Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Comprendre CloudWatch les journaux et les raisons du manque de ressources lors de l'analyse Malware Protection for EC2
<a name="malware-protection-auditing-scan-logs"></a>

GuardDuty Malware Protection for EC2 publie des événements dans votre groupe de CloudWatch journaux Amazon**/aws/guardduty/malware-scan-events**. Pour chacun des événements liés à l'analyse des programmes malveillants, vous pouvez surveiller l'état et le résultat de l'analyse de vos ressources concernées. Certaines ressources Amazon EC2 et certains volumes Amazon EBS ont peut-être été ignorés lors de l'analyse Malware Protection for EC2. 

## CloudWatch Journaux d'audit dans GuardDuty Malware Protection for EC2
<a name="mp-audit-cloudwatch-events"></a>

Trois types d'événements de scan sont pris en charge dans le groupe de **journaux/aws/guardduty/malware-scan-events** CloudWatch .


| Nom de l'événement de scan de protection contre les programmes malveillants pour EC2 | Explication | 
| --- | --- | 
|  `EC2_SCAN_STARTED`  |  Créé lorsqu'une protection contre les GuardDuty programmes malveillants pour EC2 lance le processus d'analyse des programmes malveillants, par exemple en préparant la prise d'un instantané d'un volume EBS.  | 
|  `EC2_SCAN_COMPLETED`  |  Créé lorsque l'analyse GuardDuty Malware Protection for EC2 est terminée pour au moins un des volumes EBS de la ressource concernée. Cet événement inclut également l'`snapshotId` qui appartient au volume EBS analysé. Une fois l'analyse terminée, son résultat de l'analyse sera `CLEAN`, `THREATS_FOUND` ou `NOT_SCANNED`.  | 
|  `EC2_SCAN_SKIPPED`  |  Créé lorsque le scan GuardDuty Malware Protection for EC2 ignore tous les volumes EBS de la ressource affectée. Pour identifier le motif de l'omission, sélectionnez l'événement correspondant et consultez les détails. Pour plus d'informations sur les motifs de l'omission, veuillez consulter [Motifs de l'omission des ressources lors de l'analyse des logiciels malveillants](#mp-scan-skip-reasons) ci-dessous.   | 

**Note**  
Si vous utilisez un AWS Organizations, CloudWatch les événements enregistrés depuis les comptes des membres dans Organizations sont publiés à la fois dans le compte administrateur et dans le groupe de journaux du compte membre.

Choisissez votre méthode d'accès préférée pour consulter et interroger CloudWatch les événements.

------
#### [ Console ]

1. Connectez-vous à la CloudWatch console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Dans le panneau de navigation, choisissez **Journaux**, **Groupes de journaux**. Choisissez le groupe de journaux**/aws/guardduty/malware-scan-events** pour afficher les événements d'analyse relatifs à GuardDuty Malware Protection for EC2. 

   Pour exécuter une requête, choisissez **Log Insights**. 

   Pour plus d'informations sur l'exécution d'une requête, consultez [Analyser les données des CloudWatch journaux avec Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) dans le *guide de CloudWatch l'utilisateur Amazon*.

1. Choisissez **Analyser l'ID** pour surveiller les détails de la ressource concernée et les résultats de logiciels malveillants. Par exemple, vous pouvez exécuter la requête suivante pour filtrer les événements du CloudWatch journal en utilisant`scanId`. Assurez-vous d'utiliser votre propre code valide*scan-id*.

   ```
   fields @timestamp, @message, scanRequestDetails.scanId as scanId
   | filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
   | sort @timestamp asc
   ```

------
#### [ API/CLI ]
+ Pour travailler avec des groupes de journaux, consultez [la section Rechercher dans les entrées de journal AWS CLIà l'aide](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html#search-log-entries-cli) du *guide de CloudWatch l'utilisateur Amazon*. 

  Choisissez le groupe de journaux**/aws/guardduty/malware-scan-events** pour afficher les événements d'analyse relatifs à GuardDuty Malware Protection for EC2. 
+ Pour afficher et filtrer les événements du journal, consultez [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html)et [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html), respectivement, dans le *Amazon CloudWatch API Reference*. 

------

## GuardDuty Protection contre les logiciels malveillants pour la conservation des journaux EC2
<a name="malware-scan-event-log-retention"></a>

La période de conservation des journaux par défaut pour le groupe de journaux**/aws/guardduty/malware-scan-events** est de 90 jours, après quoi les événements du journal sont automatiquement supprimés. Pour modifier la politique de conservation des journaux de votre groupe de CloudWatch journaux, consultez la section [Conservation des données des CloudWatch journaux des modifications dans Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) du *guide de CloudWatch l'utilisateur Amazon* ou [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html)dans le manuel *Amazon CloudWatch API Reference*.

## Motifs de l'omission des ressources lors de l'analyse des logiciels malveillants
<a name="mp-scan-skip-reasons"></a>

Lors des événements liés à l'analyse des programmes malveillants, certaines ressources EC2 et certains volumes EBS peuvent avoir été ignorés pendant le processus d'analyse. Le tableau suivant répertorie les raisons pour lesquelles GuardDuty Malware Protection for EC2 peut ne pas analyser les ressources. Le cas échéant, suivez les étapes proposées pour résoudre ces problèmes et analysez ces ressources la prochaine fois que GuardDuty Malware Protection for EC2 lancera une analyse des programmes malveillants. Les autres problèmes sont utilisés pour vous informer sur le cours des événements et ne sont pas exploitables. 


| Motifs de l'omission | Explication | Étapes proposées | 
| --- | --- | --- | 
|  `RESOURCE_NOT_FOUND`  | Le `resourceArn` code fourni pour lancer l'analyse des programmes malveillants à la demande est introuvable dans votre AWS environnement. | Validez l'`resourceArn` de votre instance ou charge de travail de conteneur Amazon EC2, puis réessayez. | 
|  `ACCOUNT_INELIGIBLE`  | L'identifiant du AWS compte à partir duquel vous avez essayé de lancer une analyse des programmes malveillants à la demande n'est pas activé GuardDuty. | Vérifiez que GuardDuty c'est activé pour ce AWS compte. Lorsque vous GuardDuty en activez une nouvelle Région AWS , la synchronisation peut prendre jusqu'à 20 minutes. | 
|  `UNSUPPORTED_KEY_ENCRYPTION`  |  GuardDuty Malware Protection for EC2 prend en charge les volumes à la fois non chiffrés et chiffrés à l'aide d'une clé gérée par le client. Il ne prend pas en charge l'analyse des volumes EBS chiffrés à l'aide du [chiffrement Amazon EBS](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/EBSEncryption.html).  À l'heure actuelle, il existe une différence régionale selon laquelle cette raison d'omission ne s'applique pas. Pour plus d'informations à ce sujet Régions AWS, consultez[Disponibilité des fonctionnalités propres à la région](guardduty_regions.md#gd-regional-feature-availability).  |  Remplacez votre clé de chiffrement par une clé gérée par le client. Pour plus d'informations sur les types de chiffrement pris GuardDuty en charge, consultez[Volumes Amazon EBS pris en charge pour l'analyse des programmes malveillants](gdu-malpro-supported-volumes.md).  | 
|  `EXCLUDED_BY_SCAN_SETTINGS`  |  L'instance EC2 ou le volume EBS a été exclu lors de l'analyse des programmes malveillants. Il existe deux possibilités : soit la balise a été ajoutée à la liste d'inclusion, mais la ressource n'est pas associée à cette balise, soit la balise a été ajoutée à la liste d'exclusion et la ressource est associée à cette balise, soit la balise `GuardDutyExcluded` est définie sur `true` pour cette ressource.  |  Mettez à jour vos options d'analyse ou les balises associées à votre ressource Amazon EC2. Pour de plus amples informations, veuillez consulter [Options d'analyse avec balises définies par l'utilisateur](malware-protection-customizations.md#mp-scan-options).  | 
|  `UNSUPPORTED_VOLUME_SIZE`  |  Le volume est supérieur à 2 048 Go.  |  Non exploitable.  | 
|  `NO_VOLUMES_ATTACHED`  |  GuardDuty Malware Protection for EC2 a détecté l'instance dans votre compte, mais aucun volume EBS n'a été attaché à cette instance pour procéder à l'analyse.  |  Non exploitable.  | 
|  `UNABLE_TO_SCAN`  |  Il s'agit d'une erreur de service interne.  |  Non exploitable.  | 
|  `SNAPSHOT_NOT_FOUND`  |  Les instantanés créés à partir des volumes EBS et partagés avec le compte de service sont introuvables, et GuardDuty Malware Protection for EC2 n'a pas pu poursuivre l'analyse.  |  Vérifiez que CloudTrail les instantanés n'ont pas été supprimés intentionnellement.  | 
|  `SNAPSHOT_QUOTA_REACHED`  |  Vous avez atteint le volume maximum autorisé d'instantanés pour chaque région. Cela empêche non seulement de retenir, mais également de créer d'autres instantanés.   |  Vous pouvez soit supprimer les anciens instantanés, soit demander une augmentation du quota. Vous pouvez consulter la limite par défaut pour les instantanés par région et la procédure à suivre pour demander une augmentation de quota sous [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html#limits_ebs) dans le *Guide de référence général AWS *.  | 
|  `MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED`  | Plus de 11 volumes EBS ont été attachés à une instance EC2. GuardDuty Malware Protection for EC2 a analysé les 11 premiers volumes EBS, obtenus en les triant par ordre alphabétique. `deviceName` | Non exploitable. | 
|  `UNSUPPORTED_PRODUCT_CODE_TYPE`  | GuardDuty peut scanner la majorité des instances avec `productCode` as`marketplace`. Certaines instances de Marketplace peuvent ne pas être éligibles à la numérisation. GuardDuty ignorera ces instances et enregistrera la raison sous le nom`UNSUPPORTED_PRODUCT_CODE_TYPE`. Ce soutien varie selon AWS GovCloud (US) les régions de Chine. Pour de plus amples informations, veuillez consulter [Disponibilité des fonctionnalités propres à la région](guardduty_regions.md#gd-regional-feature-availability). Pour plus d'informations, consultez [Paid AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/paid-amis.html) dans le guide de l'*utilisateur Amazon EC2*. Pour plus d'informations sur `productCode`, veuillez consulter [https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html) dans la *Référence API d'Amazon EC2*.   | Non exploitable. |