了解恶意软件防护扫描期间跳过资源 CloudWatch 的日志和原因 - 亚马逊 GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解恶意软件防护扫描期间跳过资源 CloudWatch 的日志和原因

GuardDuty 恶意软件保护将事件发布到您的亚马逊 CloudWatch 日志组 /aws/guardduty/malware-scan-events。对于与恶意软件扫描相关的每个事件,您可以监控受影响资源的状态和扫描结果。在恶意软件保护扫描期间,可能跳过了某些 Amazon EC2 资源和 Amazon EBS 卷。

GuardDuty 恶意软件保护中的审计 CloudWatch 日志

/aws/guardduty/malware-scan-events CloudWatch 日志组支持三种类型的扫描事件。

恶意软件防护扫描事件名称 说明

EC2_SCAN_STARTED

在 GuardDuty 恶意软件保护启动恶意软件扫描过程(例如准备拍摄 EBS 卷的快照)时创建。

EC2_SCAN_COMPLETED

在对受影响资源的至少一个 EBS 卷完成 GuardDuty 恶意软件保护扫描时创建。扫描完成后,扫描结果将为CleanInfected

EC2_SCAN_SKIPPED

在 GuardDuty 恶意软件保护扫描跳过受影响资源的所有 EBS 卷时创建。要确定跳过原因,请选择相应的事件并查看详细信息。有关跳过原因的更多信息,请参见恶意软件扫描期间跳过资源的原因下文。

注意

如果您使用的是Amazon Organizations,则来自Organizations 中成员账户 CloudWatch 的日志事件将同时发布到管理员和成员账户的日志组。

Console
  1. 登录 https://console.aws.amazon.com/cloudwatch/ 控制台。

  2. 在导航窗格的 “日志” 下,选择 “日志组”。选择 /aws/guardduty/malware-scan-events 日志组查看 GuardDuty 恶意软件防护的扫描事件。

    要运行查询,请选择 Log Insights

    有关如何运行查询的信息,请参阅亚马逊 CloudWatch 用户指南中的使用 Logs Insights 分析 CloudWatch 日志数据

  3. 选择 Scan ID 可监控受影响资源和恶意软件发现的详细信息。例如,您可以运行以下查询来使用筛选 CloudWatch 日志事件scanId。确保使用您自己的有效扫描 ID

    fields @timestamp, @message, scanRequestDetails.scanId as scanId | filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0" | sort @timestamp asc
API
  • 要使用日志组,请参阅亚马逊 CloudWatch 用户指南Amazon CLI中的使用搜索日志条目

    选择 /aws/guardduty/malware-scan-events 日志组查看 GuardDuty 恶意软件防护的扫描事件。

  • 要查看和筛选日志事件,请分别参阅 GetLogEventsAmazon CloudWatch API 参考中的和。FilterLogEvents

GuardDuty 恶意软件防护日志保留

/aws/guardduty/malware-scan-events 日志组的默认日志保留期为 90 天,之后将自动删除日志事件。要更改您的日志组的日 CloudWatch 志保留策略,请参阅更改日志中的 CloudWatch 日志数据保留期PutRetentionPolicy

恶意软件扫描期间跳过资源的原因

在与恶意软件扫描相关的事件中,某些 EC2 资源和 EBS 卷可能在扫描过程中被跳过。下表列出了 GuardDuty 恶意软件防护可能无法扫描资源的原因。如果适用,请使用建议的步骤来解决这些问题,并在下次 GuardDuty 恶意软件保护启动恶意软件扫描时扫描这些资源。其他问题用于告知您事件的进展情况,因此不可采取行动。

跳断中断断中断中断 说明 拟议的步骤

UNSUPPORTED_KEY_ENCRYPTION

GuardDuty 恶意软件保护支持未加密和使用客户管理的密钥加密的卷。它不支持扫描使用 Amazon EBS 加密加密的 EBS 卷。

将您的加密密钥替换为客户托托托托管密钥。有关 GuardDuty 支持的加密类型的更多信息,请参阅恶意软件防护中支持的卷数

EXCLUDED_BY_SCAN_SETTINGS

在恶意软件扫描期间,EC2 实例或 EBS 卷被排除在外。有两种可能性:要么标签已添加到包含列表但资源与该标签无关;标签已添加到排除列表并且资源与此标签相关联;要true么将此资源的GuardDutyExcluded标签设置为。

更新您的扫描选项或与 Amazon EC2 资源关联的标签。有关更多信息,请参阅扫描选项

UNSUPPORTED_VOLUME_SIZE

该容量大于 1024 GB。

不可操作。

NO_VOLUMES_ATTACHED

GuardDuty 恶意软件保护在您的账户中找到了该实例,但未将 EBS 卷连接到该实例,无法继续扫描。

不可操作。

UNABLE_TO_SCAN

这是内部服务中断的内部服务错误。

不可操作。

SNAPSHOT_NOT_FOUND

找不到从 EBS 卷创建并与服务帐户共享的快照, GuardDuty 恶意软件保护无法继续扫描。

检查 CloudTrail 以确保快照不是故意删除的。

SNAPSHOT_QUOTA_REACHED

您已达到每个区域允许的最大快照容量。这不仅可以防止保留快照,还可以防止创建新的快照。

您可以删除旧快照或请求增加配额。您可以在《Amazon一般参考指南》的服务配额下查看每个区域的快照默认限制以及如何申请增加配额

MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED

在 EC2 实例上附加了超过 11 个 EBS 卷。 GuardDuty 恶意软件保护扫描了前 11 个 EBS 卷,这些卷是通过deviceName按字母顺序排序获得的。

不可操作。

UNSUPPORTED_PRODUCT_CODE_TYPE

GuardDuty 不支持使用 as 扫描实productCodemarketplace。有关更多信息,请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的付费AMI

有关信息productCode,请参阅ProductCodeAmazon EC2 API 参考手册》。

不可操作。