Grundlegendes zu CloudWatch Protokollen und Gründen für das Überspringen von Ressourcen beim Scan von Malware Protection for EC2 - Amazon GuardDuty
CloudWatch Protokolle in Malware Protection for EC2 GuardDuty prüfenGuardDuty Malware-Schutz für die Aufbewahrung von EC2-ProtokollenGründe für das Überspringen der Ressource

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegendes zu CloudWatch Protokollen und Gründen für das Überspringen von Ressourcen beim Scan von Malware Protection for EC2

GuardDuty Malware Protection for EC2 veröffentlicht Ereignisse in Ihrer CloudWatch Amazon-Protokollgruppe /aws/guardduty/ malware-scan-events. Für jedes Ereignis im Zusammenhang mit dem Malware-Scan können Sie den Status und das Scanergebnis Ihrer betroffenen Ressourcen überwachen. Bestimmte Amazon EC2 EC2-Ressourcen und Amazon EBS-Volumes wurden möglicherweise während des Malware Protection for EC2-Scans übersprungen.

CloudWatch Protokolle in Malware Protection for EC2 GuardDuty prüfen

In der Protokollgruppe /aws/guardduty/ malware-scan-events CloudWatch werden drei Arten von Scanereignissen unterstützt.

Name des Scanereignisses „Malware-Schutz für EC2“ Erklärung

EC2_SCAN_STARTED

Wird erstellt, wenn ein GuardDuty Malware Protection for EC2 den Prozess des Malware-Scans einleitet, z. B. die Vorbereitung der Erstellung eines Snapshots eines EBS-Volumes.

EC2_SCAN_COMPLETED

Wird erstellt, wenn der GuardDuty Malware Protection for EC2-Scan für mindestens eines der EBS-Volumes der betroffenen Ressource abgeschlossen ist. Dieses Ereignis umfasst auch das snapshotId, das zum gescannten EBS-Volume gehört. Nach Abschluss des Scans lautet das Scanergebnis entweder CLEAN, THREATS_FOUND oder NOT_SCANNED.

EC2_SCAN_SKIPPED

Wird erstellt, wenn der GuardDuty Malware Protection for EC2-Scan alle EBS-Volumes der betroffenen Ressource überspringt. Um den Grund für das Überspringen zu ermitteln, wählen Sie das entsprechende Ereignis aus und sehen Sie sich die Details an. Weitere Informationen zu den Gründen für das Überspringen finden Sie unter Gründe für das Überspringen von Ressourcen beim Malware-Scan weiter unten.

Anmerkung

Wenn Sie eine verwenden AWS Organizations, werden CloudWatch Protokollereignisse von Mitgliedskonten in Organizations sowohl im Administratorkonto als auch in der Protokollgruppe des Mitgliedskontos veröffentlicht.

Wählen Sie Ihre bevorzugte Zugriffsmethode, um CloudWatch Ereignisse anzuzeigen und abzufragen.

Console

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich Protokolle die Option Protokollgruppen. Wählen Sie die malware-scan-events Protokollgruppe /aws/guardduty/, um die Scanereignisse für Malware Protection for EC2 anzuzeigen. GuardDuty

    Um eine Abfrage auszuführen, wählen Sie Log Insights.

    Informationen zum Ausführen einer Abfrage finden Sie unter Analysieren von Protokolldaten mit CloudWatch Logs Insights im CloudWatch Amazon-Benutzerhandbuch.

  3. Wählen Sie Scan-ID, um die Details der betroffenen Ressourcen und Malware-Erkenntnisse zu überwachen. Sie können beispielsweise die folgende Abfrage ausführen, um die CloudWatch Protokollereignisse zu filtern, indem SiescanId. Stellen Sie sicher, dass Sie Ihre eigene gültige Scan-ID verwenden.

    fields @timestamp, @message, scanRequestDetails.scanId as scanId
| filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
| sort @timestamp asc
API/CLI

  • Informationen zur Arbeit mit Protokollgruppen finden Sie unter Suchen nach Protokolleinträgen mithilfe von AWS CLI im CloudWatch Amazon-Benutzerhandbuch.

    Wählen Sie die malware-scan-events Protokollgruppe /aws/guardduty/, um die Scan-Ereignisse für Malware Protection for EC2 anzuzeigen. GuardDuty

  • Informationen zum Anzeigen und Filtern von Protokollereignissen finden Sie unter GetLogEventsbzw. in der Amazon CloudWatch API-Referenz. FilterLogEvents

GuardDuty Malware-Schutz für die Aufbewahrung von EC2-Protokollen

Die Standarddauer für die Aufbewahrung von Protokollen für die Protokollgruppe /aws/guardduty/ beträgt 90 Tage. Danach werden die malware-scan-events Protokollereignisse automatisch gelöscht. Informationen zum Ändern der Protokollaufbewahrungsrichtlinie für Ihre CloudWatch Protokollgruppe finden Sie unter Ändern der Aufbewahrung von Protokolldaten in CloudWatch Logs im CloudWatch Amazon-Benutzerhandbuch oder PutRetentionPolicyin der CloudWatch Amazon-API-Referenz.

Gründe für das Überspringen von Ressourcen beim Malware-Scan

Bei Ereignissen im Zusammenhang mit dem Malware-Scan wurden möglicherweise bestimmte EC2-Ressourcen und EBS-Volumes während des Scanvorgangs übersprungen. In der folgenden Tabelle sind die Gründe aufgeführt, warum GuardDuty Malware Protection for EC2 die Ressourcen möglicherweise nicht scannt. Verwenden Sie gegebenenfalls die vorgeschlagenen Schritte, um diese Probleme zu beheben, und scannen Sie diese Ressourcen, wenn GuardDuty Malware Protection for EC2 das nächste Mal einen Malware-Scan initiiert. Die anderen Probleme dienen dazu, Sie über den Verlauf der Ereignisse zu informieren, und sind nicht umsetzbar.

Gründe für das Überspringen Erklärung Vorgeschlagene Schritte

RESOURCE_NOT_FOUND

Der resourceArn zur Initiierung des On-Demand-Malware-Scans bereitgestellte Schadsoftware-Scan wurde in Ihrer AWS Umgebung nicht gefunden.

Überprüfen Sie den resourceArn Ihres Amazon-EC2-Instance- oder Container-Workloads und versuchen Sie es erneut.

ACCOUNT_INELIGIBLE

Die AWS Konto-ID, von der aus Sie versucht haben, einen On-Demand-Malware-Scan zu starten, wurde nicht aktiviert GuardDuty.

Stellen Sie sicher, dass GuardDuty es für dieses AWS Konto aktiviert ist.

Wenn Sie ein neues Konto aktivieren GuardDuty AWS-Region , kann die Synchronisierung bis zu 20 Minuten dauern.

UNSUPPORTED_KEY_ENCRYPTION

GuardDuty Malware Protection for EC2 unterstützt Volumes, die sowohl unverschlüsselt als auch mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind. Das Scannen von EBS-Volumes, die mit der Amazon-EBS-Verschlüsselung verschlüsselt wurden, wird nicht unterstützt.

Derzeit gibt es einen regionalen Unterschied, bei dem dieser Grund für das Überspringen nicht zutrifft. Weitere Informationen zu diesen finden Sie AWS-Regionen unterVerfügbarkeit regionsspezifischer Feature.

Ersetzen Sie Ihren Verschlüsselungsschlüssel durch einen vom Kunden verwalteten Schlüssel. Weitere Informationen zu den GuardDuty unterstützten Verschlüsselungsarten finden Sie unterUnterstützte Amazon EBS-Volumes für Malware-Scans.

EXCLUDED_BY_SCAN_SETTINGS

Die EC2-Instance oder das EBS-Volume wurde beim Malware-Scan ausgeschlossen. Es gibt zwei Möglichkeiten: Entweder wurde das Tag zur Einschließen-Liste hinzugefügt, aber die Ressource ist nicht mit diesem Tag verknüpft, das Tag wurde der Ausschließen-Liste hinzugefügt und die Ressource ist mit diesem Tag verknüpft, oder das GuardDutyExcluded-Tag ist für diese Ressource auf true gesetzt.

Aktualisieren Sie Ihre Scan-Optionen oder die Ihrer Amazon-EC2-Ressource zugeordneten Tags. Weitere Informationen finden Sie unter Scan-Optionen mit benutzerdefinierten Tags.

UNSUPPORTED_VOLUME_SIZE

Das Volumen ist größer als 2048 GB.

Nicht umsetzbar.

NO_VOLUMES_ATTACHED

GuardDuty Malware Protection for EC2 hat die Instance in Ihrem Konto gefunden, aber es wurde kein EBS-Volume an diese Instance angehängt, um mit dem Scan fortzufahren.

Nicht umsetzbar.

UNABLE_TO_SCAN

Es ist ein interner Servicefehler.

Nicht umsetzbar.

SNAPSHOT_NOT_FOUND

Die von den EBS-Volumes erstellten und mit dem Dienstkonto geteilten Snapshots wurden nicht gefunden, und GuardDuty Malware Protection for EC2 konnte den Scan nicht fortsetzen.

Stellen Sie sicher CloudTrail , dass die Snapshots nicht absichtlich entfernt wurden.

SNAPSHOT_QUOTA_REACHED

Sie haben das maximale Volumen erreicht, das für Snapshots für jede Region zulässig ist. Dadurch wird verhindert, dass Snapshots nicht nur gespeichert, sondern auch neue erstellt werden.

Sie können entweder alte Snapshots entfernen oder eine Erhöhung des Kontingents beantragen. Das Standardlimit für Snapshots pro Region und wie Sie eine Erhöhung des Kontingents beantragen können, finden Sie unter Service Quotas im Allgemeinen Referenzhandbuch von AWS .

MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED

Mehr als 11 EBS-Volumes wurden an eine EC2-Instance angehängt. GuardDuty Malware Protection for EC2 scannte die ersten 11 EBS-Volumes, die durch alphabetische Sortierung ermittelt wurden. deviceName

Nicht umsetzbar.

UNSUPPORTED_PRODUCT_CODE_TYPE

GuardDuty unterstützt das Scannen von Instances mit as nicht. productCode marketplace Weitere Informationen finden Sie unter Bezahlte AMIs im Amazon EC2 EC2-Benutzerhandbuch.

Weitere Informationen zu productCode finden Sie unter ProductCode in der Amazon-EC2-API-Referenz.

Nicht umsetzbar.