Memahami CloudWatch Log dan alasan melewatkan sumber daya selama Perlindungan Malware untuk pemindaian EC2 - Amazon GuardDuty
Mengaudit CloudWatch Log dalam Perlindungan GuardDuty Malware untuk EC2GuardDuty Perlindungan Malware untuk retensi log EC2Alasan melewatkan sumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memahami CloudWatch Log dan alasan melewatkan sumber daya selama Perlindungan Malware untuk pemindaian EC2

GuardDuty Perlindungan Malware untuk EC2 menerbitkan peristiwa ke grup CloudWatch log Amazon Anda /aws/guardduty/. malware-scan-events Untuk setiap peristiwa yang terkait dengan pemindaian malware, Anda dapat memantau status dan hasil pemindaian sumber daya yang terkena dampak. Sumber daya Amazon EC2 tertentu dan volume Amazon EBS mungkin telah dilewati selama pemindaian Perlindungan Malware untuk EC2.

Mengaudit CloudWatch Log dalam Perlindungan GuardDuty Malware untuk EC2

Ada tiga jenis peristiwa pemindaian yang didukung di grup log malware-scan-events CloudWatch /aws/guardduty/.

Perlindungan Malware untuk nama acara pemindaian EC2 Penjelasan

EC2_SCAN_STARTED

Dibuat saat Perlindungan GuardDuty Malware untuk EC2 memulai proses pemindaian malware, seperti bersiap untuk mengambil snapshot dari volume EBS.

EC2_SCAN_COMPLETED

Dibuat saat Perlindungan GuardDuty Malware untuk pemindaian EC2 selesai untuk setidaknya satu volume EBS dari sumber daya yang terkena dampak. Acara ini juga mencakup snapshotId yang termasuk dalam volume EBS yang dipindai. Setelah pemindaian selesai, hasil pemindaian akan menjadiCLEAN,THREATS_FOUND, atauNOT_SCANNED.

EC2_SCAN_SKIPPED

Dibuat saat Perlindungan GuardDuty Malware untuk pemindaian EC2 melewatkan semua volume EBS dari sumber daya yang terkena dampak. Untuk mengidentifikasi alasan lewati, pilih acara yang sesuai, dan lihat detailnya. Untuk informasi lebih lanjut tentang alasan lewati, lihat Alasan melewatkan sumber daya selama pemindaian malware di bawah.

catatan

Jika Anda menggunakan AWS Organizations, CloudWatch log peristiwa dari akun anggota di Organizations akan dipublikasikan ke akun administrator dan grup log akun anggota.

Pilih metode akses pilihan Anda untuk melihat dan menanyakan CloudWatch acara.

Console

  1. Masuk ke AWS Management Console dan buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  2. Di panel navigasi, di bawah Log, pilih Grup log. Pilih grup /aws/guardduty/ malware-scan-events log untuk melihat peristiwa pemindaian untuk Perlindungan Malware untuk EC2. GuardDuty

    Untuk menjalankan kueri, pilih Wawasan Log.

    Untuk informasi tentang menjalankan kueri, lihat Menganalisis data CloudWatch log dengan Wawasan Log di Panduan CloudWatch Pengguna Amazon.

  3. Pilih Pindai ID untuk memantau detail sumber daya yang terkena dampak dan temuan malware. Misalnya, Anda dapat menjalankan kueri berikut untuk memfilter peristiwa CloudWatch log dengan menggunakanscanId. Pastikan untuk menggunakan scan-id Anda sendiri yang valid.

    fields @timestamp, @message, scanRequestDetails.scanId as scanId
| filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
| sort @timestamp asc
API/CLI

  • Untuk bekerja dengan grup log, lihat Menelusuri entri log menggunakan AWS CLI di Panduan CloudWatch Pengguna Amazon.

    Pilih grup /aws/guardduty/ malware-scan-events log untuk melihat peristiwa pemindaian untuk Perlindungan Malware untuk EC2. GuardDuty

  • Untuk melihat dan memfilter peristiwa log, lihat GetLogEventsdan FilterLogEvents, masing-masing, di Referensi Amazon CloudWatch API.

GuardDuty Perlindungan Malware untuk retensi log EC2

Periode penyimpanan log default untuk grup malware-scan-events/aws/guardduty/log adalah 90 hari, setelah itu peristiwa log dihapus secara otomatis. Untuk mengubah kebijakan penyimpanan log untuk grup CloudWatch log Anda, lihat Mengubah penyimpanan data CloudWatch log di Log di Panduan CloudWatch Pengguna Amazon, atau PutRetentionPolicydi Referensi CloudWatch API Amazon.

Alasan melewatkan sumber daya selama pemindaian malware

Dalam peristiwa yang terkait dengan pemindaian malware, sumber daya EC2 dan volume EBS tertentu mungkin telah dilewati selama proses pemindaian. Tabel berikut mencantumkan alasan mengapa Perlindungan GuardDuty Malware untuk EC2 mungkin tidak memindai sumber daya. Jika berlaku, gunakan langkah-langkah yang diusulkan untuk mengatasi masalah ini, dan pindai sumber daya ini saat berikutnya Perlindungan GuardDuty Malware untuk EC2 memulai pemindaian malware. Masalah lain digunakan untuk memberi tahu Anda tentang jalannya acara dan tidak dapat ditindaklanjuti.

Alasan untuk melompat-lompat Penjelasan Langkah-langkah yang diusulkan

RESOURCE_NOT_FOUND

Yang resourceArn disediakan untuk memulai pemindaian malware sesuai permintaan tidak ditemukan di lingkungan Anda AWS .

Validasi instans Amazon EC2 atau beban kerja container Anda, dan coba lagi. resourceArn

ACCOUNT_INELIGIBLE

ID AWS akun tempat Anda mencoba memulai pemindaian malware On-Demand belum diaktifkan. GuardDuty

Verifikasi yang GuardDuty diaktifkan untuk AWS akun ini.

Saat Anda mengaktifkan GuardDuty dalam yang baru, Wilayah AWS mungkin diperlukan waktu hingga 20 menit untuk menyinkronkan.

UNSUPPORTED_KEY_ENCRYPTION

GuardDuty Perlindungan Malware untuk EC2 mendukung volume yang tidak terenkripsi dan dienkripsi dengan kunci yang dikelola pelanggan. Itu tidak mendukung pemindaian volume EBS yang dienkripsi menggunakan enkripsi Amazon EBS.

Saat ini, ada perbedaan regional di mana alasan lompatan ini tidak berlaku. Untuk informasi lebih lanjut tentang ini Wilayah AWS, lihatKetersediaan fitur khusus wilayah.

Ganti kunci enkripsi Anda dengan kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang jenis enkripsi yang GuardDuty mendukung, lihatVolume Amazon EBS yang didukung untuk pemindaian malware.

EXCLUDED_BY_SCAN_SETTINGS

Instans EC2 atau volume EBS dikecualikan selama pemindaian malware. Ada dua kemungkinan - baik tag ditambahkan ke daftar inklusi tetapi sumber daya tidak terkait dengan tag ini, tag ditambahkan ke daftar pengecualian dan sumber daya dikaitkan dengan tag ini, atau GuardDutyExcluded tag diatur true untuk sumber daya ini.

Perbarui opsi pemindaian atau tag yang terkait dengan sumber daya Amazon EC2 Anda. Untuk informasi selengkapnya, lihat Opsi pindai dengan tag yang ditentukan pengguna.

UNSUPPORTED_VOLUME_SIZE

Volumenya lebih besar dari 2048 GB.

Tidak bisa ditindaklanjuti.

NO_VOLUMES_ATTACHED

GuardDuty Perlindungan Malware untuk EC2 menemukan instans di akun Anda tetapi tidak ada volume EBS yang dilampirkan ke instance ini untuk melanjutkan pemindaian.

Tidak bisa ditindaklanjuti.

UNABLE_TO_SCAN

Ini adalah kesalahan layanan internal.

Tidak bisa ditindaklanjuti.

SNAPSHOT_NOT_FOUND

Snapshot yang dibuat dari volume EBS dan dibagikan dengan akun layanan tidak ditemukan, dan Perlindungan GuardDuty Malware untuk EC2 tidak dapat melanjutkan pemindaian.

Periksa CloudTrail untuk memastikan bahwa snapshot tidak dihapus dengan sengaja.

SNAPSHOT_QUOTA_REACHED

Anda telah mencapai volume maksimum yang diizinkan untuk snapshot untuk setiap Wilayah. Ini mencegah tidak hanya mempertahankan tetapi juga membuat snapshot baru.

Anda dapat menghapus snapshot lama atau meminta peningkatan kuota. Anda dapat melihat batas default untuk Snapshot per Wilayah dan cara meminta peningkatan kuota di bawah Kuota layanan di Panduan Referensi AWS Umum.

MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED

Lebih dari 11 volume EBS dilampirkan ke instans EC2. GuardDuty Perlindungan Malware untuk EC2 memindai 11 volume EBS pertama, diperoleh dengan menyortir menurut abjad. deviceName

Tidak bisa ditindaklanjuti.

UNSUPPORTED_PRODUCT_CODE_TYPE

GuardDuty tidak mendukung pemindaian instance dengan productCode asmarketplace. Untuk informasi selengkapnya, lihat AMI Berbayar di Panduan Pengguna Amazon EC2.

Untuk informasi tentangproductCode, lihat ProductCodedi Referensi API Amazon EC2.

Tidak bisa ditindaklanjuti.