Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Cobertura y solución de problemas en tiempo de ejecución para clústeres de Amazon ECS
<a name="gdu-assess-coverage-ecs"></a>

La cobertura de tiempo de ejecución de los clústeres de Amazon ECS incluye las tareas que se ejecutan en AWS Fargate las instancias de contenedores de Amazon ECS [1](#ecs-container-instance).

Si se trata de un clúster de Amazon ECS que se ejecuta en Fargate, la cobertura en tiempo de ejecución se evalúa a nivel de tarea. La cobertura en tiempo de ejecución de los clústeres de ECS incluye las tareas de Fargate que se han comenzado a ejecutar después de habilitar la Supervisión en tiempo de ejecución y la configuración automatizada del agente para Fargate (solo ECS). De forma predeterminada, las tareas de Fargate son inmutables. GuardDuty no podrá instalar el agente de seguridad para supervisar los contenedores en las tareas que ya estén en ejecución. Para incluir una tarea de Fargate de este tipo, debe detener e iniciar de nuevo la tarea. Asegúrese de verificar si el servicio asociado es compatible.

Para obtener información sobre el contenedor de Amazon ECS, consulte [Creación de capacidad](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/create-capacity.html).

**Topics**
+ [Revisión de las estadísticas de cobertura](#ecs-review-coverage-statistics-ecs-runtime-monitoring)
+ [El estado de la cobertura cambia con EventBridge notificaciones](#ecs-runtime-monitoring-coverage-status-change)
+ [Resolución de problemas de cobertura en tiempo de ejecución de Amazon ECS-Fargate](#ecs-runtime-monitoring-coverage-issues-troubleshoot)

## Revisión de las estadísticas de cobertura
<a name="ecs-review-coverage-statistics-ecs-runtime-monitoring"></a>

Las estadísticas de cobertura correspondientes a los recursos de Amazon ECS asociados a la cuenta propia o a las cuentas de miembro representan el porcentaje de los clústeres de Amazon ECS en buen estado sobre todos los clústeres de Amazon ECS en la Región de AWS seleccionada. Esto incluye la cobertura para clústeres de Amazon ECS asociados tanto a instancias de Fargate como de Amazon EC2. La siguiente ecuación lo representa de la siguiente manera:

*( clusters/All Clústeres en buen estado) \$1100*

### Consideraciones
<a name="considerations-ecs-coverage-review-stats"></a>
+ Las estadísticas de cobertura correspondientes al clúster de ECS incluyen el estado de cobertura de las tareas de Fargate o las instancias de contenedor de ECS asociadas a ese clúster de ECS. El estado de cobertura de las tareas de Fargate incluye tareas que están en estado de ejecución o que han terminado de ejecutarse recientemente. 
+ En la pestaña **Cobertura en tiempo de ejecución de clústeres de ECS**, el campo **Instancias de contenedor cubiertas** indica el estado de cobertura de las instancias de contenedor asociadas al clúster de Amazon ECS. 

  Si el clúster de Amazon ECS solo contiene tareas de Fargate, el recuento aparece como **0/0**.
+ Si el clúster de Amazon ECS está asociado a una instancia de Amazon EC2 que no cuenta con un agente de seguridad, la cobertura del clúster de Amazon ECS también estará en **mal** estado.

  Para identificar y solucionar el problema de cobertura correspondiente a la instancia de Amazon EC2 asociada, consulte [Resolución de problemas de cobertura en tiempo de ejecución de Amazon EC2](gdu-assess-coverage-ec2.md#ec2-runtime-monitoring-coverage-issues-troubleshoot) para instancias de Amazon EC2.

Elija uno de los métodos de acceso para revisar las estadísticas de cobertura de sus cuentas.

------
#### [ Console ]
+ Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
+ En el panel de navegación, elija **Supervisión en tiempo de ejecución**.
+ Elija la pestaña **Cobertura en tiempo de ejecución**.
+ En la pestaña **Cobertura en tiempo de ejecución de clústeres de ECS**, puede ver las estadísticas de cobertura agregadas por el estado de cobertura de cada clúster de Amazon ECS que esté disponible en la tabla **Lista de clústeres**. 
  + Puede filtrar la tabla **Lista de clústeres** por las siguientes columnas:
    + **ID de cuenta**
    + **Nombre del clúster**
    + **Tipo de administración del agente**
    + **Estado de la cobertura**
+ Si la **cobertura** de alguno de los clústeres de Amazon ECS está en **mal** estado, la columna **Problema** incluye información adicional sobre el motivo del **mal** estado.

  Si los clústeres de Amazon ECS están asociados a una instancia de Amazon EC2, vaya a la pestaña **Cobertura en tiempo de ejecución de la instancia de EC2** y filtre por el campo **Nombre del clúster** para ver el **problema** asociado.

------
#### [ API/CLI ]
+ Ejecute la [ListCoverage](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListCoverage.html)API con su propio ID de detector válido, la región actual y el punto de conexión del servicio. Puede filtrar y ordenar la lista de instancias a través de esta API.
  + Puede cambiar el ejemplo de `filter-criteria` con una de las siguientes opciones para `CriterionKey`:
    + `ACCOUNT_ID`
    + `ECS_CLUSTER_NAME`
    + `COVERAGE_STATUS`
    + `MANAGEMENT_TYPE`
  + Puede cambiar el ejemplo de `AttributeName` en `sort-criteria` con las siguientes opciones:
    + `ACCOUNT_ID`
    + `COVERAGE_STATUS`
    + `ISSUE`
    + `ECS_CLUSTER_NAME`
    + `UPDATED_AT`

      El campo se actualiza únicamente cuando se crea una nueva tarea en el clúster de Amazon ECS asociado o se produce un cambio en el estado de cobertura correspondiente.
  + Puede cambiar el *max-results* (hasta 50).
  + Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

  ```
  aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "ECS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5
  ```
+ Ejecute la [GetCoverageStatistics](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetCoverageStatistics.html)API para recuperar las estadísticas agregadas de cobertura en función de`statisticsType`.
  + Puede cambiar el ejemplo de `statisticsType` a una de las siguientes opciones:
    + `COUNT_BY_COVERAGE_STATUS`: representa las estadísticas de cobertura de los clústeres de ECS agregadas por estado de cobertura.
    + `COUNT_BY_RESOURCE_TYPE`— Estadísticas de cobertura agregadas en función del tipo de AWS recurso de la lista.
    + Puede cambiar el ejemplo de `filter-criteria` en el comando. Puede usar las siguientes opciones para `CriterionKey`:
      + `ACCOUNT_ID`
      + `ECS_CLUSTER_NAME`
      + `COVERAGE_STATUS`
      + `MANAGEMENT_TYPE`
      + `INSTANCE_ID`
  + Para encontrar las `detectorId` correspondientes a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

  ```
  aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
  ```

------

Para obtener más información sobre los problemas de cobertura, consulte [Resolución de problemas de cobertura en tiempo de ejecución de Amazon ECS-Fargate](#ecs-runtime-monitoring-coverage-issues-troubleshoot).

## El estado de la cobertura cambia con EventBridge notificaciones
<a name="ecs-runtime-monitoring-coverage-status-change"></a>

Es posible que el estado de cobertura del clúster de Amazon ECS aparezca como **En mal estado**. Para mantenerse informado sobre los cambios en el estado de la cobertura, recomendamos supervisar periódicamente su estado y solucionar cualquier problema si esta se encuentra en **mal** estado. Como alternativa, puedes crear una EventBridge regla de Amazon para recibir una notificación cuando el estado de la cobertura cambie de **Insalubre** a **Saludable** o no. De forma predeterminada, la GuardDuty publica en el [EventBridge bus](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) de tu cuenta.

### Ejemplo de esquema de notificaciones
<a name="ecs-gdu-coverage-status-eventbridge-schema"></a>

Como EventBridge regla general, puede utilizar los ejemplos de eventos y patrones de eventos predefinidos para recibir la notificación del estado de la cobertura. Para obtener más información sobre cómo crear una EventBridge regla, consulta [Crear regla](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html#eb-gs-create-rule) en la *Guía del EventBridge usuario de Amazon*. 

Además, puede crear un patrón de eventos personalizado mediante el siguiente ejemplo de esquema de notificaciones. Asegúrese de sustituir los valores de su cuenta. Para recibir una notificación cuando el estado de cobertura de su clúster de Amazon ECS cambie de `Healthy` a`Unhealthy`, `detail-type` debería ser así*GuardDuty Runtime Protection Unhealthy*. Para recibir una notificación cuando el estado de la cobertura cambie de `Unhealthy` a`Healthy`, sustituya el valor `detail-type` de por*GuardDuty Runtime Protection Healthy*.

```
{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Cuenta de AWS ID",
  "time": "event timestamp (string)",
  "region": "Región de AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "ECS",
        "ecsClusterDetails": {
          "clusterName":"",
          "fargateDetails":{
            "issues":[],
            "managementType":""
          },
          "containerInstanceDetails":{
            "coveredContainerInstances":int,
            "compatibleContainerInstances":int
          }
        }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}
```

## Resolución de problemas de cobertura en tiempo de ejecución de Amazon ECS-Fargate
<a name="ecs-runtime-monitoring-coverage-issues-troubleshoot"></a>

Si la cobertura del clúster de Amazon ECS está en **mal** estado, puede ver el motivo en la columna **Problema**. 

En la siguiente tabla se indican los pasos recomendados para solucionar los problemas relacionados con Fargate (solo Amazon ECS). Para obtener información sobre problemas de cobertura de instancias de Amazon EC2, consulte [Resolución de problemas de cobertura en tiempo de ejecución de Amazon EC2](gdu-assess-coverage-ec2.md#ec2-runtime-monitoring-coverage-issues-troubleshoot) para instancias de Amazon EC2.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/gdu-assess-coverage-ecs.html)