EC2 Tumpukan Instance | Kumpulkan Informasi Log4j - Referensi Jenis Perubahan Lanjutan AMS
Ubah Detail JenisInformasi tambahanParameter Input EksekusiContoh: Parameter yang DiperlukanContoh: Semua Parameter

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

EC2 Tumpukan Instance | Kumpulkan Informasi Log4j

Menghasilkan laporan yang mengidentifikasi kejadian Log4j2 pada instance yang ditentukan. EC2 Ini adalah laporan upaya terbaik dan beberapa kejadian mungkin tidak terdeteksi dari laporan.

Klasifikasi lengkap: Manajemen | Komponen tumpukan tingkat lanjut | tumpukan EC2 instance | Kumpulkan informasi log4j

Ubah Detail Jenis

Ubah tipe ID

ct-19f40lfm5umy8

Versi saat ini

2.0

Durasi eksekusi yang diharapkan

360 menit

Persetujuan AWS

Wajib

Persetujuan pelanggan

Tidak diperlukan

Mode eksekusi

Otomatis

Informasi tambahan

Perbarui Lainnya Lainnya CTs

Berikut ini menunjukkan jenis perubahan ini di konsol AMS.

Information panel for Gather Log4j Information task, showing ID, execution mode, and description.

Cara kerjanya:

  1. Arahkan ke halaman Buat RFC: Di panel navigasi kiri konsol AMS klik RFCsuntuk membuka halaman RFCs daftar, lalu klik Buat RFC.

  2. Pilih jenis perubahan populer (CT) di tampilan default Jelajahi jenis perubahan, atau pilih CT dalam tampilan Pilih menurut kategori.

    • Jelajahi berdasarkan jenis perubahan: Anda dapat mengklik CT populer di area Buat cepat untuk segera membuka halaman Jalankan RFC. Perhatikan bahwa Anda tidak dapat memilih versi CT yang lebih lama dengan pembuatan cepat.

      Untuk mengurutkan CTs, gunakan area Semua jenis perubahan dalam tampilan Kartu atau Tabel. Di kedua tampilan, pilih CT dan kemudian klik Buat RFC untuk membuka halaman Jalankan RFC. Jika berlaku, opsi Buat dengan versi yang lebih lama muncul di sebelah tombol Buat RFC.

    • Pilih berdasarkan kategori: Pilih kategori, subkategori, item, dan operasi dan kotak detail CT terbuka dengan opsi untuk Membuat dengan versi yang lebih lama jika berlaku. Klik Buat RFC untuk membuka halaman Jalankan RFC.

  3. Pada halaman Jalankan RFC, buka area nama CT untuk melihat kotak detail CT. Subjek diperlukan (ini diisi untuk Anda jika Anda memilih CT Anda di tampilan jenis perubahan Jelajahi). Buka area konfigurasi tambahan untuk menambahkan informasi tentang RFC.

    Di area konfigurasi Eksekusi, gunakan daftar drop-down yang tersedia atau masukkan nilai untuk parameter yang diperlukan. Untuk mengkonfigurasi parameter eksekusi opsional, buka area konfigurasi tambahan.

  4. Setelah selesai, klik Jalankan. Jika tidak ada kesalahan, halaman RFC berhasil dibuat ditampilkan dengan detail RFC yang dikirimkan, dan output Run awal.

  5. Buka area parameter Jalankan untuk melihat konfigurasi yang Anda kirimkan. Segarkan halaman untuk memperbarui status eksekusi RFC. Secara opsional, batalkan RFC atau buat salinannya dengan opsi di bagian atas halaman.

Cara kerjanya:

  1. Gunakan Inline Create (Anda mengeluarkan create-rfc perintah dengan semua RFC dan parameter eksekusi disertakan), atau Template Create (Anda membuat dua file JSON, satu untuk parameter RFC dan satu untuk parameter eksekusi) dan mengeluarkan create-rfc perintah dengan dua file sebagai input. Kedua metode tersebut dijelaskan di sini.

  2. Kirim aws amscm submit-rfc --rfc-id ID perintah RFC: dengan ID RFC yang dikembalikan.

    Pantau aws amscm get-rfc --rfc-id ID perintah RFC:.

Untuk memeriksa versi jenis perubahan, gunakan perintah ini:

aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
catatan

Anda dapat menggunakan CreateRfc parameter apa pun dengan RFC apa pun apakah itu bagian dari skema untuk jenis perubahan atau tidak. Misalnya, untuk mendapatkan pemberitahuan ketika status RFC berubah, tambahkan baris ini, --notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}" ke bagian parameter RFC dari permintaan (bukan parameter eksekusi). Untuk daftar semua CreateRfc parameter, lihat Referensi AMS Change Management API.

BUAT SEBARIS:

Keluarkan perintah create RFC dengan parameter eksekusi yang disediakan sebaris (tanda kutip escape saat memberikan parameter eksekusi sebaris), lalu kirimkan ID RFC yang dikembalikan. Misalnya, Anda dapat mengganti konten dengan sesuatu seperti ini:

Versi 2.0:

Pindai semua instance:

aws amscm create-rfc --change-type-id "ct-19f40lfm5umy8" --change-type-version "2.0" --title "Log4j Investigation" --execution-parameters "{\"DocumentName\":\"AWSManagedServices-GatherLog4jInformation\",\"Region\":\"us-east-1\",\"Parameters\":{\"S3Bucket\":[\"s3://BUCKET_NAME\"]},\"TargetParameterName\": \"InstanceId\",\"Targets\": [{\"Key\": \"AWS::EC2::Instance\",\"Values\": [\"*\"]}],\"MaxConcurrency\": \"10\",\"MaxErrors\": \"100%\"}"

Memindai daftar instance:

aws amscm create-rfc --change-type-id "ct-19f40lfm5umy8" --change-type-version "2.0" --title "Log4j Investigation" --execution-parameters "{\"DocumentName\":\"AWSManagedServices-GatherLog4jInformation\",\"Region\":\"us-east-1\",\"Parameters\":{\"S3Bucket\":[\"s3://BUCKET_NAME\"]},\"TargetParameterName\": \"InstanceId\",\"Targets\": [{\"Key\": \"ParameterValues\",\"Values\": [\"INSTANCE_ID_1\",\"INSTANCE_ID_2\",\"INSTANCE_ID_3\",\"INSTANCE_ID_4\",\"INSTANCE_ID_5\"]}],\"MaxConcurrency\": \"10\",\"MaxErrors\": \"100%\"}"

TEMPLATE MEMBUAT:

  1. Output parameter eksekusi untuk jenis perubahan ini ke file JSON; contoh ini menamainya GatherLog 4 jInfoParams .json:

    aws amscm get-change-type-version --change-type-id "ct-19f40lfm5umy8" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > GatherLog4jInfoParams.json

  2. Ubah dan simpan jInfoParams file GatherLog 4, hanya mempertahankan parameter yang ingin Anda ubah. Misalnya, Anda dapat mengganti konten dengan sesuatu seperti ini:

    Versi 2.0:

    Pindai semua instance:

    {
  "DocumentName": "AWSManagedServices-GatherLog4jInformation",
  "Region": "us-east-1",
  "Parameters": {
    "S3Bucket": [
      "s3://BUCKET_NAME"
    ]
  },
  "TargetParameterName": "InstanceId",
  "Targets": [
    {
      "Key": "AWS::EC2::Instance",
      "Values": [
        "*"
      ]
    }
  ],
  "MaxConcurrency": "10",
  "MaxErrors": "100%"
}

    Memindai daftar instance:

    {
  "DocumentName": "AWSManagedServices-GatherLog4jInformation",
  "Region": "us-east-1",
  "Parameters": {
    "S3Bucket": [
      "s3://BUCKET_NAME"
    ]
  },
  "TargetParameterName": "InstanceId",
  "Targets": [
    {
      "Key": "ParameterValues",
      "Values": [
        "INSTANCE_ID_1",
        "INSTANCE_ID_2",
        "INSTANCE_ID_3",
        "INSTANCE_ID_4",
        "INSTANCE_ID_5"
      ]
    }
  ],
  "MaxConcurrency": "10",
  "MaxErrors": "100%"
}

  3. Keluarkan template RFC ke file di folder Anda saat ini; contoh ini menamainya GatherLog 4 jInfoRfc .json:

    aws amscm create-rfc --generate-cli-skeleton > GatherLog4jInfoRfc.json

  4. Ubah dan simpan file GatherLog jInfoRfc 4.json. Misalnya, Anda dapat mengganti konten dengan sesuatu seperti ini:

    {
"ChangeTypeVersion":    "2.0",
"ChangeTypeId":         "ct-19f40lfm5umy8",
"Title":                "Log4j Investigation"
}

  5. Buat RFC, tentukan jInfoRfc file GatherLog 4 dan file GatherLog 4jInfoParams :

    aws amscm create-rfc --cli-input-json file://GatherLog4jInfoRfc.json  --execution-parameters file://GatherLog4jInfoParams.json

Jenis perubahan ini memindai EC2 instance tertentu untuk paket yang berisi versi terpengaruh dari kelas Apache Log4j Java. Fungsionalitas ini menghasilkan laporan upaya terbaik, beberapa kejadian mungkin tidak terdeteksi atau salah diidentifikasi.

AWS CloudShell adalah shell berbasis browser yang memudahkan pengelolaan, penjelajahan, dan interaksi dengan aman dengan sumber daya AWS Anda. AWS CloudShell telah diautentikasi sebelumnya dengan kredensi konsol Anda saat Anda masuk. Alat pengembangan dan operasi umum sudah diinstal sebelumnya, sehingga tidak diperlukan instalasi atau konfigurasi lokal. Dengan AWS CloudShell, Anda dapat dengan cepat menjalankan skrip dengan AWS Command Line Interface (AWS CLI), bereksperimen dengan layanan AWS menggunakan APIs AWS SDKs, atau menggunakan berbagai alat lain agar produktif. Anda dapat menggunakan AWS CloudShell langsung dari browser Anda tanpa biaya tambahan.

catatan

Anda dapat menggunakan konsol CloudShell AWS dari AWS Region lain, atau terdekat, yang tersedia, untuk melakukan agregasi. Misalnya, untuk melakukan agregasi data yang disimpan di wilayah Virginia, buka Wilayah AWS “US East (Virginia) us-east-1" di AWS Console dan ikuti instruksi yang diberikan selanjutnya. CloudShell

Data laporan mencakup informasi tentang Java Archives (JAR Files), ditemukan dalam lingkungan tertentu yang berisi JndiLookup kelas rentan. AMS merekomendasikan untuk meningkatkan pustaka yang terkena dampak ke versi terbaru yang tersedia, yang dapat diunduh langsung dari Apache di Unduh Apache Log4j 2. Selain itu, kami memindai Web Application Resource (WAR), Enterprise Archive (EAR), Jupiter Encrypted XML( JPI), Hemera Technologies (HPI), dan file ZIP.

Untuk menggabungkan semua file CSV yang dihasilkan dan membuat satu laporan dengan AWS: CloudShell

  1. Dari halaman atau Wilayah AWS mana pun di AWS Management Console, buka AWS CloudShell untuk menjalankan skrip yang ditampilkan berikutnya. Pastikan Anda masuk ke AWS Management Console dengan AWSManaged ServicesReadOnlyRole peran tersebut.

    # Specify the S3 bucket and AWS region that contains the individual CSV files:
BUCKET_NAME="YOUR BUCKET HERE"
BUCKET_REGION="THE BUCKET REGION HERE"

# Aggregate the CSV files:
mkdir -p log4j-report
aws s3 cp s3://$BUCKET_NAME/ams/log4j-scan/ ./log4j-report --recursive --include "*.csv"
echo "aws_account_id,region,scan_time,instance_id,scan_type,location" > log4j-report/report.csv
for i in `find log4j-report -type f \( -iname "*.csv" ! -iname "report.csv" \)`; do awk 'FNR > 1' $i >> log4j-report/report.csv; done

# Upload the report to the same S3 bucket:
file_name="report_$(date -d "today" +"%Y%m%d%H%M").csv"
aws s3 cp log4j-report/report.csv s3://$BUCKET_NAME/ams/log4j-reports/$file_name

# Open the following URL and select \"Download\" to download the report:
echo "Report uploaded to: https://s3.console.aws.amazon.com/s3/object/$BUCKET_NAME?region=$BUCKET_REGION&prefix=ams/log4j-reports/$file_name"

    Skrip mengeluarkan URL S3 untuk mengunduh laporan.

  2. Salin dan buka URL lalu pilih Unduh

Zona Pendaratan Akun Tunggal: Menggunakan laporan

Jika Anda bekerja di landing zone satu akun, CloudShell layanan AWS tidak tersedia. Namun, Anda masih dapat memanfaatkan AWS CLI untuk melakukan langkah-langkah yang diperlukan. Ikuti dokumentasi ini, Bagaimana cara memberi pengguna Active Directory saya akses ke API atau AWS CLI dengan AD FS? , untuk mengonfigurasi Akses API CLI melalui Layanan Federasi Direktori Aktif (ADFS) menggunakan Peran IAM. Untuk implementasi penyedia identitas non-ADFS (IDP), kunjungi Cara Menerapkan Solusi Umum untuk Akses Federasi API/CLI Menggunakan SAMP 2.0. Dengan menggunakan opsi di atas, dapatkan CLI CLI untuk peran yang diinginkan, peran default yang direkomendasikan adalah. Customer_ReadOnly_Role Kemudian jalankan skrip di Langkah 1 untuk menghasilkan laporan CSV yang diperlukan.

Cara membaca laporan

Laporan tersebut berisi kolom berikut:

  • scan_time: Waktu di mana pemindaian instance dilakukan

  • instance_id: ID contoh EC2

  • scan_type: Jenis pemindaian yang dilakukan. Misalnya, jika pemindaian dilihat dalam informasi memori, scan_type akan MEMORY. Jika sistem berkas dicentang, scan_type akan menjadi FILESYSTEM

  • lokasi: Jalan menuju pertandingan

Parameter Input Eksekusi

Untuk informasi rinci tentang parameter input eksekusi, lihatSkema untuk Ubah Tipe ct-19f40lfm5umy8.

Contoh: Parameter yang Diperlukan

Example not available.

Contoh: Semua Parameter

{
  "DocumentName": "AWSManagedServices-GatherLog4jInformation",
  "Region": "us-east-1",
  "Parameters": {
    "S3Bucket": [
      "s3://test"
    ]
  },
  "TargetParameterName": "InstanceId",
  "Targets": [
    {
      "Key": "ParameterValues",
      "Values": [
        "i-1234567890abcdef0",
        "i-1234567890abcdef1",
        "i-1234567890abcdef2",
        "i-1234567890abcdef3",
        "i-1234567890abcdef4"
      ]
    }
  ],
  "MaxConcurrency": "10",
  "MaxErrors": "100%"
}