本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 工作原理
<a name="how-does-runtime-monitoring-work"></a>

要使用运行时监控，必须启用运行时监控，然后管理 GuardDuty 安全代理。以下列表说明了这一两步过程：

1. 为您的账户@@ **启用运行时监控**，这样它 GuardDuty 就可以接受从您的 Amazon EC2 实例、Amazon ECS 集群和 Amazon EKS 工作负载接收的运行时事件。

1. **管理要监控其运行时行为的各个资源的 GuardDuty 代理**。根据资源类型，您可以选择：
   + 使用自动代理配置，其中 GuardDuty 管理代理部署，并自动使用亚马逊虚拟私有云 (Amazon VPC) 终端节点。
   + 要手动安装代理，先决条件之一是创建 VPC 端点。

   安全代理使用 VPC 终端节点向传送事件 GuardDuty，确保数据保留在 Amazon 网络中。这种方法增强了安全性， GuardDuty 允许监控和分析您的资源（Amazon EKS、Amazon EC2 和 Amazon Fargate-Amazon ECS）的运行时行为。 GuardDuty 使用[实例身份角色](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#ec2-instance-identity-roles)对每种资源类型的安全代理进行身份验证，将关联的运行时事件发送到 VPC 终端节点。

**注意**  
GuardDuty 不会让你访问运行时事件。

如果您在 EKS 运行时监控或 EC2 实例的运行时监控中管理安全代理（手动或通过 GuardDuty），并且GuardDuty 目前部署在 Amazon EC2 实例上并[收集的运行时事件类型](runtime-monitoring-collected-events.md)从该实例接收安全代理， GuardDuty 则不会向您 Amazon Web Services 账户 收取分析来自此 Amazon EC2 实例的 VPC 流日志的费用。这有助于 GuardDuty 避免账户中的双重使用成本。

以下主题说明了为每种资源类型启用运行时监控和管理 GuardDuty 安全代理的工作方式有何不同。

**Topics**
+ [运行时监控如何与 Amazon EKS 集群结合使用](how-runtime-monitoring-works-eks.md)
+ [运行时监控如何与 Amazon EC2 实例结合使用](how-runtime-monitoring-works-ec2.md)
+ [运行时监控如何与 Fargate（仅限 Amazon ECS）结合使用](how-runtime-monitoring-works-ecs-fargate.md)
+ [启用运行时监控之后](runtime-monitoring-after-configuration.md)