使用 Log4j SSM 文档来发现 Accelerate 中出现的情况 - AMS 加速用户指南

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Log4j SSM 文档来发现 Accelerate 中出现的情况

Log4j AWS Systems Manager 文档(SSM 文档)可帮助您在摄取的工作负载中搜索 Apache Log4j2 库。自动化文档提供了 Log4j2 库处于活动状态的 Java 应用程序的进程 ID 的报告。

该报告包含有关在包含该 JndiLookup 类的指定环境中找到的 Java 档案(JAR 文件)的信息。最佳做法是将发现的库升级到最新的可用版本。此升级可缓解通过 CVE-2021-44228 识别的远程代码执行 (RCE)。从 Apache 下载最新版本的 Log4j 库。有关更多信息,请参阅下载 Apache Log4j 2

该文档已共享给所有已加入加速的区域。要访问该文档,请完成以下步骤:

  1. 打开 AWS Systems Manager 控制台,网址为https://console.aws.amazon.com/systems-manager/

  2. 在导航窗格中,选择文档

  3. 选择 “与我共享”。

  4. 在搜索框中,输入 AWSManagedServices-GatherLog4j Information。

  5. 使用速率控制大规模运行文档。

AWSManagedServices-GatherLog4jInformation 文档收集了以下参数:

  • InstanceId:(必填)您的 EC2 实例的 ID。

  • S3Bucket:(可选)要将结果上传到的 S3 预签名 URL 或 S3 URI (s3://BUCKET_NAME)。

  • AutomationAssumeRole:(必填)允许自动机代表您执行操作的角色的 ARN。

最好使用速率控制来运行此文档。您可以将速率控制参数设置为 InstanceId,然后为其分配实例列表,或者应用标签键组合来定位具有特定标签的所有 EC2 实例。AWS Managed Services 还建议您提供一个亚马逊简单存储服务 (Amazon S3) 存储桶来上传结果,以便您可以根据存储在 S3 中的数据生成报告。有关如何在 S3 中聚合结果的示例,请参阅EC2 实例堆栈 | 收集 Log4j 信息。

如果您无法升级软件包,请遵循使用 AWS 安全服务防御、检测和响应 Log4j 漏洞 AWS 的安全性中概述的指导方针。要通过删除 JndiLookup 类功能来缓解漏洞,请与 Java 应用程序内联运行 Log4j 热补丁。有关热补丁的更多信息,请参阅适用于 Apache Log4j 的热补丁

有关自动化的输出或如何继续采取其他缓解措施的问题,请提交服务请求。