Fehlerbehebung bei der Laufzeit-Überwachung - Amazon Elastic Container Service
Woran erkenne ich, ob Runtime Monitoring in meinem Konto aktiv ist?Woran erkenne ich, ob Runtime Monitoring in einem Cluster aktiv ist?Woran erkenne ich, ob der GuardDuty Security Agent auf einer Fargate-Aufgabe läuft?Woran erkenne ich, ob der GuardDuty Security Agent auf einer EC2 Container-Instance läuft?Was passiert, wenn es für eine Aufgabe, die auf dem Cluster ausgeführt wird, keine Rolle zur Aufgabenausführung gibt?Woran erkenne ich, ob ich die richtigen Berechtigungen habe, um Cluster für Runtime Monitoring zu markieren?Was passiert, wenn keine Verbindung zu Amazon ECR besteht?Wie behebe ich Fehler bei unzureichendem Arbeitsspeicher bei meinen Fargate-Aufgaben, nachdem ich Runtime Monitoring aktiviert habe?

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fehlerbehebung bei der Laufzeit-Überwachung

Möglicherweise müssen Sie Fehler beheben oder überprüfen, ob Runtime Monitoring aktiviert ist und für Ihre Aufgaben und Container ausgeführt wird.

Woran erkenne ich, ob Runtime Monitoring in meinem Konto aktiv ist?

In der Amazon-ECS-Konsole befinden sich die Informationen auf der Seite Kontoeinstellungen.

Sie können den list-account-settings-Befehl auch mit der effective-settings-Option ausführen.

aws ecs list-account-settings --effective-settings

Ausgabe

Die Einstellung, bei der Name auf guardDutyActivate und Wert auf on gesetzt sind, gibt an, dass das Konto konfiguriert ist. Sie müssen sich bei Ihrem GuardDuty Administrator erkundigen, ob die Verwaltung automatisch oder manuell erfolgt.

{
    "setting": {
        "name": "guardDutyActivate",
        "value": "enabled",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type": "aws-managed"
    }
}

Woran erkenne ich, ob Runtime Monitoring in einem Cluster aktiv ist?

Sie können die Deckungsstatistiken in der GuardDuty Konsole überprüfen. Die Abdeckungsstatistiken für die Amazon-ECS-Ressourcen, die Ihren eigenen Konten oder Ihren Mitgliedskonten zugeordnet sind, geben den Prozentsatz der fehlerfreien Cluster in allen Clustern in der ausgewählten AWS-Region an. Dies beinhaltet die Abdeckung für Cluster, die Fargate und EC2s verwenden. Weitere Informationen finden Sie unter Deckungsstatistiken überprüfen im GuardDuty Amazon-Benutzerhandbuch.

Woran erkenne ich, ob der GuardDuty Security Agent auf einer Fargate-Aufgabe läuft?

Der GuardDuty Security Agent läuft als Sidecar-Container für Fargate-Aufgaben.

In der Amazon ECS-Konsole wird der Sidecar unter Container auf der Seite mit den Aufgabendetails angezeigt.

Sie können describe-tasks ausführen und nach dem Container suchen, dessen Name auf aws-gd-agent und lastStatus auf RUNNING gesetzt sind

Das folgende Beispiel zeigt die Ausgabe für den Standard-Cluster für Aufgabe aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE.

aws ecs describe-tasks --cluster default --tasks aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE

Ausgabe

Der angegebene Container gd-agent befindet sich im RUNNING-Status.

"containers": [ 
      {
        "containerArn": "arn:aws:ecs:us-east-1:123456789012:container/4df26bb4-f057-467b-a079-96167EXAMPLE", 
        "taskArn": "arn:aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE", 
        "lastStatus": "RUNNING",
        "healthStatus": "UNKNOWN",
        "memory": "string",
        "name": "aws-gd-agent" 
      }
    ]

Woran erkenne ich, ob der GuardDuty Security Agent auf einer EC2 Container-Instance läuft?

Führen Sie den folgenden Befehl aus, um den Status anzuzeigen.

sudo systemctl status amazon-guardduty-agent

Die Protokolldatei befindet sich im folgenden Speicherort: .

/var/log/amzn-guardduty-agent

Was passiert, wenn es für eine Aufgabe, die auf dem Cluster ausgeführt wird, keine Rolle zur Aufgabenausführung gibt?

Bei Fargate-Aufgaben wird die Aufgabe ohne den Sidecar-Container des GuardDuty Security Agents gestartet. Im GuardDuty Dashboard mit den Deckungsstatistiken wird angezeigt, dass für die Aufgabe kein Schutz vorhanden ist.

Woran erkenne ich, ob ich die richtigen Berechtigungen habe, um Cluster für Runtime Monitoring zu markieren?

Um einen Cluster zu markieren, müssen Sie die ecs:TagResource-Aktion für sowohl CreateCluster als auch UpdateCluster haben.

Im Folgenden finden Sie einen Ausschnitt einer Beispielsrichtlinie:

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "ecs:TagResource"
      ],
      "Resource": "*",
      "Condition": {
         "StringEquals": {
             "ecs:CreateAction" : "CreateCluster",
             "ecs:CreateAction" : "UpdateCluster",
          }
       }
    }
  ]
}

Was passiert, wenn keine Verbindung zu Amazon ECR besteht?

Bei Fargate-Aufgaben wird die Aufgabe ohne den Sidecar-Container des GuardDuty Security Agents gestartet. Im GuardDuty Dashboard mit den Deckungsstatistiken wird angezeigt, dass für die Aufgabe kein Schutz vorhanden ist.

Wie behebe ich Fehler bei unzureichendem Arbeitsspeicher bei meinen Fargate-Aufgaben, nachdem ich Runtime Monitoring aktiviert habe?

Der GuardDuty Security Agent ist ein einfacher Prozess. Der Prozess verbraucht jedoch immer noch Ressourcen anhand der Größe des Workloads. Wir empfehlen die Verwendung von Tools zur Nachverfolgung von Container-Ressourcen wie Amazon CloudWatch Container Insights, um GuardDuty Bereitstellungen in Ihrem Cluster bereitzustellen. Diese Tools helfen Ihnen dabei, das Nutzungsprofil des GuardDuty Security Agents für Ihre Anwendungen zu ermitteln. Anschließend können Sie die Größe Ihrer Fargate-Aufgabe bei Bedarf anpassen, um mögliche Arbeitsspeicherausfälle zu vermeiden.