本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
了解 GuardDuty 恶意软件防护中的 CloudWatch 日志和跳过原因
GuardDuty 恶意软件保护会将事件发布到您的亚马逊 CloudWatch 日志组 /aws/guardduty/malware-scan-events。对于与恶意软件扫描相关的每个事件,您可以监控受影响资源的状态和扫描结果。在恶意软件保护扫描期间,某些 Amazon EC2 资源和 Amazon EBS 卷可能已被跳过。
GuardDuty 恶意软件保护中的审核 CloudWatch 日志
/aws/guardduty/malware-scan-events CloudWatch 日志组支持三种类型的扫描事件。
| 恶意软件防护扫描事件名称 | 说明 |
|---|---|
|
|
在 GuardDuty 恶意软件保护启动恶意软件扫描过程(例如准备拍摄 EBS 卷的快照)时创建。 |
|
|
在完成对受影响资源的至少一个 EBS 卷的 GuardDuty 恶意软件保护扫描时创建。扫描完成后,扫描结果将为 |
|
|
在 GuardDuty 恶意软件保护扫描跳过受影响资源的所有 EBS 卷时创建。要确定跳过原因,请选择相应的事件并查看详细信息。有关跳过原因的更多信息,请参阅恶意软件扫描期间跳过资源的原因下文。 |
如果您使用的是Amazon Organizations,来自Organizations 中成员账户的 CloudWatch 日志事件将同时发布到管理员和成员账户的日志组中。
GuardDuty 恶意软件防护日志保留
/aws/guardduty/malware-scan-events 日志组的默认日志保留期为 90 天,在此之后日志事件将自动删除。要更改日志组的日志保留策略,请参阅更改日志中的 CloudWatch 日志数据保留期或PutRetentionPolicy
恶意软件扫描期间跳过资源的原因
在与恶意软件扫描相关的事件中,某些 EC2 资源和 EBS 卷可能在扫描过程中被跳过。下表列出了 GuardDuty 恶意软件保护可能无法扫描资源的原因。如果适用,请使用建议的步骤来解决这些问题,并在下次 GuardDuty 恶意软件保护启动恶意软件扫描时扫描这些资源。其他问题用于告知你事件的进程,是不可操作的。
| 跳过原因 | 说明 | 提议的步骤 |
|---|---|---|
|
|
GuardDuty 恶意软件保护支持未加密的卷和使用客户管理的密钥加密的卷。它不支持扫描使用 Amazon EBS 加密进行加密的 EBS 卷。 |
使用客户托管密钥替换加密密钥。有关 GuardDuty 支持的加密类型的更多信息,请参阅了解恶意软件保护的工作原理 GuardDuty。 |
|
|
在恶意软件扫描期间,EC2 实例或 EBS 卷被排除在外。有两种可能性:要么将标签添加到包含列表但资源与该标签无关,要么将标签添加到排除列表中并且资源与此标签相关联,要 |
更新您的扫描选项或与 Amazon EC2 资源关联的标签。有关更多信息,请参阅 扫描选项。 |
|
|
音量大于 1024 GB。 |
不可操作。 |
|
|
GuardDuty 恶意软件保护在您的账户中找到了该实例,但没有将 EBS 卷连接到该实例,无法继续扫描。 |
不可操作。 |
|
|
这是内部服务错误。 |
不可操作。 |
|
|
找不到从 EBS 卷创建并与服务帐户共享的快照, GuardDuty 恶意软件保护无法继续扫描。 |
检查 CloudTrail 以确保快照不是故意删除的。 |
|
|
您已达到每个区域的快照允许的最大容量。这不仅可以防止保留快照,还可以防止创建新快照。 |
您可以删除旧快照或请求增加配额。您可以在《Amazon一般参考指南》中的服务配额下查看每个区域的快照的默认限制以及如何申请增加配额。 |
|
|
在 EC2 实例上附加了 11 个 EBS 卷。 GuardDuty 恶意软件保护扫描了前 11 个 EBS 卷,这些卷是通过 |
不可操作。 |
|
|
GuardDuty 不支持使用 a 有关信息 |
不可操作。 |