. 登入 AWS Management Console 並在 開啟 CloudWatch 主控台https://console.aws.amazon.com/cloudwatch/

  2. 在導覽窗格中,選擇日誌下方的日誌群組。選擇 /aws/guardduty/malware-scan-events 日誌群組,以檢視 GuardDuty 惡意軟體防護的掃描事件EC2。

    若要執行查詢,請選擇 Log Insights

    如需執行查詢的相關資訊,請參閱 Amazon CloudWatch 使用者指南 中的使用 CloudWatch Logs Insights 分析日誌資料

  3. 選擇掃描 ID 以監控受影響資源和惡意軟體調查結果的詳細資訊。例如,您可以使用 執行下列查詢來篩選 CloudWatch 日誌事件scanId。請務必使用您自己的有效 scan-id.

    fields @timestamp, @message, scanRequestDetails.scanId as scanId
| filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
| sort @timestamp asc
API/CLI

  • 若要使用日誌群組,請參閱 Amazon CloudWatch 使用者指南 中的使用 搜尋日誌項目 AWS CLI

    選擇 /aws/guardduty/malware-scan-events 日誌群組,以檢視 GuardDuty 惡意軟體防護的掃描事件EC2。

  • 若要檢視和篩選日誌事件,請參閱 GetLogEventsFilterLogEvents分別位於 Amazon CloudWatch API 參考 中的

GuardDuty EC2日誌保留的惡意軟體防護

/aws/guardduty/malware-scan-events 日誌群組的預設日誌保留期間為 90 天,之後會自動刪除日誌事件。若要變更日誌群組的 CloudWatch 日誌保留政策,請參閱 Amazon 使用者指南 中的在日誌中變更 CloudWatch 日誌資料保留,或 CloudWatch PutRetentionPolicyAmazon CloudWatch API 參考 中。

惡意軟體掃描期間略過資源的原因

在與惡意軟體掃描相關的事件中,某些EC2資源和EBS磁碟區可能在掃描過程中被略過。下表列出 的 GuardDuty 惡意軟體防護EC2無法掃描 資源的原因。如果適用,請使用提議的步驟來解決這些問題,並在下次 GuardDuty 惡意軟體防護 EC2啟動惡意軟體掃描時掃描這些資源。其他問題用於通知您有關事件的進展情況,並且不可採取動作。

略過的原因 說明 建議步驟

RESOURCE_NOT_FOUND

在您的 AWS 環境中找不到resourceArn提供給 的 啟動隨需惡意軟體掃描。

驗證 Amazon EC2執行個體或容器工作負載resourceArn的 ,然後再試一次。

ACCOUNT_INELIGIBLE

您嘗試啟動隨需惡意軟體掃描 AWS 的帳戶 ID 尚未啟用 GuardDuty。

確認此 AWS 帳戶 GuardDuty 已啟用 。

當您在新的 GuardDuty 中啟用 時 AWS 區域 ,最多可能需要 20 分鐘的時間進行同步。

UNSUPPORTED_KEY_ENCRYPTION

GuardDuty 的惡意軟體防護EC2支援使用客戶受管金鑰未加密和加密的磁碟區。它不支援使用 Amazon 加密 EBS加密的掃描EBS磁碟區。

目前,此略過原因不適用的區域差異。如需這些 的詳細資訊 AWS 區域,請參閱 區域特定功能的可用性

使用客戶自管金鑰取代您的加密金鑰。如需 GuardDuty 支援加密類型的詳細資訊,請參閱 支援惡意軟體掃描的 Amazon EBS磁碟區

EXCLUDED_BY_SCAN_SETTINGS

惡意軟體掃描期間排除EC2執行個體或EBS磁碟區。有兩種可能性:標籤已新增至包含清單,但資源未與此標籤相關聯;標籤已新增至排除清單,且資源與此標籤相關聯;或 GuardDutyExcluded 標籤針對此資源設定為 true

更新您的掃描選項或與您的 Amazon EC2 資源相關聯的標籤。如需詳細資訊,請參閱具有使用者定義標籤的掃描選項

UNSUPPORTED_VOLUME_SIZE

磁碟區大於 2048 GB。

不可行。

NO_VOLUMES_ATTACHED

GuardDuty 的惡意軟體防護在您帳戶中EC2找到執行個體,但此執行個體未連接磁碟EBS區以繼續掃描。

不可行。

UNABLE_TO_SCAN

這是內部服務錯誤。

不可行。

SNAPSHOT_NOT_FOUND

找不到從EBS磁碟區建立並與服務帳戶共用的快照,且 的 GuardDuty 惡意軟體防護EC2無法繼續掃描。

檢查 CloudTrail 以確保快照沒有刻意移除。

SNAPSHOT_QUOTA_REACHED

您已達到每個區域允許的最大快照量。這不僅會阻止保留,還會阻止建立新快照。

您可以移除舊快照或請求提高配額。您可以在《AWS 一般參考指南》中的 Service Quotas 下檢視每個區域快照的預設限制,以及如何請求提高配額。

MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED

EC2 執行個體連接了超過 11 個EBS磁碟區。 GuardDuty 惡意軟體防護用於EC2掃描前 11 個EBS磁碟區,透過依deviceName字母順序排序取得。

不可行。

UNSUPPORTED_PRODUCT_CODE_TYPE

GuardDuty 不支援將執行個體掃描productCodemarketplace。如需詳細資訊,請參閱 Amazon EC2使用者指南 中的付費AMIs

如需 的資訊productCode,請參閱 ProductCodeAmazon EC2API參考 中。

不可行。