Comprensione CloudWatch dei log e dei motivi per cui le risorse vengono ignorate durante la scansione Malware Protection for EC2

GuardDuty Malware Protection for EC2 pubblica gli eventi nel CloudWatch tuo gruppo di log Amazon /aws/guardduty/. malware-scan-events Puoi monitorare lo stato e il risultato della scansione delle risorse interessate per ciascuno degli eventi relativi alla scansione malware. Alcune risorse Amazon EC2 e volumi Amazon EBS potrebbero essere stati ignorati durante la scansione Malware Protection for EC2.

Controllo dei CloudWatch log in Malware Protection for EC2 GuardDuty

Esistono tre tipi di eventi di scansione supportati nel gruppo di log malware-scan-events CloudWatch /aws/guardduty/.

Nome dell'evento di scansione Malware Protection for EC2	Spiegazione
EC2_SCAN_STARTED	Creato quando un GuardDuty Malware Protection for EC2 avvia il processo di scansione antimalware, ad esempio quando si prepara a scattare un'istantanea di un volume EBS.
EC2_SCAN_COMPLETED	Creato al termine della scansione di GuardDuty Malware Protection for EC2 per almeno uno dei volumi EBS della risorsa interessata. Questo evento include anche lo snapshotId appartenente al volume EBS scansionato. Al termine della scansione, il risultato sarà CLEAN, THREATS_FOUND o NOT_SCANNED.
EC2_SCAN_SKIPPED	Creato quando la scansione di GuardDuty Malware Protection for EC2 ignora tutti i volumi EBS della risorsa interessata. Per identificare il motivo per cui vengono ignorati, seleziona l'evento corrispondente e visualizza i dettagli. Per ulteriori informazioni sui motivi per cui le risorse vengono ignorate, consulta Motivi per cui una risorsa viene ignorata durante la scansione malware di seguito.

Nota

Se utilizzi un AWS Organizations, gli eventi di CloudWatch registro degli account dei membri in Organizations vengono pubblicati sia nell'account amministratore che nel gruppo di registro dell'account membro.

Scegli il metodo di accesso preferito per visualizzare e interrogare CloudWatch gli eventi.

Console

1. Accedi AWS Management Console e apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

2. Nel riquadro di navigazione, in Log, scegli Gruppi di log. Scegli il gruppo di malware-scan-events log /aws/guardduty/ per visualizzare gli eventi di scansione per Malware Protection for EC2. GuardDuty

   Per eseguire una query, scegli Log Insights.

   Per informazioni sull'esecuzione di una query, consulta Analyzing log data with CloudWatch Logs Insights nella Amazon CloudWatch User Guide.

3. Scegli ID scansione per monitorare i dettagli della risorsa interessata e gli esiti relativi al malware. Ad esempio, puoi eseguire la seguente query per filtrare gli eventi di CloudWatch registro utilizzando. scanId Assicurati di utilizzare il tuo scan-id valido.

   fields @timestamp, @message, scanRequestDetails.scanId as scanId
   | filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
   | sort @timestamp asc

API/CLI

• Per lavorare con i gruppi di log, consulta la sezione Ricerca AWS CLI nelle voci di log utilizzando l'Amazon CloudWatch User Guide.

  Scegli il gruppo di malware-scan-events log /aws/guardduty/ per visualizzare gli eventi di scansione per Malware Protection for EC2. GuardDuty

• Per visualizzare e filtrare gli eventi di log, consulta GetLogEventse FilterLogEvents, rispettivamente, nell'Amazon CloudWatch API Reference.

GuardDuty Protezione da malware per la conservazione dei log EC2

Il periodo di conservazione dei log predefinito per il gruppo /aws/guardduty/ è di 90 giorni, dopodiché gli eventi di malware-scan-events registro vengono eliminati automaticamente. Per modificare la politica di conservazione dei log per il tuo gruppo di CloudWatch log, consulta Change log data retention in CloudWatch Logs nella Amazon CloudWatch User Guide o PutRetentionPolicynell'Amazon CloudWatch API Reference.

Motivi per cui una risorsa viene ignorata durante la scansione malware

Negli eventi relativi alla scansione malware, alcune risorse EC2 e alcuni volumi EBS potrebbero essere stati ignorati durante il processo di scansione. La tabella seguente elenca i motivi per cui GuardDuty Malware Protection for EC2 potrebbe non scansionare le risorse. Se applicabile, utilizza i passaggi proposti per risolvere questi problemi ed esegui la scansione di queste risorse la prossima volta che GuardDuty Malware Protection for EC2 avvia una scansione antimalware. Gli altri problemi vengono utilizzati per informarti sul corso degli eventi e non possono essere risolti.

Motivi per cui una risorsa potrebbe essere ignorata	Spiegazione	Fasi proposte
RESOURCE_NOT_FOUND	La scansione antimalware resourceArn fornita per avviare la scansione antimalware su richiesta non è stata trovata nel tuo ambiente. AWS	Convalida il resourceArn dell'istanza Amazon EC2 o del carico di lavoro di un container e riprova.
ACCOUNT_INELIGIBLE	L'ID AWS dell'account da cui hai provato ad avviare una scansione antimalware su richiesta non è abilitato. GuardDuty	Verifica che GuardDuty sia abilitato per questo AWS account. Quando ne GuardDuty abiliti uno nuovo Regione AWS , la sincronizzazione potrebbe richiedere fino a 20 minuti.
UNSUPPORTED_KEY_ENCRYPTION	GuardDuty Malware Protection for EC2 supporta volumi non crittografati e crittografati con chiave gestita dal cliente. Non supporta la scansione di volumi EBS crittografati utilizzando la Crittografia di Amazon EBS. Attualmente, esiste una differenza regionale per cui questo motivo di salto non è applicabile. Per ulteriori informazioni su questi aspetti Regioni AWS, vedere. Disponibilità di funzionalità specifiche per ogni regione	Sostituisci la chiave di crittografia con una chiave gestita dal cliente. Per ulteriori informazioni sui tipi di crittografia GuardDuty supportati, vedereVolumi Amazon EBS supportati per la scansione di malware.
EXCLUDED_BY_SCAN_SETTINGS	L'istanza EC2 o il volume EBS sono stati esclusi durante la scansione malware. Esistono due motivazioni possibili: il tag è stato aggiunto all'elenco di inclusione, ma la risorsa non è associata a questo tag, il tag è stato aggiunto all'elenco di esclusione e la risorsa è associata a questo tag oppure il tag GuardDutyExcluded è impostato su true per questa risorsa.	Aggiorna le opzioni di scansione o i tag associati alla tua risorsa Amazon EC2. Per ulteriori informazioni, consulta Opzioni di scansione con tag definiti dall'utente.
UNSUPPORTED_VOLUME_SIZE	Il volume è superiore a 2048 GB.	Non utilizzabile.
NO_VOLUMES_ATTACHED	GuardDuty Malware Protection for EC2 ha rilevato l'istanza nel tuo account, ma nessun volume EBS è stato collegato a questa istanza per procedere con la scansione.	Non utilizzabile.
UNABLE_TO_SCAN	Si tratta di un errore interno del servizio.	Non utilizzabile.
SNAPSHOT_NOT_FOUND	Le istantanee create dai volumi EBS e condivise con l'account del servizio non sono state trovate e GuardDuty Malware Protection for EC2 non è riuscito a procedere con la scansione.	Verifica che CloudTrail le istantanee non siano state rimosse intenzionalmente.
SNAPSHOT_QUOTA_REACHED	Hai raggiunto il volume massimo consentito per gli snapshot per ogni regione. Per questo motivo non è possibile né conservare né creare nuovi snapshot.	Puoi rimuovere gli snapshot meno recenti o richiedere un aumento della quota. Puoi visualizzare il limite predefinito per gli snapshot per ogni regione e scoprire come richiedere l'aumento della quota in Service Quotas nella Guida di riferimento generale di AWS .
MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED	Più di 11 volumi EBS sono stati collegati a un'istanza EC2. GuardDuty Malware Protection for EC2 ha analizzato i primi 11 volumi EBS, ottenuti ordinandoli alfabeticamente. deviceName	Non utilizzabile.
UNSUPPORTED_PRODUCT_CODE_TYPE	GuardDuty non supporta la scansione delle istanze con as. productCode marketplace Per ulteriori informazioni, consulta AMI a pagamento nella Guida per l'utente di Amazon EC2. Per informazioni su productCode, consulta ProductCode, nella Documentazione di riferimento delle API di Amazon EC2.	Non utilizzabile.