本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# On-demand 恶意软件扫描 GuardDuty
On-demand 恶意软件扫描可帮助您检测附加到亚马逊 EC2 实例的亚马逊弹性区块存储 (Amazon EBS) 卷上是否存在恶意软件。无需配置,只需通过提供要扫描的 Amazon EC2 实例的 Amazon 资源名称(ARN),就可以启动按需恶意软件扫描。您可以通过 GuardDuty 控制台或 API 启动按需恶意软件扫描。在启动按需恶意软件扫描之前,您可以设置首选 [快照保留](malware-protection-customizations.md#mp-snapshots-retention) 设置。以下情况可以帮助您确定何时使用 On-demand 恶意软件扫描类型 GuardDuty:
+ 您想在不启用恶意软件扫描的情况下检测您的 Amazon EC2 实例中是否存在 GuardDuty-initiated 恶意软件。
+ 您已启用 GuardDuty-initiated 恶意软件扫描,并且扫描已自动调用。在对生成的 EC2 恶意软件防护调查发现类型执行建议的补救措施后,如果要对同一资源启动扫描,在距离上一次扫描开始时间 1 小时后,就可以启动按需恶意软件扫描。
On-demand 恶意软件扫描不需要从上一次恶意软件扫描开始起已过 24 小时。在对同一资源启动 On-demand 恶意软件扫描之前,应该已经过了一小时。要避免在同一 EC2 实例上重复执行恶意软件扫描,请参阅 [Re-scanning 之前扫描过的 Amazon EC2 实例](initiate-on-demand-scan-on-same-resource.md)。
**注意**
On-demand 30 天免费试用期内不包括恶意软件扫描。 GuardDuty按照每次进行恶意软件扫描时扫描的 Amazon EBS 卷总量,收取使用费用。有关更多信息,请参阅 [Amazon GuardDuty 定价](https://www.amazonaws.cn/guardduty/pricing/#Pricing_by_region)。有关创建 Amazon EBS 卷快照成本及快照保留的信息,请参阅 [Amazon EBS 定价](https://www.amazonaws.cn/ebs/pricing/)。
## On-demand 恶意软件扫描的工作原理
通过 On-demand 恶意软件扫描,即使您的 Amazon EC2 实例正在使用中,您也可以启动恶意软件扫描请求。启动 On-demand 恶意软件扫描后, GuardDuty 会创建附加到为扫描提供亚马逊资源名称 (ARN) 的 Amazon EC2 实例的 Amazon EBS 卷的快照。接下来,与 GuardDuty 共享这些快照[GuardDuty 服务账号](gdu-service-account-region-list.md)。 GuardDuty 根据 GuardDuty 服务账户中的这些快照创建加密副本 EBS 卷。有关如何扫描 Amazon EBS 卷的更多信息,请参阅 [如何 GuardDuty 扫描 EBS 卷以进行恶意软件检测](guardduty_malware_protection-ebs-volume-data.md)。
**注意**
GuardDuty 创建您开始恶意软件扫描时已写入 Amazon EBS 卷的数据的 On-demand 快照。
如果发现恶意软件并且您已启用快照保留设置,则 EBS 卷的快照将自动保留在您的 Amazon Web Services 账户中。 On-demand 恶意软件扫描会生成[EC2 恶意软件防护调查发现类型](findings-malware-protection.md)。如果未发现恶意软件,则无论快照保留设置如何,EBS 卷的快照都会被删除。
GuardDuty 使用全局标签密钥`GuardDutyExcluded`,您可以将其添加到您的 Amazon EC2 资源中,并将标签值设置为`true`。具有此标签键值对的 Amazon EC2 资源将被排除在恶意软件扫描范围之外。两种扫描类型(GuardDuty-initiated 恶意软件扫描和 On-demand 恶意软件扫描)都支持全局标记。如果您在 Amazon EC2 上启动按需恶意软件扫描,则会生成一个扫描 ID。但是,将因 `EXCLUDED_BY_SCAN_SETTINGS` 而跳过扫描。有关更多信息,请参阅 [恶意软件扫描期间跳过资源的原因](malware-protection-auditing-scan-logs.md#mp-scan-skip-reasons)。