Risoluzione dei problemi di monitoraggio del runtime - Amazon Elastic Container Service
Come posso sapere se Runtime Monitoring è attivo sul mio account?Come posso sapere se il Runtime Monitoring è attivo su un cluster?Come posso sapere se il GuardDuty security agent sta eseguendo un'attività di Fargate?Come posso sapere se il GuardDuty security agent è in esecuzione su un'istanza del EC2 contenitore?Cosa succede quando non esiste un ruolo di esecuzione dell'attività per un'attività in esecuzione nel cluster?Come posso sapere se dispongo delle autorizzazioni corrette per etichettare i cluster per il Runtime Monitoring?Cosa succede in assenza di connessione Amazon ECR?Come posso risolvere gli errori di esaurimento della memoria nelle mie attività di Fargate dopo aver abilitato il Runtime Monitoring?

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi di monitoraggio del runtime

Potrebbe essere necessario risolvere i problemi o verificare che il Runtime Monitoring sia abilitato e in esecuzione sulle attività e sui contenitori.

Come posso sapere se Runtime Monitoring è attivo sul mio account?

Nella console Amazon ECS, le informazioni si trovano nella pagina Impostazioni account.

Puoi anche correre list-account-settings con l'effective-settingsopzione.

aws ecs list-account-settings --effective-settings

Output

L'impostazione con nome impostato guardDutyActivate e valore impostato su on indica che l'account è configurato. È necessario verificare con GuardDuty l'amministratore se la gestione è automatica o manuale.

{
    "setting": {
        "name": "guardDutyActivate",
        "value": "enabled",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type": "aws-managed"
    }
}

Come posso sapere se il Runtime Monitoring è attivo su un cluster?

Puoi rivedere le statistiche di copertura nella GuardDuty console. Ciò include le informazioni sulle risorse Amazon ECS associate al tuo account o i tuoi account membro sono la percentuale di cluster integri rispetto a tutti i cluster selezionati. Regione AWS Ciò include la copertura per i cluster che utilizzano Fargate EC2 e i tipi di lancio. Per ulteriori informazioni, consulta la sezione Revisione delle statistiche di copertura nella Amazon GuardDuty User Guide.

Come posso sapere se il GuardDuty security agent sta eseguendo un'attività di Fargate?

L'agente GuardDuty di sicurezza funge da contenitore secondario per le attività di Fargate.

Nella console Amazon ECS, il sidecar viene visualizzato in Contenitori nella pagina dei dettagli dell'attività.

Puoi eseguire describe-tasks e cercare il contenitore con un nome impostato su aws-gd-agent e lastStatus impostato su. RUNNING

L'esempio seguente mostra l'output per il cluster predefinito per l'attivitàaws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE.

aws ecs describe-tasks --cluster default --tasks aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE

Output

Il contenitore denominato gd-agent si trova nello RUNNING stato.

"containers": [ 
      {
        "containerArn": "arn:aws:ecs:us-east-1:123456789012:container/4df26bb4-f057-467b-a079-96167EXAMPLE", 
        "taskArn": "arn:aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE", 
        "lastStatus": "RUNNING",
        "healthStatus": "UNKNOWN",
        "memory": "string",
        "name": "aws-gd-agent" 
      }
    ]

Come posso sapere se il GuardDuty security agent è in esecuzione su un'istanza del EC2 contenitore?

Esegui il comando seguente per visualizzare lo stato:

sudo systemctl status amazon-guardduty-agent

Il file di registro si trova nella seguente posizione:

/var/log/amzn-guardduty-agent

Cosa succede quando non esiste un ruolo di esecuzione dell'attività per un'attività in esecuzione nel cluster?

Per le attività di Fargate, l'attività inizia senza il contenitore sidecar del GuardDuty Security Agent. La GuardDuty dashboard mostrerà che all'attività manca la protezione nella dashboard delle statistiche di copertura.

Come posso sapere se dispongo delle autorizzazioni corrette per etichettare i cluster per il Runtime Monitoring?

Per etichettare un cluster, è necessario disporre dell'ecs:TagResourceazione per entrambi CreateCluster e. UpdateCluster

Di seguito è riportato un frammento di una policy di esempio.

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "ecs:TagResource"
      ],
      "Resource": "*",
      "Condition": {
         "StringEquals": {
             "ecs:CreateAction" : "CreateCluster",
             "ecs:CreateAction" : "UpdateCluster",
          }
       }
    }
  ]
}

Cosa succede in assenza di connessione Amazon ECR?

Per le attività di Fargate, l'attività inizia senza il contenitore sidecar del GuardDuty Security Agent. La GuardDuty dashboard mostrerà che all'attività manca la protezione nella dashboard delle statistiche di copertura.

Come posso risolvere gli errori di esaurimento della memoria nelle mie attività di Fargate dopo aver abilitato il Runtime Monitoring?

Il GuardDuty security agent è un processo leggero. Tuttavia, il processo consuma ancora risorse in base alle dimensioni del carico di lavoro. Ti consigliamo di utilizzare strumenti di tracciamento delle risorse dei container, come Amazon CloudWatch Container Insights, per organizzare le GuardDuty distribuzioni nel cluster. Questi strumenti ti aiutano a scoprire il profilo di consumo del GuardDuty security agent per le tue applicazioni. È quindi possibile modificare le dimensioni dell'attività Fargate, se necessario, per evitare potenziali condizioni di esaurimento della memoria.