本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon EC2 執行個體的執行期涵蓋範圍和疑難排解
對於 Amazon EC2 資源,執行期涵蓋範圍會在執行個體層級進行評估。您的 Amazon EC2 執行個體可以在環境中 AWS 執行多種類型的應用程式和工作負載。此功能也支援 Amazon ECS 受管 Amazon EC2 執行個體,如果您在 Amazon EC2 執行個體上執行 Amazon ECS 叢集,執行個體層級的涵蓋範圍問題會顯示在 Amazon EC2 執行期涵蓋範圍內。
檢閱涵蓋範圍統計資料
與您自己的 帳戶或成員帳戶相關聯的 Amazon EC2 執行個體涵蓋範圍統計資料,是所選 中所有 EC2 執行個體上運作狀態良好的 EC2 執行個體百分比 AWS 區域。可以用下列方程式將此表示為:
(運作狀態良好的執行個體/所有執行個體)*100
如果您也已為 Amazon ECS 叢集部署 GuardDuty 安全代理程式,則與在 Amazon EC2 執行個體上執行的 Amazon ECS 叢集相關的任何執行個體層級涵蓋範圍問題都會顯示為 Amazon EC2 執行個體執行期涵蓋範圍問題。
選擇其中一種存取方法來檢閱您帳戶的涵蓋範圍統計資料。
如果 EC2 執行個體的涵蓋範圍狀態不良,請參閱 對 Amazon EC2 執行期涵蓋範圍問題進行故障診斷。
使用 EventBridge 通知變更涵蓋範圍狀態
Amazon EC2 執行個體的涵蓋範圍狀態可能顯示為運作狀態不佳。若要了解涵蓋範圍狀態何時變更,建議您定期監控涵蓋範圍狀態,並在狀態變成運作狀態不佳時進行故障診斷。或者,您可以建立 Amazon EventBridge 規則,以在涵蓋範圍狀態從運作狀態不佳變更為正常運作或其他狀態時收到通知。GuardDuty 預設在您帳戶的EventBridge 匯流排中發布此通知。
範例通知結構描述
在 EventBridge 規則中,您可以使用預先定義的範例事件和事件模式來接收涵蓋範圍狀態通知。如需有關建立 EventBridge 規則的詳細資訊,請參閱《Amazon EventBridge 使用者指南》中的建立規則。
此外,您可以使用下列範例通知結構描述來建立自訂事件模式。請務必替換您帳戶的值。若要在 Amazon EC2 執行個體的涵蓋範圍狀態從 變更為 Healthy
時收到通知Unhealthy
, detail-type
應該是 GuardDuty Runtime Protection Unhealthy
。若要在涵蓋範圍狀態從 Unhealthy
變更成 Healthy
時收到通知,請使用 GuardDuty 執行期監控運作狀態不良
取代 detail-type
的值。
{ "version": "0", "id": "event ID", "detail-type": "GuardDuty Runtime Protection Unhealthy", "source": "aws.guardduty", "account": "AWS 帳戶 ID", "time": "event timestamp (string)", "region": "AWS 區域", "resources": [ ], "detail": { "schemaVersion": "1.0", "resourceAccountId": "string", "currentStatus": "string", "previousStatus": "string", "resourceDetails": { "resourceType": "EC2", "ec2InstanceDetails": { "instanceId":"", "instanceType":"", "clusterArn": "", "agentDetails": { "version":"" }, "managementType":"" } }, "issue": "string", "lastUpdatedAt": "timestamp" } }
對 Amazon EC2 執行期涵蓋範圍問題進行故障診斷
如果 Amazon EC2 執行個體的涵蓋範圍狀態為狀況不良,您可以在問題欄下檢視原因。
如果您的 EC2 執行個體與 EKS 叢集相關聯,且 EKS 的安全代理程式是手動或透過自動代理程式組態安裝,則若要疑難排解涵蓋範圍問題,請參閱 Amazon EKS 叢集的執行期涵蓋範圍和疑難排解。
下表列出問題類型和對應的故障診斷步驟。
問題類型 | 問題訊息 | 疑難排解步驟 |
---|---|---|
無客服人員報告 |
等待 SSM 通知 |
接收 SSM 通知可能需要幾分鐘的時間。 確定 Amazon EC2 執行個體受 SSM 管理。如需詳細資訊,請參閱 中方法 1 - 使用 AWS Systems Manager 的步驟手動安裝安全代理程式。 |
(空白) |
如果您手動管理 GuardDuty 安全代理程式,請務必遵循 下的步驟手動管理 Amazon EC2 資源的安全代理程式。 |
|
如果您已啟用自動代理程式組態:
|
||
驗證 Amazon EC2 執行個體的 VPC 端點是否已正確設定。如需詳細資訊,請參閱驗證 VPC 端點組態。 |
||
如果您的組織有服務控制政策 (SCP),請確認許可界限未限制 |
||
客服人員中斷連線 |
|
|
未佈建代理程式 |
具有排除標籤的執行個體會從執行期監控中排除。 |
GuardDuty 不會從使用排除標籤 若要從此 Amazon EC2 執行個體接收執行期事件,請移除排除標籤。 |
核心版本低於支援的版本。 |
如需跨作業系統分佈支援的核心版本的相關資訊,請參閱 驗證架構需求 for Amazon EC2 執行個體。 |
|
核心版本高於支援的版本。 |
如需跨作業系統分佈支援的核心版本的相關資訊,請參閱 驗證架構需求 for Amazon EC2 執行個體。 |
|
無法擷取執行個體身分文件。 |
請遵循下列步驟:
|
|
SSM 關聯建立失敗 |
您的帳戶中已存在 GuardDuty SSM 關聯 |
|
您的帳戶有太多 SSM 關聯 |
選擇下列兩個選項之一:
|
|
SSM 關聯更新失敗 |
GuardDuty SSM 關聯不存在於您的帳戶 |
您的帳戶中不存在 GuardDuty SSM 關聯。停用再重新啟用執行期監控。 |
SSM 關聯刪除失敗 |
GuardDuty SSM 關聯不存在於您的帳戶 |
您的帳戶中不存在 SSM 關聯。如果刻意刪除 SSM 關聯,則不需要採取任何動作。 |
SSM 執行個體關聯執行失敗 |
不符合架構要求或其他先決條件。 |
如需已驗證作業系統分佈的相關資訊,請參閱 Amazon EC2 執行個體支援的先決條件。 如果您仍然遇到此問題,下列步驟將協助您識別並可能解決問題:
|
VPC 端點建立失敗 |
共用 VPC |
執行期監控支援在組織內使用共用 VPC。如需詳細資訊,請參閱搭配執行期監控使用共用 VPC。 |
只有在搭配自動代理程式組態使用共用 VPC 時 共用 VPC |
共用 VPC 擁有者帳戶必須至少為一種資源類型 (Amazon EKS 或 Amazon ECS (AWS Fargate)) 啟用執行期監控和自動代理程式組態。如需詳細資訊,請參閱GuardDuty 執行期監控的特定先決條件。 | |
啟用私有 DNS 需要 |
請確保將下列 VPC 屬性設定為 如果您造訪 https://console.aws.amazon.com/vpc/ |
|
共用 VPC 端點刪除失敗 |
帳戶 ID |
可能的步驟:
|
客服人員未報告 |
(空白) |
問題類型已結束支援。如果您繼續遇到此問題,但尚未遇到此問題,請為 Amazon EC2 啟用 GuardDuty 自動化代理程式。 如果問題仍然存在,請考慮停用執行期監控幾分鐘,然後再次啟用它。 |