Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Runtime-Abdeckung und Fehlerbehebung für Amazon ECS-Cluster
<a name="gdu-assess-coverage-ecs"></a>

Die Laufzeitabdeckung für Amazon ECS-Cluster umfasst die Aufgaben, die auf AWS Fargate Amazon ECS-Container-Instances ausgeführt werden [1](#ecs-container-instance).

Für einen Amazon ECS-Cluster, der auf Fargate läuft, wird die Laufzeitabdeckung auf Aufgabenebene bewertet. Die Laufzeitabdeckung des ECS-Clusters umfasst die Fargate-Aufgaben, die gestartet wurden, nachdem Sie Runtime Monitoring und automatisierte Agentenkonfiguration für Fargate aktiviert haben (nur ECS). Standardmäßig ist eine Fargate-Aufgabe unveränderlich. GuardDuty kann den Security Agent nicht installieren, um Container bei bereits laufenden Aufgaben zu überwachen. Um eine solche Fargate-Aufgabe einzubeziehen, müssen Sie die Aufgabe beenden und erneut starten. Stellen Sie sicher, dass Sie überprüfen, ob der zugehörige Dienst unterstützt wird.

Informationen zum Amazon ECS-Container finden Sie unter [Kapazitätserstellung](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/create-capacity.html).

**Topics**
+ [Überprüfen der Abdeckungsstatistiken](#ecs-review-coverage-statistics-ecs-runtime-monitoring)
+ [Änderung des Deckungsstatus mit EventBridge Benachrichtigungen](#ecs-runtime-monitoring-coverage-status-change)
+ [Behebung von Problemen mit der Amazon ECS-Fargate-Runtime-Abdeckung](#ecs-runtime-monitoring-coverage-issues-troubleshoot)

## Überprüfen der Abdeckungsstatistiken
<a name="ecs-review-coverage-statistics-ecs-runtime-monitoring"></a>

Die Deckungsstatistik für die Amazon ECS-Ressourcen, die mit Ihrem eigenen Konto oder Ihren Mitgliedskonten verknüpft sind, ist der Prozentsatz der fehlerfreien Amazon ECS-Cluster im Vergleich zu allen Amazon ECS-Clustern in den ausgewählten AWS-Region. Dies beinhaltet die Abdeckung für Amazon ECS-Cluster, die sowohl mit Fargate- als auch mit Amazon EC2 EC2-Instances verknüpft sind. Die folgende Gleichung stellt dies wie folgt dar:

*(Fehlerfreie clusters/All Cluster) \$1100*

### Überlegungen
<a name="considerations-ecs-coverage-review-stats"></a>
+ Die Deckungsstatistiken für den ECS-Cluster beinhalten den Abdeckungsstatus der Fargate-Aufgaben oder ECS-Container-Instances, die diesem ECS-Cluster zugeordnet sind. Der Deckungsstatus der Fargate-Aufgaben umfasst Aufgaben, die sich entweder im Status Running befinden oder deren Ausführung vor Kurzem abgeschlossen wurde. 
+ Auf der Registerkarte **Runtime Coverage von ECS-Clustern** gibt das Feld **Abgedeckte Container-Instances** den Abdeckungsstatus der Container-Instances an, die mit Ihrem Amazon ECS-Cluster verknüpft sind. 

  Wenn Ihr Amazon ECS-Cluster nur Fargate-Aufgaben enthält, wird die Anzahl als **0/0** angezeigt.
+ Wenn Ihr Amazon ECS-Cluster mit einer Amazon EC2 EC2-Instance verknüpft ist, die keinen Sicherheitsagenten hat, hat der Amazon ECS-Cluster auch den Status **Unhealthy** Coverage.

  Informationen zur Identifizierung und Behebung des Deckungsproblems für die zugehörige Amazon EC2 EC2-Instance finden Sie unter [Behebung von Problemen mit der Amazon EC2 EC2-Runtime-Abdeckung](gdu-assess-coverage-ec2.md#ec2-runtime-monitoring-coverage-issues-troubleshoot) Amazon EC2 EC2-Instances.

Wählen Sie eine der Zugriffsmethoden, um die Abdeckungsstatistiken für Ihre Konten einzusehen.

------
#### [ Console ]
+ Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die GuardDuty Konsole unter. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
+ Wählen Sie im Navigationsbereich **Runtime Monitoring** aus.
+ Wählen Sie die Registerkarte **Runtime Coverage** aus.
+ Auf der Registerkarte **ECS-Cluster-Laufzeitabdeckung** können Sie die Deckungsstatistiken einsehen, die nach dem Abdeckungsstatus jedes Amazon ECS-Clusters aggregiert sind, der in der **Cluster-Listentabelle** verfügbar ist. 
  + Sie können die **Cluster-Listentabelle** nach den folgenden Spalten filtern:
    + **Konto-ID**
    + **Cluster-Name**
    + **Agentenverwaltungs-Typ**
    + **Abdeckungsstatus**
+ Wenn einer Ihrer Amazon ECS-Cluster den **Deckungsstatus** **Ungesund** hat, enthält die Spalte **Problem** zusätzliche Informationen über den Grund für den Status **Ungesund**.

  **Wenn Ihre Amazon ECS-Cluster mit einer Amazon EC2 EC2-Instance verknüpft sind, navigieren Sie zur Registerkarte **EC2-Instance-Laufzeitabdeckung** und filtern Sie nach dem Feld **Clustername**, um das zugehörige Problem anzuzeigen.**

------
#### [ API/CLI ]
+ Führen Sie die [ListCoverage](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListCoverage.html)API mit Ihrer eigenen gültigen Detektor-ID, Ihrer aktuellen Region und Ihrem Service-Endpunkt aus. Mit dieser API können Sie die Instanzliste filtern und sortieren.
  + Sie können das Beispiel `filter-criteria` ändern mit einer der folgenden Optionen für `CriterionKey`:
    + `ACCOUNT_ID`
    + `ECS_CLUSTER_NAME`
    + `COVERAGE_STATUS`
    + `MANAGEMENT_TYPE`
  + Sie können das Beispiel `AttributeName` in `sort-criteria` ändern mit einer der folgenden Optionen:
    + `ACCOUNT_ID`
    + `COVERAGE_STATUS`
    + `ISSUE`
    + `ECS_CLUSTER_NAME`
    + `UPDATED_AT`

      Das Feld wird nur aktualisiert, wenn entweder eine neue Aufgabe im zugehörigen Amazon ECS-Cluster erstellt wird oder wenn sich der entsprechende Deckungsstatus ändert.
  + Sie können den *max-results* (bis zu 50) ändern.
  + Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.

  ```
  aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "ECS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5
  ```
+ Führen Sie die [GetCoverageStatistics](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetCoverageStatistics.html)API aus, um aggregierte Statistiken zur Abdeckung abzurufen, die `statisticsType` auf dem basieren.
  + Sie können das Beispiel `statisticsType` zu einer der folgenden Optionen ändern:
    + `COUNT_BY_COVERAGE_STATUS`— Stellt Deckungsstatistiken für ECS-Cluster dar, die nach dem Abdeckungsstatus aggregiert sind.
    + `COUNT_BY_RESOURCE_TYPE`— Statistiken zur Abdeckung, aggregiert auf der Grundlage des AWS Ressourcentyps in der Liste.
    + Sie können das Beispiel `filter-criteria` im Befehl ändern. Sie können die folgenden Optionen für `CriterionKey` verwenden:
      + `ACCOUNT_ID`
      + `ECS_CLUSTER_NAME`
      + `COVERAGE_STATUS`
      + `MANAGEMENT_TYPE`
      + `INSTANCE_ID`
  + Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.

  ```
  aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
  ```

------

Weitere Informationen zu Deckungsproblemen finden Sie unter[Behebung von Problemen mit der Amazon ECS-Fargate-Runtime-Abdeckung](#ecs-runtime-monitoring-coverage-issues-troubleshoot).

## Änderung des Deckungsstatus mit EventBridge Benachrichtigungen
<a name="ecs-runtime-monitoring-coverage-status-change"></a>

Der Abdeckungsstatus Ihres Amazon ECS-Clusters wird möglicherweise als **Ungesund** angezeigt. Um zu wissen, wann sich der Deckungsstatus ändert, empfehlen wir Ihnen, den Deckungsstatus regelmäßig zu überwachen und Fehler zu beheben, falls der Status auf **Ungesund** umgestellt wird. **Alternativ können Sie eine EventBridge Amazon-Regel erstellen, um eine Benachrichtigung zu erhalten, wenn sich der Versicherungsstatus von „**Ungesund**“ in „Fehlerfrei“ oder anderweitig ändert.** GuardDuty Veröffentlicht dies standardmäßig im [EventBridge Bus](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) für Ihr Konto.

### Beispiel für ein Benachrichtigungsschema
<a name="ecs-gdu-coverage-status-eventbridge-schema"></a>

In einer EventBridge Regel können Sie die vordefinierten Beispielereignisse und Ereignismuster verwenden, um eine Benachrichtigung über den Versicherungsstatus zu erhalten. Weitere Informationen zum Erstellen einer EventBridge Regel finden Sie unter [Regel erstellen](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html#eb-gs-create-rule) im * EventBridge Amazon-Benutzerhandbuch*. 

Darüber hinaus können Sie mithilfe des folgenden Beispiel-Benachrichtigungsschemas ein benutzerdefiniertes Ereignismuster erstellen. Achten Sie darauf, die Werte für Ihr Konto zu ersetzen. Um benachrichtigt zu werden, wenn sich der Deckungsstatus Ihres Amazon ECS-Clusters von `Healthy` zu ändert`Unhealthy`, `detail-type` sollte dies der Fall sein*GuardDuty Runtime Protection Unhealthy*. Um benachrichtigt zu werden, wenn sich der Deckungsstatus von `Unhealthy` auf ändert`Healthy`, ersetzen Sie den Wert von `detail-type` durch*GuardDuty Runtime Protection Healthy*.

```
{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "AWS-Konto ID",
  "time": "event timestamp (string)",
  "region": "AWS-Region",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "ECS",
        "ecsClusterDetails": {
          "clusterName":"",
          "fargateDetails":{
            "issues":[],
            "managementType":""
          },
          "containerInstanceDetails":{
            "coveredContainerInstances":int,
            "compatibleContainerInstances":int
          }
        }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}
```

## Behebung von Problemen mit der Amazon ECS-Fargate-Runtime-Abdeckung
<a name="ecs-runtime-monitoring-coverage-issues-troubleshoot"></a>

Wenn der Abdeckungsstatus Ihres Amazon ECS-Clusters **fehlerhaft** ist, können Sie den Grund in der Spalte **Problem** einsehen. 

Die folgende Tabelle enthält die empfohlenen Schritte zur Fehlerbehebung bei Fargate-Problemen (nur Amazon ECS). Informationen zu Problemen mit der Abdeckung von Amazon EC2 EC2-Instances finden Sie unter [Behebung von Problemen mit der Amazon EC2 EC2-Runtime-Abdeckung](gdu-assess-coverage-ec2.md#ec2-runtime-monitoring-coverage-issues-troubleshoot) Für Amazon EC2 EC2-Instances.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/gdu-assess-coverage-ecs.html)