Résolution des problèmes de surveillance d’exécution - Amazon Elastic Container Service
Comment savoir si la surveillance d’exécution est active sur mon compte ?Comment savoir si la surveillance d’exécution est active sur un cluster ?Comment savoir si l'agent de GuardDuty sécurité est exécuté sur une tâche Fargate ?Comment savoir si l'agent de GuardDuty sécurité est en cours d'exécution sur une instance de EC2 conteneur ?Que se passe-t-il lorsqu’il n’existe aucun rôle d’exécution de tâche pour une tâche exécutée sur le cluster ?Comment puis-je savoir si je dispose des autorisations appropriées pour étiqueter des clusters à des fins de surveillance d’exécution ?Que se passe-t-il en cas d’absence de connexion Amazon ECR ?Comment puis-je corriger les erreurs liées au manque de mémoire sur mes tâches Fargate après avoir activé la surveillance d’exécution ?

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résolution des problèmes de surveillance d’exécution

Vous devrez peut-être résoudre les problèmes ou vérifier que la surveillance d’exécution est activée et exécutée sur vos tâches et vos conteneurs.

Comment savoir si la surveillance d’exécution est active sur mon compte ?

Dans la console Amazon ECS, les informations se trouvent sur la page Paramètres du compte.

Vous pouvez également exécuter list-account-settings avec l’option effective-settings.

aws ecs list-account-settings --effective-settings

Output

Le paramètre dont le nom est défini sur guardDutyActivate et la valeur sur on indique que le compte est configuré. Vous devez vérifier auprès de votre GuardDuty administrateur si la gestion est automatique ou manuelle.

{
    "setting": {
        "name": "guardDutyActivate",
        "value": "enabled",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type": "aws-managed"
    }
}

Comment savoir si la surveillance d’exécution est active sur un cluster ?

Vous pouvez consulter les statistiques de couverture dans la GuardDuty console. Cela inclut les informations relatives aux ressources Amazon ECS associées à votre propre compte ou à vos comptes membres, soit le pourcentage de clusters sains par rapport à l’ensemble des clusters dans l’ Région AWS sélectionnée. Cela inclut la couverture des clusters utilisant le Fargate et. EC2s Pour plus d'informations, consultez la section Révision des statistiques de couverture dans le guide de GuardDuty l'utilisateur Amazon.

Comment savoir si l'agent de GuardDuty sécurité est exécuté sur une tâche Fargate ?

L'agent GuardDuty de sécurité fonctionne comme un conteneur annexe pour les tâches Fargate.

Dans la console Amazon ECS, le sidecar s’affiche sous Conteneurs sur la page Détails de la tâche.

Vous pouvez exécuter describe-tasks et rechercher le conteneur dont le nom est défini sur aws-gd-agent et le LastStatus défini sur RUNNING.

Voici un exemple de la sortie du cluster par défaut pour la tâche aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE.

aws ecs describe-tasks --cluster default --tasks aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE

Output

Le conteneur nommé gd-agent est dans l’état RUNNING.

"containers": [ 
      {
        "containerArn": "arn:aws:ecs:us-east-1:123456789012:container/4df26bb4-f057-467b-a079-96167EXAMPLE", 
        "taskArn": "arn:aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE", 
        "lastStatus": "RUNNING",
        "healthStatus": "UNKNOWN",
        "memory": "string",
        "name": "aws-gd-agent" 
      }
    ]

Comment savoir si l'agent de GuardDuty sécurité est en cours d'exécution sur une instance de EC2 conteneur ?

Exécutez la commande suivante pour afficher l’état :

sudo systemctl status amazon-guardduty-agent

Le fichier journal se trouve à l’emplacement suivant :

/var/log/amzn-guardduty-agent

Que se passe-t-il lorsqu’il n’existe aucun rôle d’exécution de tâche pour une tâche exécutée sur le cluster ?

Pour les tâches Fargate, la tâche démarre sans le conteneur annexe de GuardDuty l'agent de sécurité. Le GuardDuty tableau de bord indiquera que la tâche n'est pas protégée dans le tableau de bord des statistiques de couverture.

Comment puis-je savoir si je dispose des autorisations appropriées pour étiqueter des clusters à des fins de surveillance d’exécution ?

Pour étiqueter un cluster, vous devez avoir l’action ecs:TagResource à la fois pour CreateCluster et UpdateCluster.

L’extrait suivant représente un exemple de politique.

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "ecs:TagResource"
      ],
      "Resource": "*",
      "Condition": {
         "StringEquals": {
             "ecs:CreateAction" : "CreateCluster",
             "ecs:CreateAction" : "UpdateCluster",
          }
       }
    }
  ]
}

Que se passe-t-il en cas d’absence de connexion Amazon ECR ?

Pour les tâches Fargate, la tâche démarre sans le conteneur annexe de GuardDuty l'agent de sécurité. Le GuardDuty tableau de bord indiquera que la tâche n'est pas protégée dans le tableau de bord des statistiques de couverture.

Comment puis-je corriger les erreurs liées au manque de mémoire sur mes tâches Fargate après avoir activé la surveillance d’exécution ?

L'agent GuardDuty de sécurité est un processus léger. Cependant, le processus consomme toujours des ressources en fonction de l’importance de la charge de travail. Nous vous recommandons d'utiliser des outils de suivi des ressources des conteneurs, tels que Amazon CloudWatch Container Insights, pour organiser GuardDuty les déploiements dans votre cluster. Ces outils vous aident à découvrir le profil de consommation de l'agent de GuardDuty sécurité pour vos applications. Vous pouvez ensuite ajuster la taille de votre tâche Fargate, si nécessaire, pour éviter tout risque de manque de mémoire.