本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
了解在恶意软件防护期间跳过资源进行扫描的 CloudWatch EC2日志和原因
GuardDuty 恶意软件防护用于将事件EC2发布到您的亚马逊 CloudWatch 日志组/aws/guardduty/malware-scan-even ts。对于与恶意软件扫描相关的每个事件,您可以监控受影响资源的状态和扫描结果。在恶意软件防护期间,某些亚马逊EC2资源和亚马逊EBS卷可能已被跳过进行EC2扫描。
在 GuardDuty 恶意软件防护中审核 CloudWatch 日志 EC2
/aws/guardduty/malware-scan-events 日志组支持三种类型的扫描事件 CloudWatch 。
EC2扫描事件名称的恶意软件防护 | 说明 |
---|---|
|
在针对EC2的 GuardDuty 恶意软件防护启动恶意软件扫描过程(例如准备拍摄EBS卷快照)时创建。 |
|
在针对受影响资源的至少一个EBS卷的 GuardDuty 恶意软件防护EC2扫描完成时创建。此事件还包括 |
|
当用于EC2扫描的 GuardDuty 恶意软件防护会跳过受影响资源的所有EBS卷时创建。要确定跳过的原因,请选择相应的事件并查看详细信息。有关跳过原因的更多信息,请参见下文的 恶意软件扫描期间跳过资源的原因。 |
注意
如果您使用的是 AWS Organizations,Organizations 中成员账户中的 CloudWatch 日志事件会同时发布到管理员账户和成员账户的日志组。
选择您首选的访问方式来查看和查询 CloudWatch 事件。
GuardDuty 用于EC2日志保留的恶意软件防护
/aws/guardduty/malware-scan- events 日志组的默认日志保留期为 90 天,之后日志事件将自动删除。要更改日志组的日志保留策略,请参阅 Amazon CloudWatch 用户指南中的 “ CloudWatch 日志” 中的更改日志数据保留期,或者 CloudWatch PutRetentionPolicy在 Amazon CloudWatch API 参考中。
恶意软件扫描期间跳过资源的原因
在与恶意软件扫描相关的事件中,某些EC2资源和EBS卷可能在扫描过程中被跳过。下表列出了 GuardDuty 恶意软件防护EC2可能无法扫描资源的原因。如果适用,请使用建议的步骤来解决这些问题,并在下次 GuardDuty 恶意软件防护EC2启动恶意软件扫描时扫描这些资源。其他问题用于告知您事件的过程,且不可采取行动。
跳过的原因 | 说明 | 建议的步骤 |
---|---|---|
|
在 |
验证您 |
|
您尝试启动按需恶意软件扫描的 AWS 账户 ID 尚未启用 GuardDuty。 |
确认 GuardDuty 该 AWS 账户已启用。 在新版本 GuardDuty 中启用后 AWS 区域 ,最多可能需要 20 分钟才能同步。 |
|
GuardDuty 恶意软件防护EC2支持未加密和使用客户托管密钥加密的卷。它不支持扫描使用 Amazon EBS 加密加密的EBS卷。 目前,在不适用此跳过理由的情况下,存在地区差异。有关这些内容的更多信息 AWS 区域,请参阅特定于区域的功能可用性。 |
将您的加密密钥替换为客户托管式密钥。有关 GuardDuty 支持的加密类型的更多信息,请参阅支持用于恶意软件扫描的 Amazon EBS 卷。 |
|
在恶意软件扫描期间,该EC2实例或EBS卷被排除在外。有两种可能性:要么将标签添加到包含列表中但资源未与此标签关联,要么将标签添加到排除列表并且资源与此标签相关联,要么此资源的 |
更新您的扫描选项或与您的 Amazon EC2 资源关联的标签。有关更多信息,请参阅 使用用户定义的标签扫描选项。 |
|
容量大于 2048 GB。 |
不可操作。 |
|
GuardDuty 的恶意软件防护在您的账户中EC2找到了该实例,但该实例没有附加任何EBS卷来继续扫描。 |
不可操作。 |
|
这是内部服务错误。 |
不可操作。 |
|
未找到从EBS卷创建并与服务帐户共享的快照,并且 GuardDuty 恶意软件防护EC2无法继续扫描。 |
CloudTrail 请检查并确保快照不是故意删除的。 |
|
您已达到每个区域允许的最大快照容量。这不仅可以防止保留快照,还可以防止创建新快照。 |
您可以移除旧快照或请求增加配额。您可以在《AWS 一般参考指南》的服务限额下查看每个区域快照的默认限制以及如何申请增加配额。 |
|
已将超过 11 个EBS卷附加到一个EC2实例。 GuardDuty 恶意软件防护EC2扫描了前 11 EBS 卷,这些卷是通过 |
不可操作。 |
|
GuardDuty 不支持使用 as 扫描实 有关信息 |
不可操作。 |