Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comprendre CloudWatch les journaux et les raisons du manque de ressources lors de l'analyse Malware Protection for EC2
GuardDuty Malware Protection for EC2 publie des événements dans votre groupe de CloudWatch journaux Amazon /aws/guardduty/ malware-scan-events. Pour chacun des événements liés à l'analyse des programmes malveillants, vous pouvez surveiller l'état et le résultat de l'analyse de vos ressources concernées. Certaines ressources Amazon EC2 et certains volumes Amazon EBS ont peut-être été ignorés lors de l'analyse Malware Protection for EC2.
CloudWatch Journaux d'audit dans GuardDuty Malware Protection for EC2
Trois types d'événements de scan sont pris en charge dans le groupe de journaux malware-scan-events CloudWatch /aws/guardduty/.
Nom de l'événement de scan de protection contre les programmes malveillants pour EC2 | Explication |
---|---|
|
Créé lorsqu'une protection contre les GuardDuty programmes malveillants pour EC2 lance le processus d'analyse des programmes malveillants, par exemple en préparant la prise d'un instantané d'un volume EBS. |
|
Créé lorsque l'analyse GuardDuty Malware Protection for EC2 est terminée pour au moins un des volumes EBS de la ressource concernée. Cet événement inclut également l' |
|
Créé lorsque le scan GuardDuty Malware Protection for EC2 ignore tous les volumes EBS de la ressource affectée. Pour identifier le motif de l'omission, sélectionnez l'événement correspondant et consultez les détails. Pour plus d'informations sur les motifs de l'omission, veuillez consulter Motifs de l'omission des ressources lors de l'analyse des logiciels malveillants ci-dessous. |
Note
Si vous utilisez un AWS Organizations, CloudWatch les événements enregistrés depuis les comptes des membres dans Organizations sont publiés à la fois dans le compte administrateur et dans le groupe de journaux du compte membre.
Choisissez votre méthode d'accès préférée pour consulter et interroger CloudWatch les événements.
GuardDuty Protection contre les logiciels malveillants pour la conservation des journaux EC2
La période de conservation des journaux par défaut pour le groupe de journaux /aws/guardduty/ est de 90 jours, après quoi les événements du malware-scan-events journal sont automatiquement supprimés. Pour modifier la politique de conservation des journaux de votre groupe de CloudWatch journaux, consultez la section Conservation des données des CloudWatch journaux des modifications dans Logs du guide de CloudWatch l'utilisateur Amazon ou PutRetentionPolicydans le manuel Amazon CloudWatch API Reference.
Motifs de l'omission des ressources lors de l'analyse des logiciels malveillants
Lors des événements liés à l'analyse des programmes malveillants, certaines ressources EC2 et certains volumes EBS peuvent avoir été ignorés pendant le processus d'analyse. Le tableau suivant répertorie les raisons pour lesquelles GuardDuty Malware Protection for EC2 peut ne pas analyser les ressources. Le cas échéant, suivez les étapes proposées pour résoudre ces problèmes et analysez ces ressources la prochaine fois que GuardDuty Malware Protection for EC2 lancera une analyse des programmes malveillants. Les autres problèmes sont utilisés pour vous informer sur le cours des événements et ne sont pas exploitables.
Motifs de l'omission | Explication | Étapes proposées |
---|---|---|
|
Le |
Validez l' |
|
L'identifiant du AWS compte à partir duquel vous avez essayé de lancer une analyse des programmes malveillants à la demande n'est pas activé GuardDuty. |
Vérifiez que GuardDuty c'est activé pour ce AWS compte. Lorsque vous GuardDuty en activez une nouvelle Région AWS , la synchronisation peut prendre jusqu'à 20 minutes. |
|
GuardDuty Malware Protection for EC2 prend en charge les volumes à la fois non chiffrés et chiffrés avec une clé gérée par le client. Il ne prend pas en charge l'analyse des volumes EBS chiffrés à l'aide du chiffrement Amazon EBS. À l'heure actuelle, il existe une différence régionale selon laquelle cette raison d'omission ne s'applique pas. Pour plus d'informations à ce sujet Régions AWS, consultezDisponibilité des fonctionnalités propres à la région. |
Remplacez votre clé de chiffrement par une clé gérée par le client. Pour plus d'informations sur les types de chiffrement pris GuardDuty en charge, consultezVolumes Amazon EBS pris en charge pour l'analyse des programmes malveillants. |
|
L'instance EC2 ou le volume EBS a été exclu lors de l'analyse des programmes malveillants. Il existe deux possibilités : soit la balise a été ajoutée à la liste d'inclusion, mais la ressource n'est pas associée à cette balise, soit la balise a été ajoutée à la liste d'exclusion et la ressource est associée à cette balise, soit la balise |
Mettez à jour vos options d'analyse ou les balises associées à votre ressource Amazon EC2. Pour plus d’informations, consultez Options d'analyse avec balises définies par l'utilisateur. |
|
Le volume est supérieur à 2 048 Go. |
Non exploitable. |
|
GuardDuty Malware Protection for EC2 a détecté l'instance dans votre compte, mais aucun volume EBS n'a été attaché à cette instance pour procéder à l'analyse. |
Non exploitable. |
|
Il s'agit d'une erreur de service interne. |
Non exploitable. |
|
Les instantanés créés à partir des volumes EBS et partagés avec le compte de service sont introuvables, et GuardDuty Malware Protection for EC2 n'a pas pu poursuivre l'analyse. |
Vérifiez que CloudTrail les instantanés n'ont pas été supprimés intentionnellement. |
|
Vous avez atteint le volume maximum autorisé d'instantanés pour chaque région. Cela empêche non seulement de retenir, mais également de créer d'autres instantanés. |
Vous pouvez soit supprimer les anciens instantanés, soit demander une augmentation du quota. Vous pouvez consulter la limite par défaut pour les instantanés par région et la procédure à suivre pour demander une augmentation de quota sous Service Quotas dans le Guide de référence général AWS . |
|
Plus de 11 volumes EBS ont été attachés à une instance EC2. GuardDuty Malware Protection for EC2 a analysé les 11 premiers volumes EBS, obtenus en les triant par ordre alphabétique. |
Non exploitable. |
|
GuardDuty ne prend pas en charge l'analyse des instances avec Pour plus d'informations sur |
Non exploitable. |