Bagaimana cara mengetahui apakah Runtime Monitoring aktif di akun saya?Bagaimana saya bisa tahu apakah Runtime Monitoring aktif di cluster?Bagaimana saya bisa tahu apakah agen GuardDuty keamanan menjalankan tugas Fargate?Bagaimana saya bisa tahu apakah agen GuardDuty keamanan berjalan pada instance EC2 container?Apa yang terjadi ketika tidak ada peran eksekusi tugas untuk tugas yang berjalan di cluster?Bagaimana saya bisa tahu apakah saya memiliki izin yang benar untuk menandai cluster untuk Runtime Monitoring?Apa yang terjadi ketika tidak ada koneksi Amazon ECR?Bagaimana cara mengatasi kesalahan memori pada tugas Fargate saya setelah mengaktifkan Runtime Monitoring?

Pemecahan Masalah Runtime Monitoring

Anda mungkin perlu memecahkan masalah atau memverifikasi bahwa Runtime Monitoring diaktifkan dan berjalan pada tugas dan container Anda.

Topik

Bagaimana cara mengetahui apakah Runtime Monitoring aktif di akun saya?
Bagaimana saya bisa tahu apakah Runtime Monitoring aktif di cluster?
Bagaimana saya bisa tahu apakah agen GuardDuty keamanan menjalankan tugas Fargate?
Bagaimana saya bisa tahu apakah agen GuardDuty keamanan berjalan pada instance EC2 container?
Apa yang terjadi ketika tidak ada peran eksekusi tugas untuk tugas yang berjalan di cluster?
Bagaimana saya bisa tahu apakah saya memiliki izin yang benar untuk menandai cluster untuk Runtime Monitoring?
Apa yang terjadi ketika tidak ada koneksi Amazon ECR?
Bagaimana cara mengatasi kesalahan memori pada tugas Fargate saya setelah mengaktifkan Runtime Monitoring?

Bagaimana cara mengetahui apakah Runtime Monitoring aktif di akun saya?

Di konsol Amazon ECS, informasinya ada di halaman Pengaturan Akun.

Anda juga dapat menjalankan list-account-settings dengan effective-settings opsi.


aws ecs list-account-settings --effective-settings

Output

Pengaturan dengan nama diatur ke guardDutyActivate dan nilai ditetapkan untuk on menunjukkan bahwa akun dikonfigurasi. Anda harus memeriksa dengan GuardDuty administrator Anda untuk melihat apakah pengelolaannya otomatis atau manual.


{
    "setting": {
        "name": "guardDutyActivate",
        "value": "enabled",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type": "aws-managed"
    }
}

Bagaimana saya bisa tahu apakah Runtime Monitoring aktif di cluster?

Anda dapat meninjau statistik cakupan di GuardDuty konsol. Ini termasuk informasi untuk sumber daya Amazon ECS yang terkait dengan akun Anda sendiri atau akun anggota Anda adalah persentase cluster sehat di semua cluster yang dipilih. Wilayah AWS Ini termasuk cakupan untuk cluster yang menggunakan Fargate EC2 dan tipe peluncuran. Untuk informasi selengkapnya, lihat Meninjau statistik cakupan di Panduan GuardDuty Pengguna Amazon.

Bagaimana saya bisa tahu apakah agen GuardDuty keamanan menjalankan tugas Fargate?

Agen GuardDuty keamanan berjalan sebagai wadah sespan untuk tugas Fargate.

Di konsol Amazon ECS, sespan ditampilkan di bawah Kontainer di halaman Detail tugas.

Anda dapat menjalankan describe-tasks dan mencari wadah dengan nama yang disetel ke aws-gd-agent dan LastStatus disetel ke. RUNNING

Contoh berikut menunjukkan output untuk cluster default untuk tugasaws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE.


aws ecs describe-tasks --cluster default --tasks aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE

Output

Wadah bernama gd-agent ada di RUNNING negara bagian.


"containers": [ 
      {
        "containerArn": "arn:aws:ecs:us-east-1:123456789012:container/4df26bb4-f057-467b-a079-96167EXAMPLE", 
        "taskArn": "arn:aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE", 
        "lastStatus": "RUNNING",
        "healthStatus": "UNKNOWN",
        "memory": "string",
        "name": "aws-gd-agent" 
      }
    ]

Bagaimana saya bisa tahu apakah agen GuardDuty keamanan berjalan pada instance EC2 container?

Jalankan perintah berikut untuk melihat status:


sudo systemctl status amazon-guardduty-agent

File log berada di lokasi berikut:


/var/log/amzn-guardduty-agent

Apa yang terjadi ketika tidak ada peran eksekusi tugas untuk tugas yang berjalan di cluster?

Untuk tugas Fargate, tugas dimulai tanpa wadah sespan agen GuardDuty keamanan. GuardDuty Dasbor akan menunjukkan bahwa tugas tersebut tidak memiliki perlindungan di dasbor statistik cakupan.

Bagaimana saya bisa tahu apakah saya memiliki izin yang benar untuk menandai cluster untuk Runtime Monitoring?

Untuk menandai cluster, Anda harus memiliki ecs:TagResource tindakan untuk keduanya CreateCluster danUpdateCluster.

Berikut ini adalah cuplikan dari contoh kebijakan.


{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "ecs:TagResource"
      ],
      "Resource": "*",
      "Condition": {
         "StringEquals": {
             "ecs:CreateAction" : "CreateCluster",
             "ecs:CreateAction" : "UpdateCluster",
          }
       }
    }
  ]
}

Apa yang terjadi ketika tidak ada koneksi Amazon ECR?

Untuk tugas Fargate, tugas dimulai tanpa wadah sespan agen GuardDuty keamanan. GuardDuty Dasbor akan menunjukkan bahwa tugas tersebut tidak memiliki perlindungan di dasbor statistik cakupan.

Bagaimana cara mengatasi kesalahan memori pada tugas Fargate saya setelah mengaktifkan Runtime Monitoring?

Agen GuardDuty keamanan adalah proses yang ringan. Namun, prosesnya masih mengkonsumsi sumber daya sesuai dengan ukuran beban kerja. Sebaiknya gunakan alat pelacak sumber daya kontainer, seperti Amazon CloudWatch Container Insights untuk mementaskan GuardDuty penerapan di klaster Anda. Alat-alat ini membantu Anda menemukan profil konsumsi agen GuardDuty keamanan untuk aplikasi Anda. Anda kemudian dapat menyesuaikan ukuran tugas Fargate Anda, jika diperlukan, untuk menghindari potensi keluar dari kondisi memori.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menghapus Runtime Monitoring dari akun

Pantau wadah Amazon ECS dengan ECS Exec