本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 在 EC2 恶意软件防护中监控扫描状态和结果 在 Amazon EC2 实例上启动恶意软件扫描后,会自动 GuardDuty 提供状态和结果字段。您可以通过转换来监控状态,并查看是否检测到恶意软件。下表提供了与恶意软件扫描相关的可能值。 | 类别 | 可能的 值 | | --- | --- | | 扫描状态 | `Running`、`Completed`、`Skipped` 或 `Failed` | | 扫描结果[*](#scan-result-malwalre-protection-ec2) | `Clean` 或 `Infected` | | 扫描类型 | `GuardDuty initiated` 或 `On demand` | \*只有当扫描状态变为 `Completed` 时,才会填充扫描结果。扫描结果`Infected`表示 GuardDuty 检测到恶意软件的存在。 每次恶意软件扫描的扫描结果保留期为 90 天。选择您的首选访问方式来跟踪恶意软件扫描的状态。 ------ #### [ Console ] 1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.amazonaws.cn/guardduty/)。 1. 在导航窗格中,选择 **EC2 恶意软件扫描**。 1. 您可以通过*筛选条件搜索栏*中提供的以下**属性**筛选恶意软件扫描。 + **扫描 ID**:与 EC2 恶意软件扫描相关的唯一标识符。 + **账户 Amazon Web Services 账户 ID** — 启动恶意软件扫描的 ID。 + **EC2 实例 ARN**:与扫描关联的 Amazon EC2 实例关联的 Amazon 资源名称(ARN)。 + **扫描状态**:EBS 卷的扫描状态,例如**正在运行**、**已跳过**和**已完成** + **扫描类型**-表示这是 On-demand 恶意软件扫描还是恶 GuardDuty-initiated 意软件扫描。 ------ #### [ API/CLI ] + 恶意软件扫描得出扫描结果后 [DescribeMalwareScans](https://docs.amazonaws.cn/guardduty/latest/APIReference/API_DescribeMalwareScans.html),使用根据、`EC2_INSTANCE_ARN`、、`SCAN_ID``ACCOUNT_ID``SCAN_TYPE``GUARDDUTY_FINDING_ID``SCAN_STATUS`、和筛选恶意软件扫描`SCAN_START_TIME`。 GuardDuty 启动时,`GUARDDUTY_FINDING_ID`筛选条件可用。`SCAN_TYPE` + 你可以在下面的命令{{filter-criteria}}中更改示例。目前,您可以一次根据一个 `CriterionKey` 进行筛选。`CriterionKey` 的选项为 `EC2_INSTANCE_ARN`、`SCAN_ID`、`ACCOUNT_ID`、`SCAN_TYPE`、`GUARDDUTY_FINDING_ID`、`SCAN_STATUS` 和 `SCAN_START_TIME`。 您可以更改{{max-results}}(最多 50)和{{sort-criteria}}。`AttributeName` 是必填项,必须为 `scanStartTime`。 在以下示例中,中的值{{red}}是占位符。将其替换为适合您账户的值。例如,将示例替换为您自己的有效示`detector-id`{{60b8777933648562554d637e0e4bb3b2}}例`detector-id`。如果您使用`CriterionKey`如下所示的示例,请确保将示例`EqualsValue`替换为您自己的有效示例 Amazon {{scan-id}}。 ``` aws guardduty describe-malware-scans --detector-id {{60b8777933648562554d637e0e4bb3b2}} --max-results {{1}} --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "{{DESC}}"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"{{SCAN_ID}}", "FilterCondition":{"EqualsValue":"{{123456789012}}"}}] }' ``` + 此命令的响应最多显示一个结果,其中包含有关受影响资源和恶意软件调查发现的详细信息(如果 `Infected`)。 ------