Résolution des problèmes de surveillance du temps - Amazon Elastic Container Service
Comment savoir si le Runtime Monitoring est actif sur mon compte ?Comment savoir si le Runtime Monitoring est actif sur un cluster ?Comment savoir si l'agent de GuardDuty sécurité est exécuté sur une tâche Fargate ?Comment savoir si l'agent de GuardDuty sécurité est en cours d'exécution sur une instance de EC2 conteneur ?Que se passe-t-il lorsqu'il n'existe aucun rôle d'exécution de tâche pour une tâche exécutée sur le cluster ?Comment puis-je savoir si je dispose des autorisations appropriées pour étiqueter des clusters à des fins de surveillance du temps d'exécution ?Que se passe-t-il en cas d'absence de connexion Amazon ECR ?Comment puis-je corriger les erreurs liées au manque de mémoire sur mes tâches Fargate après avoir activé la surveillance du temps d'exécution ?

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résolution des problèmes de surveillance du temps

Vous devrez peut-être résoudre les problèmes ou vérifier que la surveillance du temps d'exécution est activée et exécutée sur vos tâches et vos conteneurs.

Comment savoir si le Runtime Monitoring est actif sur mon compte ?

Dans la console Amazon ECS, les informations se trouvent sur la page Paramètres du compte.

Vous pouvez également exécuter list-account-settings avec l'effective-settingsoption.

aws ecs list-account-settings --effective-settings

Sortie

Le paramètre dont le nom guardDutyActivate et la valeur sont définis sur on indique que le compte est configuré. Vous devez vérifier auprès de votre GuardDuty administrateur si la gestion est automatique ou manuelle.

{
    "setting": {
        "name": "guardDutyActivate",
        "value": "enabled",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type": "aws-managed"
    }
}

Comment savoir si le Runtime Monitoring est actif sur un cluster ?

Vous pouvez consulter les statistiques de couverture dans la GuardDuty console. Cela inclut les informations relatives aux ressources Amazon ECS associées à votre propre compte ou à vos comptes de membres, c'est-à-dire le pourcentage de clusters sains par rapport à tous les clusters sélectionnés Région AWS. Cela inclut la couverture des clusters qui utilisent les types Fargate et Launch. EC2 Pour plus d'informations, consultez la section Révision des statistiques de couverture dans le guide de GuardDuty l'utilisateur Amazon.

Comment savoir si l'agent de GuardDuty sécurité est exécuté sur une tâche Fargate ?

L'agent GuardDuty de sécurité fonctionne comme un conteneur annexe pour les tâches Fargate.

Dans la console Amazon ECS, le sidecar s'affiche sous Conteneurs sur la page des détails de la tâche.

Vous pouvez exécuter describe-tasks et rechercher le conteneur dont le nom est défini sur aws-gd-agent et le LastStatus défini sur. RUNNING

L'exemple suivant montre la sortie du cluster par défaut pour la tâcheaws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE.

aws ecs describe-tasks --cluster default --tasks aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE

Sortie

Le conteneur nommé gd-agent est dans l'RUNNINGétat.

"containers": [ 
      {
        "containerArn": "arn:aws:ecs:us-east-1:123456789012:container/4df26bb4-f057-467b-a079-96167EXAMPLE", 
        "taskArn": "arn:aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE", 
        "lastStatus": "RUNNING",
        "healthStatus": "UNKNOWN",
        "memory": "string",
        "name": "aws-gd-agent" 
      }
    ]

Comment savoir si l'agent de GuardDuty sécurité est en cours d'exécution sur une instance de EC2 conteneur ?

Exécutez la commande suivante pour afficher l'état :

sudo systemctl status amazon-guardduty-agent

Le fichier journal se trouve à l'emplacement suivant :

/var/log/amzn-guardduty-agent

Que se passe-t-il lorsqu'il n'existe aucun rôle d'exécution de tâche pour une tâche exécutée sur le cluster ?

Pour les tâches Fargate, la tâche démarre sans le conteneur annexe de GuardDuty l'agent de sécurité. Le GuardDuty tableau de bord indiquera que la tâche n'est pas protégée dans le tableau de bord des statistiques de couverture.

Comment puis-je savoir si je dispose des autorisations appropriées pour étiqueter des clusters à des fins de surveillance du temps d'exécution ?

Pour étiqueter un cluster, vous devez avoir l'ecs:TagResourceaction à la fois pour CreateCluster etUpdateCluster.

Voici un extrait d'un exemple de politique.

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "ecs:TagResource"
      ],
      "Resource": "*",
      "Condition": {
         "StringEquals": {
             "ecs:CreateAction" : "CreateCluster",
             "ecs:CreateAction" : "UpdateCluster",
          }
       }
    }
  ]
}

Que se passe-t-il en cas d'absence de connexion Amazon ECR ?

Pour les tâches Fargate, la tâche démarre sans le conteneur annexe de GuardDuty l'agent de sécurité. Le GuardDuty tableau de bord indiquera que la tâche n'est pas protégée dans le tableau de bord des statistiques de couverture.

Comment puis-je corriger les erreurs liées au manque de mémoire sur mes tâches Fargate après avoir activé la surveillance du temps d'exécution ?

L'agent GuardDuty de sécurité est un processus léger. Cependant, le processus consomme toujours des ressources en fonction de l'importance de la charge de travail. Nous vous recommandons d'utiliser des outils de suivi des ressources des conteneurs, tels que Amazon CloudWatch Container Insights, pour organiser GuardDuty les déploiements dans votre cluster. Ces outils vous aident à découvrir le profil de consommation de l'agent de GuardDuty sécurité pour vos applications. Vous pouvez ensuite ajuster la taille de votre tâche Fargate, si nécessaire, pour éviter tout risque de manque de mémoire.