瞭解 EC2 掃描的惡意程式碼保護期間， CloudWatch 記錄檔和跳過資源的原因

GuardDuty 適用於 EC2 的惡意程式碼保護會將事件發佈到您的 Amazon CloudWatch 日誌群組 /aws/guardduty/ malware-scan-events。對於與惡意軟體掃描相關的每個事件，您可以監控受影響資源的狀態和掃描結果。在適用於 EC2 掃描的惡意程式碼保護期間，某些 Amazon EC2 資源和 Amazon EBS 磁碟區可能已被略過。

CloudWatch 稽核 EC2 GuardDuty 惡意程式碼保護中的日誌

/aws/guardduty/ malware-scan-events CloudWatch 記錄群組支援三種類型的掃描事件。

EC2 掃描事件名稱的惡意軟體防護	說明
EC2_SCAN_STARTED	在 EC2 的 GuardDuty 惡意軟體保護啟動惡意程式碼掃描程序時建立，例如準備擷取 EBS 磁碟區的快照。
EC2_SCAN_COMPLETED	在 EC2 的 GuardDuty 惡意軟體防護掃描完成受影響資源的至少一個 EBS 磁碟區時建立。此事件也包括屬於已掃描 EBS 磁碟區的 snapshotId。掃描完成後，掃描結果將為 CLEAN、THREATS_FOUND 或 NOT_SCANNED。
EC2_SCAN_SKIPPED	當適用於 EC2 掃描的 GuardDuty 惡意軟體保護略過受影響資源的所有 EBS 磁碟區時建立。若要識別略過原因，請選取對應的事件，然後檢視詳細資訊。如需有關略過原因的詳細資訊，請參閱以下惡意軟體掃描期間略過資源的原因。

注意

如果您使用的是 AWS Organizations，組 Organizations 中成員帳戶的 CloudWatch 記錄事件會同時發佈到系統管理員帳戶和成員帳戶的記錄群組。

選擇您偏好的存取方式來檢視和查詢 CloudWatch 事件。

Console

1. 請登入 AWS Management Console 並開啟 CloudWatch 主控台，網址為 https://console.aws.amazon.com/cloudwatch/。

2. 在導覽窗格中，選擇日誌下方的日誌群組。選擇 /aws/guardduty/ malware-scan-events 記錄群組，以檢視適用於 EC2 的惡意程式碼防護的掃描事件。 GuardDuty

   若要執行查詢，請選擇 Log Insights。

   如需執行查詢的相關資訊，請參閱 Amazon CloudWatch 使用者指南中的使用 CloudWatch 日誌洞察分析日誌資料。

3. 選擇掃描 ID 以監控受影響資源和惡意軟體調查結果的詳細資訊。例如，您可以使用執行下列查詢來篩選 CloudWatch 記錄事件scanId。請務必使用您自己的有效 scan-id。

   fields @timestamp, @message, scanRequestDetails.scanId as scanId
   | filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
   | sort @timestamp asc

API/CLI

• 若要使用日誌群組，請參閱 Amazon 使用 CloudWatch 者指南 AWS CLI中的使用搜尋日誌項目。

  選擇 /aws/guardduty/ malware-scan-events 記錄群組，以檢視適用於 EC2 的惡意程式碼防護的掃描事件。 GuardDuty

• 若要檢視和篩選日誌事件 GetLogEventsFilterLogEvents，請分別參閱 Amazon CloudWatch API 參考中的和。

GuardDuty EC2 日誌保留的惡意軟體防護

/aws/guardduty/ 記錄群組的預設malware-scan-events記錄保留期間為 90 天，之後會自動刪除記錄事件。若要變更日誌群組的日 CloudWatch 誌保留政策，請參閱 Amazon CloudWatch 使用者指南或 Amazon CloudWatch API 參考PutRetentionPolicy中的變更 CloudWatch 日誌資料保留。

惡意軟體掃描期間略過資源的原因

在與惡意軟體掃描相關的事件中，掃描程序期間可能略過某些 EC2 資源和 EBS 磁碟區。下表列出 EC2 的 GuardDuty 惡意軟體防護可能無法掃描資源的原因。如果適用，請使用建議的步驟解決這些問題，並在下次 EC2 的惡意軟體保護啟動 GuardDuty 惡意軟體掃描時掃描這些資源。其他問題用於通知您有關事件的進展情況，並且不可採取動作。

略過的原因	說明	建議步驟
RESOURCE_NOT_FOUND	在您的 AWS 環境中找不到resourceArn提供給啟動隨選惡意軟體掃描的。	驗證 Amazon EC2 執行個體或容器工作負載的 resourceArn，然後再試一次。
ACCOUNT_INELIGIBLE	您嘗試啟動指定惡意程式碼掃描的 AWS 帳戶 ID 尚未啟用 GuardDuty。	確認已 GuardDuty 為此 AWS 帳戶啟用。 當您以新的方 GuardDuty 式啟用時 AWS 區域 ，最多可能需要 20 分鐘才能同步處理。
UNSUPPORTED_KEY_ENCRYPTION	GuardDuty EC2 的惡意程式碼保護支援使用客戶受管金鑰進行未加密和加密的磁碟區。其不支援掃描使用 Amazon EBS 加密進行加密的 EBS 磁碟區。 目前，這種跳過原因不適用於區域存在差異。如需這些項目的詳細資訊 AWS 區域，請參閱區域特定功能的可用性。	使用客戶自管金鑰取代您的加密金鑰。如需 GuardDuty 支援之加密類型的詳細資訊，請參閱支援用於惡意軟體掃描的 Amazon EBS 磁碟區。
EXCLUDED_BY_SCAN_SETTINGS	在惡意軟體掃描期間，EC2 執行個體或 EBS 磁碟區已排除。有兩種可能性：標籤已新增至包含清單，但資源未與此標籤相關聯；標籤已新增至排除清單，且資源與此標籤相關聯；或 GuardDutyExcluded 標籤針對此資源設定為 true。	更新掃描選項或與 Amazon EC2 資源相關聯的標籤。如需詳細資訊，請參閱 具有使用者定義標籤的掃描選項。
UNSUPPORTED_VOLUME_SIZE	該磁碟區大於 2048 GB。	不可行。
NO_VOLUMES_ATTACHED	GuardDuty EC2 的惡意軟體保護在您的帳戶中找到執行個體，但此執行個體沒有附加 EBS 磁碟區以繼續進行掃描。	不可行。
UNABLE_TO_SCAN	這是內部服務錯誤。	不可行。
SNAPSHOT_NOT_FOUND	找不到從 EBS 磁碟區建立並與服務帳戶共用的快照，並且 EC2 的 GuardDuty 惡意軟體保護無法繼續掃描。	檢查 CloudTrail 以確保快照未被刻意移除。
SNAPSHOT_QUOTA_REACHED	您已達到每個區域允許的最大快照量。這不僅會阻止保留，還會阻止建立新快照。	您可以移除舊快照或請求提高配額。您可以在《AWS 一般參考指南》中的 Service Quotas 下檢視每個區域快照的預設限制，以及如何請求提高配額。
MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED	超過 11 個 EBS 磁碟區已連接至 EC2 執行個體。 GuardDuty EC2 的惡意軟體保護掃描了前 11 個 EBS 磁碟區，這些磁碟區是透過deviceName按字母順序排序取得的。	不可行。
UNSUPPORTED_PRODUCT_CODE_TYPE	GuardDuty 不支援使用 as 掃描執行個productCode體marketplace。如需詳細資訊，請參閱 Amazon EC2 使用者指南中的付費 AMI。 如需有關 productCode 的資訊，請參閱《Amazon EC2 API 參考》中的 ProductCode。	不可行。