Risoluzione dei problemi di Monitoraggio del runtime - Amazon Elastic Container Service
Come posso sapere se Monitoraggio del runtime è attivo sul mio account?Come posso sapere se Monitoraggio del runtime è attivo su un cluster?Come posso sapere se il GuardDuty security agent sta eseguendo un'attività di Fargate?Come posso sapere se il GuardDuty security agent è in esecuzione su un'istanza di EC2 container?Cosa succede quando non esiste un ruolo di esecuzione dell'attività per un'attività in esecuzione sul cluster?Come posso sapere se dispongo delle autorizzazioni corrette per etichettare i cluster per il Monitoraggio del runtime?Cosa succede in assenza di connessione Amazon ECR?Come posso risolvere gli errori relativi alla memoria nelle mie attività di Fargate dopo aver abilitato il Monitoraggio del runtime?

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi di Monitoraggio del runtime

Potrebbe essere necessario risolvere i problemi o verificare che il Monitoraggio del runtime sia abilitato e in esecuzione sulle attività e sui container.

Come posso sapere se Monitoraggio del runtime è attivo sul mio account?

Nella console Amazon ECS, le informazioni si trovano nella pagina Impostazioni dell'account.

Inoltre, puoi eseguire list-account-settings con l'opzione effective-settings.

aws ecs list-account-settings --effective-settings

Output

Le impostazioni con nome su guardDutyActivate e valore su on indicano che l'account è configurato. Devi verificare con il tuo GuardDuty amministratore se la gestione è automatica o manuale.

{
    "setting": {
        "name": "guardDutyActivate",
        "value": "enabled",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type": "aws-managed"
    }
}

Come posso sapere se Monitoraggio del runtime è attivo su un cluster?

Puoi rivedere le statistiche di copertura nella GuardDuty console. Queste statistiche includono informazioni sulle risorse di Amazon ECS associate ai tuoi account o ai tuoi account membro e consistono nella percentuale dei cluster integri rispetto a tutti i cluster nella Regione AWS selezionata. Ciò include la copertura per i cluster che utilizzano EC2s Fargate e. Per ulteriori informazioni, consulta la sezione Revisione delle statistiche di copertura nella Amazon GuardDuty User Guide.

Come posso sapere se il GuardDuty security agent sta eseguendo un'attività di Fargate?

L'agente GuardDuty di sicurezza funge da contenitore secondario per le attività di Fargate.

Nella console Amazon ECS, il sidecar viene visualizzato in Container nella pagina dei Dettagli dell'attività.

Puoi eseguire describe-tasks e cercare il container con un nome impostato su aws-gd-agent e lastStatus impostato su RUNNING.

L'esempio seguente mostra l'output per il cluster predefinito per l'attività aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE.

aws ecs describe-tasks --cluster default --tasks aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE

Output

Il container denominato gd-agent si trova nello stato RUNNING.

"containers": [ 
      {
        "containerArn": "arn:aws:ecs:us-east-1:123456789012:container/4df26bb4-f057-467b-a079-96167EXAMPLE", 
        "taskArn": "arn:aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE", 
        "lastStatus": "RUNNING",
        "healthStatus": "UNKNOWN",
        "memory": "string",
        "name": "aws-gd-agent" 
      }
    ]

Come posso sapere se il GuardDuty security agent è in esecuzione su un'istanza di EC2 container?

Esegui il seguente comando per visualizzare lo stato:

sudo systemctl status amazon-guardduty-agent

Il file di log si trova nella seguente posizione: 

/var/log/amzn-guardduty-agent

Cosa succede quando non esiste un ruolo di esecuzione dell'attività per un'attività in esecuzione sul cluster?

Per le attività di Fargate, l'attività inizia senza il contenitore sidecar del GuardDuty Security Agent. La GuardDuty dashboard mostrerà che all'attività manca la protezione nella dashboard delle statistiche di copertura.

Come posso sapere se dispongo delle autorizzazioni corrette per etichettare i cluster per il Monitoraggio del runtime?

Per etichettare un cluster, è necessario disporre dell'operazione ecs:TagResource per CreateCluster e UpdateCluster.

Il seguente frammento è un esempio di policy:

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "ecs:TagResource"
      ],
      "Resource": "*",
      "Condition": {
         "StringEquals": {
             "ecs:CreateAction" : "CreateCluster",
             "ecs:CreateAction" : "UpdateCluster",
          }
       }
    }
  ]
}

Cosa succede in assenza di connessione Amazon ECR?

Per le attività di Fargate, l'attività inizia senza il contenitore sidecar del GuardDuty Security Agent. La GuardDuty dashboard mostrerà che all'attività manca la protezione nella dashboard delle statistiche di copertura.

Come posso risolvere gli errori relativi alla memoria nelle mie attività di Fargate dopo aver abilitato il Monitoraggio del runtime?

L'agente GuardDuty di sicurezza è un processo leggero. Tuttavia, il processo consuma ancora risorse in base alle dimensioni del carico di lavoro. Ti consigliamo di utilizzare strumenti di tracciamento delle risorse dei container, come Amazon CloudWatch Container Insights, per organizzare GuardDuty le distribuzioni nel cluster. Questi strumenti ti aiutano a scoprire il profilo di consumo del GuardDuty security agent per le tue applicazioni. Dopodiché, è possibile modificare le dimensioni dell'attività Fargate, se necessario, per evitare potenziali condizioni di esaurimento della memoria.