Fehlerbehebung bei der Laufzeitüberwachung - Amazon Elastic Container Service
Woran erkenne ich, ob Runtime Monitoring in meinem Konto aktiv ist?Woran erkenne ich, ob Runtime Monitoring auf einem Cluster aktiv ist?Woran erkenne ich, ob der GuardDuty Security Agent auf einer Fargate-Aufgabe läuft?Woran erkenne ich, ob der GuardDuty Security Agent auf einer EC2 Container-Instance läuft?Was passiert, wenn es für eine Aufgabe, die auf dem Cluster ausgeführt wird, keine Rolle zur Aufgabenausführung gibt?Woran erkenne ich, ob ich über die richtigen Berechtigungen zum Taggen von Clustern für Runtime Monitoring verfüge?Was passiert, wenn keine Verbindung zu Amazon ECR besteht?Wie behebe ich Speicherfehler bei meinen Fargate-Aufgaben, nachdem ich Runtime Monitoring aktiviert habe?

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fehlerbehebung bei der Laufzeitüberwachung

Möglicherweise müssen Sie Fehler beheben oder überprüfen, ob Runtime Monitoring aktiviert ist und für Ihre Aufgaben und Container ausgeführt wird.

Woran erkenne ich, ob Runtime Monitoring in meinem Konto aktiv ist?

In der Amazon ECS-Konsole befinden sich die Informationen auf der Seite Kontoeinstellungen.

Sie können die effective-settings Option list-account-settings auch verwenden.

aws ecs list-account-settings --effective-settings

Output

Die Einstellung, bei der der Name auf guardDutyActivate und der Wert auf gesetzt ist, on gibt an, dass das Konto konfiguriert ist. Sie müssen sich bei Ihrem GuardDuty Administrator erkundigen, ob die Verwaltung automatisch oder manuell erfolgt.

{
    "setting": {
        "name": "guardDutyActivate",
        "value": "enabled",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type": "aws-managed"
    }
}

Woran erkenne ich, ob Runtime Monitoring auf einem Cluster aktiv ist?

Sie können die Deckungsstatistiken in der GuardDuty Konsole überprüfen. Dazu gehören Informationen zu den Amazon ECS-Ressourcen, die mit Ihrem eigenen Konto oder Ihren Mitgliedskonten verknüpft sind. Dies ist der Prozentsatz der fehlerfreien Cluster im Vergleich zu allen Clustern in den ausgewählten Clustern AWS-Region. Dazu gehört auch die Abdeckung von Clustern, die die Typen Fargate und EC2 Launch verwenden. Weitere Informationen finden Sie unter Deckungsstatistiken überprüfen im GuardDuty Amazon-Benutzerhandbuch.

Woran erkenne ich, ob der GuardDuty Security Agent auf einer Fargate-Aufgabe läuft?

Der GuardDuty Security Agent wird als Sidecar-Container für Fargate-Aufgaben ausgeführt.

In der Amazon ECS-Konsole wird der Sidecar unter Container auf der Seite mit den Aufgabendetails angezeigt.

Sie können den Container ausführen describe-tasks und nach ihm suchen, dessen Name auf aws-gd-agent und lastStatus auf gesetzt sind. RUNNING

Das folgende Beispiel zeigt die Ausgabe für den Standardcluster für Aufgabenaws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE.

aws ecs describe-tasks --cluster default --tasks aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE

Output

Der angegebene Container gd-agent befindet sich im RUNNING Status.

"containers": [ 
      {
        "containerArn": "arn:aws:ecs:us-east-1:123456789012:container/4df26bb4-f057-467b-a079-96167EXAMPLE", 
        "taskArn": "arn:aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE", 
        "lastStatus": "RUNNING",
        "healthStatus": "UNKNOWN",
        "memory": "string",
        "name": "aws-gd-agent" 
      }
    ]

Woran erkenne ich, ob der GuardDuty Security Agent auf einer EC2 Container-Instance läuft?

Führen Sie den folgenden Befehl aus, um den Status anzuzeigen:

sudo systemctl status amazon-guardduty-agent

Die Protokolldatei befindet sich am folgenden Speicherort:

/var/log/amzn-guardduty-agent

Was passiert, wenn es für eine Aufgabe, die auf dem Cluster ausgeführt wird, keine Rolle zur Aufgabenausführung gibt?

Bei Fargate-Aufgaben wird die Aufgabe ohne den Sidecar-Container des GuardDuty Security Agents gestartet. Im GuardDuty Dashboard mit den Deckungsstatistiken wird angezeigt, dass für die Aufgabe kein Schutz vorhanden ist.

Woran erkenne ich, ob ich über die richtigen Berechtigungen zum Taggen von Clustern für Runtime Monitoring verfüge?

Um einen Cluster zu taggen, müssen Sie die ecs:TagResource Aktion CreateCluster sowohl für als auch habenUpdateCluster.

Im Folgenden finden Sie einen Auszug aus einer Beispielrichtlinie.

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "ecs:TagResource"
      ],
      "Resource": "*",
      "Condition": {
         "StringEquals": {
             "ecs:CreateAction" : "CreateCluster",
             "ecs:CreateAction" : "UpdateCluster",
          }
       }
    }
  ]
}

Was passiert, wenn keine Verbindung zu Amazon ECR besteht?

Bei Fargate-Aufgaben wird die Aufgabe ohne den Sidecar-Container des GuardDuty Security Agents gestartet. Im GuardDuty Dashboard mit den Deckungsstatistiken wird angezeigt, dass für die Aufgabe kein Schutz vorhanden ist.

Wie behebe ich Speicherfehler bei meinen Fargate-Aufgaben, nachdem ich Runtime Monitoring aktiviert habe?

Der GuardDuty Security Agent ist ein einfacher Prozess. Der Prozess verbraucht jedoch je nach Größe der Arbeitslast immer noch Ressourcen. Wir empfehlen, Tools zur Nachverfolgung von Container-Ressourcen wie Amazon CloudWatch Container Insights zu verwenden, um GuardDuty Bereitstellungen in Ihrem Cluster bereitzustellen. Diese Tools helfen Ihnen dabei, das Nutzungsprofil des GuardDuty Security Agents für Ihre Anwendungen zu ermitteln. Anschließend können Sie die Größe Ihrer Fargate-Aufgabe bei Bedarf anpassen, um mögliche Speicherausfälle zu vermeiden.