常见问题 (FAQs)

如何验证VPC端点配置是否正确？

使用以下步骤验证VPC所有者账户中是否正确设置了资源类型的VPC端点配置：

1. 登录 AWS Management Console 然后打开亚马逊VPC控制台，网址为https://console.aws.amazon.com/vpc/。

2. 在导航窗格中的虚拟私有云下，选择端点。

3. 在终端节点表中，选择服务名称与 com.amazonaws 相似的行。us-east-1.guardduty -data。您的终端节点的区域 (us-east-1) 可能有所不同。

4. 将出现一个包含端点详细信息的面板。在 “安全组” 选项卡下，选择关联的组 ID 链接以获取更多详细信息。

5. 在 “安全组” 表中，选择具有关联安全组 ID 的行以查看详细信息。

6. 在 “入站规则” 选项卡下，确保存在端口范围为 443、源为 0.0.0.0/0 的入口策略。入站规则控制允许到达实例的传入流量。下图显示了与安全代理VPC使用的安全组关联 GuardDuty 的安全组的入站规则。

   

   如果您还没有启用入站端口 443 的安全组，请在 A mazon EC2 用户指南中创建安全组。

   如果在限制您的VPC（或集群）的入站权限时出现问题，请为来自任何 IP 地址 (0.0.0.0/0) 的入站 443 端口提供支持。

为什么我的资源处于保险状态Unhealthy？

如果您刚刚部署了 GuardDuty 安全客户端（通过自动代理配置或手动配置），或者按照建议的步骤对覆盖范围问题进行故障排除，则覆盖状态可能需要几分钟才能恢复正常。您可以定期检查保险状态，也可以将 Amazon EventBridge (EventBridge) 配置为在保险状态发生变化时收到通知。

此外，您还可以验证资源的终VPC端节点配置是否正确。有关更多信息，请参阅 如何验证VPC端点配置是否正确？。

谁可以查看属于我的资源的运行时覆盖状态 AWS 账户?

作为成员账户或独立账户，您可以查看与自己的账户关联的资源的覆盖率统计信息。作为组织的委托 GuardDuty 管理员账户，您可以查看与您的账户关联的资源以及属于您的组织的成员账户的覆盖率统计信息。

如何验证 GuardDuty 安全代理是否在 Fargate 任务上运行？

GuardDuty 安全代理作为 Fargate 任务的边车容器运行。

选择一种首选方法来验证任务运行时是否显示了 sidecar 容器。

Amazon ECS console

1. 在 https://console.aws.amazon.com/ecs/v2 中打开控制台。

2. 在导航窗格中，选择集群。

3. 在集群页面上，选择关联的集群名称以获取更多详细信息。

4. 选择 Tasks 选项卡。

5. 选择关联的任务链接以查看任务详细信息。

6. 在任务详细信息页面上，容器表包含边车详细信息。容器运行时 ID 将以您的任务 ID 为前缀。

CLI

运行describe-tasks并查找名称设置为、设置为aws-gd-agent的lastStatus容器RUNNING。

以下示例显示了任务的默认集群的输出 aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE

输出

名为的容器aws-gd-agent处于RUNNING状态。

"containers": [ 
      {
        "containerArn": "arn:aws:ecs:us-east-1:123456789012:container/4df26bb4-f057-467b-a079-96167EXAMPLE", 
        "taskArn": "arn:aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE", 
        "lastStatus": "RUNNING",
        "healthStatus": "UNKNOWN",
        "memory": "1 GB",
        "name": "aws-gd-agent" 
      }
    ]

有关更多信息，请参阅描述任务。

更多疑难解答问题

有关您的 Fargate 任务的更多疑难解答问题，请参阅《亚马逊弹性容器服务开发者FAQs指南》中的运行时监控疑难解答。