了解在恶意软件防护期间跳过资源进行扫描的 CloudWatch EC2 日志和原因 - Amazon GuardDuty
审核 GuardDuty 恶意软件防护中的 CloudWatch 日志 EC2GuardDuty 用于 EC2 日志保留的恶意软件防护跳过资源的原因
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解在恶意软件防护期间跳过资源进行扫描的 CloudWatch EC2 日志和原因

GuardDuty 恶意软件防护用于将事件 EC2 发布到您的亚马逊 CloudWatch 日志组/aws/guardduty/malware-scan-even ts。对于与恶意软件扫描相关的每个事件,您可以监控受影响资源的状态和扫描结果。在恶意软件防护期间,某些亚马逊 EC2 资源和 Amazon EBS 卷可能已被跳过进行扫描。 EC2

审核 GuardDuty 恶意软件防护中的 CloudWatch 日志 EC2

/aws/guardduty/malware-scan-events 日志组支持三种类型的扫描事件 CloudWatch 。

EC2 扫描事件名称的恶意软件防护 说明

EC2_SCAN_STARTED

在针对 EC2 的 GuardDuty 恶意软件防护启动恶意软件扫描过程(例如准备拍摄 EBS 卷快照)时创建。

EC2_SCAN_COMPLETED

在受影响资源的至少一个 EBS 卷的 GuardDuty 恶意软件防护 EC2 扫描完成时创建。此事件还包括属于扫描的 EBS 卷的 snapshotId。扫描完成后,扫描结果将是 CLEANTHREATS_FOUNDNOT_SCANNED

EC2_SCAN_SKIPPED

在用于 EC2 扫描的 GuardDuty 恶意软件防护跳过受影响资源的所有 EBS 卷时创建。要确定跳过的原因,请选择相应的事件并查看详细信息。有关跳过原因的更多信息,请参见下文的 恶意软件扫描期间跳过资源的原因
注意

如果您使用的是 Amazon Organizations,Organizations 中成员账户中的 CloudWatch 日志事件会同时发布到管理员帐户和成员账户的日志组。

选择您首选的访问方式来查看和查询 CloudWatch 事件。

Console

  1. 登录 Amazon Web Services Management Console 并打开 CloudWatch 控制台,网址为https://console.aws.amazon.com/cloudwatch/

  2. 在导航窗格中,在日志下选择日志组。选择/aws/guardduty/malware-scan-even ts 日志组以查看 GuardDuty 恶意软件防护的扫描事件。 EC2

    要运行查询,选择 Log Insights

    有关运行查询的信息,请参阅 Amazon CloudWatch 用户指南中的使用 Lo CloudWatch gs Insights 分析日志数据

  3. 选择扫描 ID 以监控受影响资源和恶意软件调查发现的详细信息。例如,您可以使用运行以下查询来筛选 CloudWatch 日志事件scanId。请务必使用自己的有效证件scan-id

    fields @timestamp, @message, scanRequestDetails.scanId as scanId
| filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
| sort @timestamp asc
API/CLI

GuardDuty 用于 EC2 日志保留的恶意软件防护

/aws/guardduty/malware-scan- events 日志组的默认日志保留期为 90 天,之后日志事件将自动删除。要更改日志组的日志保留策略,请参阅 Amazon CloudWatch 用户指南中的 “ CloudWatch 日志” 中的更改日志数据保留期,或者 CloudWatch PutRetentionPolicy在《亚马逊 CloudWatch API 参考》中。

恶意软件扫描期间跳过资源的原因

在与恶意软件扫描相关的事件中,某些 EC2 资源和 EBS 卷可能在扫描过程中被跳过。下表列出了 GuardDuty 恶意软件防护 EC2可能无法扫描资源的原因。如果适用,请使用建议的步骤来解决这些问题,并在下次 GuardDuty 恶意软件防护 EC2 启动恶意软件扫描时扫描这些资源。其他问题用于告知您事件的过程,且不可采取行动。

跳过的原因 说明 建议的步骤

RESOURCE_NOT_FOUND

resourceArn您的 Amazon 环境中找不到用于启动按需恶意软件扫描的。

验证您resourceArn的 Amazon EC2 实例或容器工作负载,然后重试。

ACCOUNT_INELIGIBLE

您尝试启动按需恶意软件扫描的 Amazon 账户 ID 尚未启用 GuardDuty。

确认 GuardDuty 该 Amazon 账户已启用。

在新版本 GuardDuty 中启用后 Amazon Web Services 区域 ,最多可能需要 20 分钟才能同步。

UNSUPPORTED_KEY_ENCRYPTION

GuardDuty 恶意软件防护 EC2 支持未加密和使用客户托管密钥加密的卷。不支持扫描使用 Amazon EBS 加密进行加密的 EBS卷。

目前,存在不适用此跳过原因的区域差异。有关这些内容的更多信息 Amazon Web Services 区域,请参阅特定于区域的特征可用性

将您的加密密钥替换为客户托管式密钥。有关 GuardDuty 支持的加密类型的更多信息,请参阅恶意软件扫描支持的 Amazon EBS 卷

EXCLUDED_BY_SCAN_SETTINGS

在恶意软件扫描期间, EC2 实例或 EBS 卷被排除在外。有两种可能性:要么将标签添加到包含列表中但资源未与此标签关联,要么将标签添加到排除列表并且资源与此标签相关联,要么此资源的 GuardDutyExcluded 标签设置为了 true

更新您的扫描选项或与您的 Amazon EC2 资源关联的标签。有关更多信息,请参阅 使用用户定义的标签扫描选项

UNSUPPORTED_VOLUME_SIZE

卷大于 2048 GB。

不可操作。

NO_VOLUMES_ATTACHED

GuardDuty 的恶意软件防护在您的账户中 EC2 找到了该实例,但未将任何 EBS 卷附加到该实例,无法继续扫描。

不可操作。

UNABLE_TO_SCAN

这是内部服务错误。

不可操作。

SNAPSHOT_NOT_FOUND

找不到从 EBS 卷创建并与服务帐户共享的快照,并且 GuardDuty 恶意软件防护 EC2 无法继续扫描。

检查 CloudTrail 以确保快照不是故意删除的。

SNAPSHOT_QUOTA_REACHED

您已达到每个区域允许的最大快照容量。这不仅可以防止保留快照,还可以防止创建新快照。

您可以移除旧快照或请求增加配额。您可以在《Amazon 一般参考指南》服务限额下查看每个区域快照的默认限制以及如何申请增加配额。

MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED

已将超过 11 个 EBS 卷附加到一个 EC2 实例。 GuardDuty 恶意软件防护 EC2扫描了前 11 个 EBS 卷,这些卷是通过deviceName按字母顺序排序获得的。

不可操作。

UNSUPPORTED_PRODUCT_CODE_TYPE

GuardDuty 不支持使用 as 扫描实productCodemarketplace。有关更多信息,请参阅 Amazon EC2 用户指南 AMIs中的付费

有关信息productCode,请参阅 ProductCode在《亚马逊 EC2 API 参考》中。

不可操作。