Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Cakupan runtime dan pemecahan masalah untuk instans Amazon EC2
Untuk EC2 sumber daya Amazon, cakupan runtime dievaluasi pada tingkat instans. EC2Instans Amazon Anda dapat menjalankan beberapa jenis aplikasi dan beban kerja antara lain di lingkungan Anda. AWS Fitur ini juga mendukung EC2 instans Amazon yang dikelola Amazon ECS dan jika Anda memiliki kluster Amazon ECS yang berjalan di EC2 instans Amazon, masalah cakupan pada tingkat instans akan muncul di bawah cakupan runtime Amazon. EC2
Topik
Meninjau statistik cakupan
Statistik cakupan untuk EC2 instans Amazon yang terkait dengan akun Anda sendiri atau akun anggota Anda adalah persentase EC2 contoh sehat di semua EC2 instance yang dipilih. Wilayah AWS Persamaan berikut mewakili ini sebagai:
(Contoh Sehat/Semua contoh) * 100
Jika Anda juga telah menerapkan agen GuardDuty keamanan untuk kluster Amazon ECS Anda, maka masalah cakupan tingkat instans apa pun yang terkait dengan kluster Amazon ECS yang berjalan di EC2 instans Amazon akan muncul sebagai masalah cakupan runtime instans Amazon EC2 .
Pilih salah satu metode akses untuk meninjau statistik cakupan akun Anda.
Jika status cakupan EC2 instans Anda tidak sehat, lihatMemecahkan masalah cakupan EC2 runtime Amazon.
Perubahan status cakupan dengan EventBridge notifikasi
Status cakupan EC2 instans Amazon Anda mungkin tampak tidak sehat. Untuk mengetahui kapan status pertanggungan berubah, kami sarankan Anda untuk memantau status pertanggungan secara berkala, dan memecahkan masalah jika status menjadi tidak sehat. Atau, Anda dapat membuat EventBridge aturan Amazon untuk menerima pemberitahuan saat status cakupan berubah dari Tidak Sehat menjadi Sehat atau lainnya. Secara default, GuardDuty publikasikan ini di EventBridge bus untuk akun Anda.
Skema pemberitahuan sampel
Dalam EventBridge aturan, Anda dapat menggunakan contoh peristiwa dan pola peristiwa yang telah ditentukan sebelumnya untuk menerima pemberitahuan status cakupan. Untuk informasi selengkapnya tentang membuat EventBridge aturan, lihat Membuat aturan di Panduan EventBridge Pengguna Amazon.
Selain itu, Anda dapat membuat pola acara khusus dengan menggunakan skema pemberitahuan contoh berikut. Pastikan untuk mengganti nilai untuk akun Anda. Untuk mendapatkan pemberitahuan ketika status cakupan EC2 instans Amazon Anda berubah dari Healthy
keUnhealthy
, detail-type
seharusnyaGuardDuty Runtime
Protection Unhealthy
. Untuk mendapatkan pemberitahuan ketika status cakupan berubah dari Unhealthy
keHealthy
, ganti nilai detail-type
denganGuardDuty Runtime Protection Healthy
.
{ "version": "0", "id": "event ID", "detail-type": "GuardDuty Runtime Protection Unhealthy", "source": "aws.guardduty", "account": "Akun AWS ID", "time": "event timestamp (string)", "region": "Wilayah AWS", "resources": [ ], "detail": { "schemaVersion": "1.0", "resourceAccountId": "string", "currentStatus": "string", "previousStatus": "string", "resourceDetails": { "resourceType": "EC2", "ec2InstanceDetails": { "instanceId":"", "instanceType":"", "clusterArn": "", "agentDetails": { "version":"" }, "managementType":"" } }, "issue": "string", "lastUpdatedAt": "timestamp" } }
Memecahkan masalah cakupan EC2 runtime Amazon
Jika status cakupan EC2 instans Amazon Anda tidak sehat, Anda dapat melihat alasannya di bawah kolom Masalah.
Jika EC2 instans Anda dikaitkan dengan kluster EKS dan agen keamanan untuk EKS diinstal baik secara manual atau melalui konfigurasi agen otomatis, maka untuk memecahkan masalah cakupan, lihat. Cakupan runtime dan pemecahan masalah untuk klaster Amazon EKS
Tabel berikut mencantumkan jenis masalah dan langkah pemecahan masalah yang sesuai.
Jenis masalah | Pesan masalah | Langkah pemecahan masalah |
---|---|---|
Tidak Ada Pelaporan Agen |
Menunggu notifikasi SSM |
Menerima pemberitahuan SSM mungkin memakan waktu beberapa menit. Pastikan EC2 instans Amazon dikelola SSM. Untuk informasi selengkapnya, lihat langkah-langkah di bawah Metode 1 - Dengan menggunakan AWS Systems Manager diMemasang agen keamanan secara manual. |
(Kosong dengan sengaja) |
Jika Anda mengelola agen GuardDuty keamanan secara manual, pastikan Anda mengikuti langkah-langkah di bawah iniMengelola agen keamanan secara manual untuk EC2 sumber daya Amazon. |
|
Jika Anda telah mengaktifkan konfigurasi agen otomatis:
|
||
Validasi bahwa titik akhir VPC untuk instans EC2 Amazon Anda dikonfigurasi dengan benar. Untuk informasi selengkapnya, lihat Memvalidasi konfigurasi titik akhir VPC. |
||
Jika organisasi Anda memiliki kebijakan kontrol layanan (SCP), validasi bahwa batas izin tidak membatasi izin. |
||
Agen terputus |
|
|
Pembuatan Asosiasi SSM Gagal |
GuardDuty Asosiasi SSM sudah ada di akun Anda |
|
Akun Anda memiliki terlalu banyak asosiasi SSM |
Pilih salah satu dari dua opsi berikut:
|
|
Pembaruan Asosiasi SSM Gagal |
GuardDuty Asosiasi SSM tidak ada di akun Anda |
GuardDuty Asosiasi SSM tidak ada di akun Anda. Nonaktifkan dan kemudian aktifkan kembali Runtime Monitoring. |
Penghapusan Asosiasi SSM Gagal |
GuardDuty Asosiasi SSM tidak ada di akun Anda |
Asosiasi SSM tidak ada di akun Anda. Jika asosiasi SSM dihapus dengan sengaja, maka tidak ada tindakan yang diperlukan. |
Eksekusi Asosiasi Instans SSM Gagal |
Persyaratan arsitektur atau prasyarat lainnya tidak terpenuhi. |
Untuk informasi tentang distribusi sistem operasi terverifikasi, lihatPrasyarat untuk dukungan instans Amazon EC2 . Jika Anda masih mengalami masalah ini, langkah-langkah berikut akan membantu Anda mengidentifikasi dan berpotensi menyelesaikan masalah:
|
Pembuatan Titik Akhir VPC Gagal |
Pembuatan titik akhir VPC tidak didukung untuk VPC bersama |
Runtime Monitoring mendukung penggunaan VPC bersama dalam suatu organisasi. Untuk informasi selengkapnya, lihat Menggunakan VPC bersama dengan agen keamanan otomatis. |
Hanya saat menggunakan VPC bersama dengan konfigurasi agen otomatis ID akun pemilik |
Akun pemilik VPC bersama harus mengaktifkan Runtime Monitoring dan konfigurasi agen otomatis untuk setidaknya satu jenis sumber daya (Amazon EKS atau Amazon ECS ()).AWS Fargate Untuk informasi selengkapnya, lihat Prasyarat khusus untuk Runtime Monitoring GuardDuty . | |
Mengaktifkan DNS pribadi memerlukan atribut keduanya dan |
Pastikan atribut VPC berikut disetel ke Jika Anda menggunakan Konsol VPC Amazon di https://console.aws.amazon.com/vpc/ |
|
Penghapusan Titik Akhir VPC Bersama Gagal |
Penghapusan titik akhir VPC bersama tidak diizinkan untuk ID akun, VPC |
Langkah-langkah potensial:
|
Agen tidak melaporkan |
(Kosong dengan sengaja) |
Jenis masalah telah mencapai akhir dukungan. Jika Anda terus mengalami masalah ini dan belum melakukannya, aktifkan agen GuardDuty otomatis untuk Amazon EC2. Jika masalah masih berlanjut, pertimbangkan untuk menonaktifkan Runtime Monitoring selama beberapa menit dan kemudian aktifkan lagi. |