本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
瞭解 EC2 掃描的惡意程式碼保護期間, CloudWatch 記錄檔和跳過資源的原因
GuardDuty 適用於 EC2 的惡意程式碼保護會將事件發佈到您的 Amazon CloudWatch 日誌群組 /aws/guardduty/ malware-scan-events。對於與惡意軟體掃描相關的每個事件,您可以監控受影響資源的狀態和掃描結果。在適用於 EC2 掃描的惡意程式碼保護期間,某些 Amazon EC2 資源和 Amazon EBS 磁碟區可能已被略過。
CloudWatch 稽核 EC2 GuardDuty 惡意程式碼保護中的日誌
/aws/guardduty/ malware-scan-events CloudWatch 記錄群組支援三種類型的掃描事件。
EC2 掃描事件名稱的惡意軟體防護 | 說明 |
---|---|
|
在 EC2 的 GuardDuty 惡意軟體保護啟動惡意程式碼掃描程序時建立,例如準備擷取 EBS 磁碟區的快照。 |
|
在 EC2 的 GuardDuty 惡意軟體防護掃描完成受影響資源的至少一個 EBS 磁碟區時建立。此事件也包括屬於已掃描 EBS 磁碟區的 |
|
當適用於 EC2 掃描的 GuardDuty 惡意軟體保護略過受影響資源的所有 EBS 磁碟區時建立。若要識別略過原因,請選取對應的事件,然後檢視詳細資訊。如需有關略過原因的詳細資訊,請參閱以下惡意軟體掃描期間略過資源的原因。 |
注意
如果您使用的是 AWS Organizations,組 Organizations 中成員帳戶的 CloudWatch 記錄事件會同時發佈到系統管理員帳戶和成員帳戶的記錄群組。
選擇您偏好的存取方式來檢視和查詢 CloudWatch 事件。
GuardDuty EC2 日誌保留的惡意軟體防護
/aws/guardduty/ 記錄群組的預設malware-scan-events記錄保留期間為 90 天,之後會自動刪除記錄事件。若要變更日誌群組的日 CloudWatch 誌保留政策,請參閱 Amazon CloudWatch 使用者指南或 Amazon CloudWatch API 參考PutRetentionPolicy中的變更 CloudWatch 日誌資料保留。
惡意軟體掃描期間略過資源的原因
在與惡意軟體掃描相關的事件中,掃描程序期間可能略過某些 EC2 資源和 EBS 磁碟區。下表列出 EC2 的 GuardDuty 惡意軟體防護可能無法掃描資源的原因。如果適用,請使用建議的步驟解決這些問題,並在下次 EC2 的惡意軟體保護啟動 GuardDuty 惡意軟體掃描時掃描這些資源。其他問題用於通知您有關事件的進展情況,並且不可採取動作。
略過的原因 | 說明 | 建議步驟 |
---|---|---|
|
在您的 AWS 環境中找不到 |
驗證 Amazon EC2 執行個體或容器工作負載的 |
|
您嘗試啟動指定惡意程式碼掃描的 AWS 帳戶 ID 尚未啟用 GuardDuty。 |
確認已 GuardDuty 為此 AWS 帳戶啟用。 當您以新的方 GuardDuty 式啟用時 AWS 區域 ,最多可能需要 20 分鐘才能同步處理。 |
|
GuardDuty EC2 的惡意程式碼保護支援使用客戶受管金鑰進行未加密和加密的磁碟區。其不支援掃描使用 Amazon EBS 加密進行加密的 EBS 磁碟區。 目前,這種跳過原因不適用於區域存在差異。如需這些項目的詳細資訊 AWS 區域,請參閱區域特定功能的可用性。 |
使用客戶自管金鑰取代您的加密金鑰。如需 GuardDuty 支援之加密類型的詳細資訊,請參閱支援用於惡意軟體掃描的 Amazon EBS 磁碟區。 |
|
在惡意軟體掃描期間,EC2 執行個體或 EBS 磁碟區已排除。有兩種可能性:標籤已新增至包含清單,但資源未與此標籤相關聯;標籤已新增至排除清單,且資源與此標籤相關聯;或 |
更新掃描選項或與 Amazon EC2 資源相關聯的標籤。如需詳細資訊,請參閱 具有使用者定義標籤的掃描選項。 |
|
該磁碟區大於 2048 GB。 |
不可行。 |
|
GuardDuty EC2 的惡意軟體保護在您的帳戶中找到執行個體,但此執行個體沒有附加 EBS 磁碟區以繼續進行掃描。 |
不可行。 |
|
這是內部服務錯誤。 |
不可行。 |
|
找不到從 EBS 磁碟區建立並與服務帳戶共用的快照,並且 EC2 的 GuardDuty 惡意軟體保護無法繼續掃描。 |
檢查 CloudTrail 以確保快照未被刻意移除。 |
|
您已達到每個區域允許的最大快照量。這不僅會阻止保留,還會阻止建立新快照。 |
您可以移除舊快照或請求提高配額。您可以在《AWS 一般參考指南》中的 Service Quotas 下檢視每個區域快照的預設限制,以及如何請求提高配額。 |
|
超過 11 個 EBS 磁碟區已連接至 EC2 執行個體。 GuardDuty EC2 的惡意軟體保護掃描了前 11 個 EBS 磁碟區,這些磁碟區是透過 |
不可行。 |
|
GuardDuty 不支援使用 as 掃描執行個 如需有關 |
不可行。 |