Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Examen des statistiques de couverture du temps d'exécution et résolution des problèmes
Une fois que vous avez activé la surveillance du temps d'exécution et que l'agent de GuardDuty sécurité est déployé sur votre ressource, il GuardDuty fournit des statistiques de couverture pour le type de ressource correspondant et un état de couverture individuel pour les ressources appartenant à votre compte. L'état de couverture est déterminé en vérifiant que vous avez activé la surveillance du temps d'exécution, que votre point de terminaison Amazon VPC a été créé et que l'agent de GuardDuty sécurité pour la ressource correspondante a été déployé. Un état de couverture **sain** indique que lorsqu'un événement d'exécution est lié à votre ressource, GuardDuty vous êtes en mesure de recevoir ledit événement d'exécution via le point de terminaison Amazon VPC et de surveiller le comportement. **En cas de problème lors de la configuration de la surveillance du temps d'exécution, de la création d'un point de terminaison Amazon VPC ou du déploiement de l'agent de GuardDuty sécurité, l'état de couverture apparaît comme étant insalubre.** Lorsque l'état de couverture est défaillant, il ne GuardDuty sera pas en mesure de recevoir ou de surveiller le comportement d'exécution de la ressource correspondante, ni de générer des résultats de surveillance du temps d'exécution.
Les rubriques suivantes vous aideront à consulter les statistiques de couverture, à configurer EventBridge les notifications et à résoudre les problèmes de couverture pour un type de ressource spécifique.
**Topics**
+ [Couverture du temps d'exécution et résolution des problèmes pour l'instance Amazon EC2](gdu-assess-coverage-ec2.md)
+ [Couverture du temps d'exécution et résolution des problèmes pour les clusters Amazon ECS](gdu-assess-coverage-ecs.md)
+ [Couverture du temps d'exécution et résolution des problèmes pour les clusters Amazon EKS](eks-runtime-monitoring-coverage.md)
# Couverture du temps d'exécution et résolution des problèmes pour l'instance Amazon EC2
Pour une ressource Amazon EC2, la couverture du temps d'exécution est évaluée au niveau de l'instance. Vos instances Amazon EC2 peuvent exécuter plusieurs types d'applications et de charges de travail, entre autres, dans votre environnement. AWS Cette fonctionnalité prend également en charge les instances Amazon EC2 gérées par Amazon ECS et si vous avez des clusters Amazon ECS exécutés sur une instance Amazon EC2, les problèmes de couverture au niveau de l'instance apparaîtront dans le cadre de la couverture d'exécution Amazon EC2.
**Topics**
+ [Consultation des statistiques de couverture](#review-coverage-statistics-ec2-runtime-monitoring)
+ [Modification de l'état de couverture avec EventBridge notifications](#ec2-runtime-monitoring-coverage-status-change)
+ [Résolution des problèmes de couverture des environnements d'exécution Amazon EC2](#ec2-runtime-monitoring-coverage-issues-troubleshoot)
## Consultation des statistiques de couverture
Les statistiques de couverture pour les instances Amazon EC2 associées à vos propres comptes ou à vos comptes membres sont le pourcentage d'instances EC2 saines par rapport à toutes les instances EC2 de la sélection. Région AWS L'équation suivante représente cela comme suit :
*( instances/All Instances saines) \$1100*
Si vous avez également déployé l'agent de GuardDuty sécurité pour vos clusters Amazon ECS, tout problème de couverture au niveau de l'instance associé aux clusters Amazon ECS exécutés sur une instance Amazon EC2 apparaîtra comme un problème de couverture du temps d'exécution de l'instance Amazon EC2.
Choisissez l'une des méthodes d'accès pour consulter les statistiques de couverture de vos comptes.
------
#### [ Console ]
+ Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
+ Dans le volet de navigation, choisissez **Runtime Monitoring**.
+ Choisissez l'onglet **Couverture du temps d'exécution**.
+ Dans l'onglet **Couverture du temps d'exécution des instances EC2**, vous pouvez consulter les statistiques de couverture agrégées en fonction de l'état de couverture de chaque instance Amazon EC2 disponible dans **le tableau de liste des instances**.
+ Vous pouvez filtrer le tableau de la **liste des instances** selon les colonnes suivantes :
+ **ID de compte**
+ **Type de gestion des agents**
+ **Version de l'agent**
+ **État de couverture**
+ **ID de l'instance**
+ **ARN du cluster**
+ Si l'**état de couverture de l'une** de vos instances EC2 est considéré **comme** défaillant, la colonne **Problème** inclut des informations supplémentaires sur la raison de ce **statut**.
------
#### [ API/CLI ]
+ Exécutez l'[ListCoverage](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListCoverage.html)API avec votre propre identifiant de détecteur valide, votre région actuelle et votre point de terminaison de service. Vous pouvez filtrer et trier la liste des instances à l'aide de cette API.
+ Vous pouvez modifier l'exemple de `filter-criteria` à l'aide de l'une des options suivantes pour `CriterionKey` :
+ `ACCOUNT_ID`
+ `RESOURCE_TYPE`
+ `COVERAGE_STATUS`
+ `AGENT_VERSION`
+ `MANAGEMENT_TYPE`
+ `INSTANCE_ID`
+ `CLUSTER_ARN`
+ Lorsqu'il est `filter-criteria` inclus `RESOURCE_TYPE` en tant qu'**EC2**, Runtime Monitoring ne prend pas en charge l'utilisation de **ISSUE** en tant que`AttributeName`. Si vous l'utilisez, la réponse de l'API en résultera`InvalidInputException`.
Vous pouvez modifier l'exemple de `AttributeName` dans `sort-criteria` à l'aide des options suivantes :
+ `ACCOUNT_ID`
+ `COVERAGE_STATUS`
+ `INSTANCE_ID`
+ `UPDATED_AT`
+ Vous pouvez modifier le *max-results* (jusqu'à 50).
+ `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
```
aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }' --max-results 5
```
+ Exécutez l'[GetCoverageStatistics](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetCoverageStatistics.html)API pour récupérer les statistiques agrégées de couverture sur la base de`statisticsType`.
+ Vous pouvez modifier l'exemple de `statisticsType` sur l'une des options suivantes :
+ `COUNT_BY_COVERAGE_STATUS` : représente les statistiques de couverture pour les clusters EKS agrégées par état de couverture.
+ `COUNT_BY_RESOURCE_TYPE`— Statistiques de couverture agrégées en fonction du type de AWS ressource figurant dans la liste.
+ Vous pouvez modifier l'exemple de `filter-criteria` dans la commande. Vous pouvez utiliser les options suivantes pour `CriterionKey` :
+ `ACCOUNT_ID`
+ `RESOURCE_TYPE`
+ `COVERAGE_STATUS`
+ `AGENT_VERSION`
+ `MANAGEMENT_TYPE`
+ `INSTANCE_ID`
+ `CLUSTER_ARN`
+ `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
```
aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
```
------
Si l'état de couverture de votre instance EC2 n'est pas **satisfaisant**, consultez[Résolution des problèmes de couverture des environnements d'exécution Amazon EC2](#ec2-runtime-monitoring-coverage-issues-troubleshoot).
## Modification de l'état de couverture avec EventBridge notifications
**L'état de couverture de votre instance Amazon EC2 peut apparaître comme étant défectueux.** Pour savoir quand l'état de couverture change, nous vous recommandons de le surveiller régulièrement et de résoudre les problèmes s'il devient **insalubre**. Vous pouvez également créer une EventBridge règle Amazon pour recevoir une notification lorsque le statut de couverture passe de **Malsain** **à Sain** ou autre. Par défaut, il le GuardDuty publie dans le [EventBridge bus](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) pour votre compte.
### Exemple de schéma de notification
Dans une EventBridge règle, vous pouvez utiliser les exemples d'événements et de modèles d'événements prédéfinis pour recevoir une notification de l'état de couverture. Pour plus d'informations sur la création d'une EventBridge règle, consultez la section [Créer une règle](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html#eb-gs-create-rule) dans le *guide de EventBridge l'utilisateur Amazon*.
En outre, vous pouvez créer un modèle d'événement personnalisé à l'aide de l'exemple de schéma de notification suivant. Assurez-vous de remplacer les valeurs de votre compte. Pour être averti lorsque le statut de couverture de votre instance Amazon EC2 passe de `Healthy` à`Unhealthy`, le `detail-type` doit être. *GuardDuty Runtime Protection Unhealthy* Pour être averti lorsque le statut de couverture passe de `Unhealthy` à`Healthy`, remplacez la valeur de `detail-type` par*GuardDuty Runtime Protection Healthy*.
```
{
"version": "0",
"id": "event ID",
"detail-type": "GuardDuty Runtime Protection Unhealthy",
"source": "aws.guardduty",
"account": "Compte AWS ID",
"time": "event timestamp (string)",
"region": "Région AWS",
"resources": [
],
"detail": {
"schemaVersion": "1.0",
"resourceAccountId": "string",
"currentStatus": "string",
"previousStatus": "string",
"resourceDetails": {
"resourceType": "EC2",
"ec2InstanceDetails": {
"instanceId":"",
"instanceType":"",
"clusterArn": "",
"agentDetails": {
"version":""
},
"managementType":""
}
},
"issue": "string",
"lastUpdatedAt": "timestamp"
}
}
```
## Résolution des problèmes de couverture des environnements d'exécution Amazon EC2
Si l'état de couverture de votre instance Amazon EC2 n'est pas satisfaisant**,** vous pouvez en connaître la raison dans la colonne **Problème**.
Si votre instance EC2 est associée à un cluster EKS et que l'agent de sécurité pour EKS a été installé manuellement ou via une configuration automatique de l'agent, pour résoudre le problème de couverture, consultez. [Couverture du temps d'exécution et résolution des problèmes pour les clusters Amazon EKS](eks-runtime-monitoring-coverage.md)
Le tableau suivant répertorie les types de problèmes et les étapes de dépannage correspondantes.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/gdu-assess-coverage-ec2.html)
# Couverture du temps d'exécution et résolution des problèmes pour les clusters Amazon ECS
La couverture d'exécution des clusters Amazon ECS inclut les tâches exécutées sur les instances de conteneur Amazon ECS AWS Fargate et les instances de conteneur Amazon ECS [1](#ecs-container-instance).
Pour un cluster Amazon ECS qui s'exécute sur Fargate, la couverture d'exécution est évaluée au niveau de la tâche. La couverture du temps d'exécution des clusters ECS inclut les tâches Fargate qui ont commencé à s'exécuter une fois que vous avez activé la surveillance du temps d'exécution et la configuration automatisée des agents pour Fargate (ECS uniquement). Par défaut, une tâche Fargate est immuable. GuardDuty ne sera pas en mesure d'installer l'agent de sécurité pour surveiller les conteneurs sur les tâches déjà en cours d'exécution. Pour inclure une telle tâche Fargate, vous devez arrêter puis recommencer la tâche. Assurez-vous de vérifier si le service associé est pris en charge.
Pour plus d'informations sur le conteneur Amazon ECS, consultez la section [Création de capacités](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/create-capacity.html).
**Topics**
+ [Consultation des statistiques de couverture](#ecs-review-coverage-statistics-ecs-runtime-monitoring)
+ [Modification de l'état de couverture avec EventBridge notifications](#ecs-runtime-monitoring-coverage-status-change)
+ [Résolution des problèmes de couverture du temps d'exécution d'Amazon ECS-Fargate](#ecs-runtime-monitoring-coverage-issues-troubleshoot)
## Consultation des statistiques de couverture
Les statistiques de couverture pour les ressources Amazon ECS associées à votre propre compte ou à vos comptes de membres sont le pourcentage de clusters Amazon ECS sains par rapport à tous les clusters Amazon ECS du groupe sélectionné Région AWS. Cela inclut la couverture des clusters Amazon ECS associés à la fois aux instances Fargate et Amazon EC2. L'équation suivante représente cela comme suit :
*( clusters/All Clusters sains) \$1100*
### Considérations
+ Les statistiques de couverture du cluster ECS incluent l'état de couverture des tâches Fargate ou des instances de conteneur ECS associées à ce cluster ECS. L'état de couverture des tâches Fargate inclut les tâches qui sont en cours d'exécution ou dont l'exécution a récemment été terminée.
+ Dans l'onglet **Couverture d'exécution des clusters ECS**, le champ **Instances de conteneur couvertes** indique l'état de couverture des instances de conteneur associées à votre cluster Amazon ECS.
**Si votre cluster Amazon ECS contient uniquement des tâches Fargate, le nombre apparaît comme 0/0.**
+ Si votre cluster Amazon ECS est associé à une instance Amazon EC2 dépourvue d'agent de sécurité, le cluster Amazon ECS aura également un statut de couverture **défaillant**.
Pour identifier et résoudre le problème de couverture de l'instance Amazon EC2 associée, [Résolution des problèmes de couverture des environnements d'exécution Amazon EC2](gdu-assess-coverage-ec2.md#ec2-runtime-monitoring-coverage-issues-troubleshoot) consultez la section consacrée aux instances Amazon EC2.
Choisissez l'une des méthodes d'accès pour consulter les statistiques de couverture de vos comptes.
------
#### [ Console ]
+ Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
+ Dans le volet de navigation, choisissez **Runtime Monitoring**.
+ Choisissez l'onglet **Couverture du temps d'exécution**.
+ Dans l'onglet **Couverture d'exécution des clusters ECS**, vous pouvez consulter les statistiques de couverture agrégées en fonction de l'état de couverture de chaque cluster Amazon ECS disponible dans le tableau de **liste des clusters**.
+ Vous pouvez filtrer le tableau de **liste des clusters** selon les colonnes suivantes :
+ **ID de compte**
+ **Nom du cluster**
+ **Type de gestion des agents**
+ **État de couverture**
+ Si l'**état de couverture de l'un de vos clusters Amazon ECS est considéré** comme **insalubre**, la colonne **Problème** inclut des informations supplémentaires sur la raison de ce statut **insalubre**.
**Si vos clusters Amazon ECS sont associés à une instance Amazon EC2, accédez à l'onglet **Couverture du temps d'exécution de l'instance EC2** et filtrez par le champ **Nom du cluster** pour afficher le problème associé.**
------
#### [ API/CLI ]
+ Exécutez l'[ListCoverage](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListCoverage.html)API avec votre propre identifiant de détecteur valide, votre région actuelle et votre point de terminaison de service. Vous pouvez filtrer et trier la liste des instances à l'aide de cette API.
+ Vous pouvez modifier l'exemple de `filter-criteria` à l'aide de l'une des options suivantes pour `CriterionKey` :
+ `ACCOUNT_ID`
+ `ECS_CLUSTER_NAME`
+ `COVERAGE_STATUS`
+ `MANAGEMENT_TYPE`
+ Vous pouvez modifier l'exemple de `AttributeName` dans `sort-criteria` à l'aide des options suivantes :
+ `ACCOUNT_ID`
+ `COVERAGE_STATUS`
+ `ISSUE`
+ `ECS_CLUSTER_NAME`
+ `UPDATED_AT`
Le champ est mis à jour uniquement lorsqu'une nouvelle tâche est créée dans le cluster Amazon ECS associé ou en cas de modification de l'état de couverture correspondant.
+ Vous pouvez modifier le *max-results* (jusqu'à 50).
+ `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
```
aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "ECS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }' --max-results 5
```
+ Exécutez l'[GetCoverageStatistics](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetCoverageStatistics.html)API pour récupérer les statistiques agrégées de couverture sur la base de`statisticsType`.
+ Vous pouvez modifier l'exemple de `statisticsType` sur l'une des options suivantes :
+ `COUNT_BY_COVERAGE_STATUS`— Représente les statistiques de couverture pour les clusters ECS agrégées par état de couverture.
+ `COUNT_BY_RESOURCE_TYPE`— Statistiques de couverture agrégées en fonction du type de AWS ressource figurant dans la liste.
+ Vous pouvez modifier l'exemple de `filter-criteria` dans la commande. Vous pouvez utiliser les options suivantes pour `CriterionKey` :
+ `ACCOUNT_ID`
+ `ECS_CLUSTER_NAME`
+ `COVERAGE_STATUS`
+ `MANAGEMENT_TYPE`
+ `INSTANCE_ID`
+ `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
```
aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
```
------
Pour plus d'informations sur les problèmes de couverture, consultez[Résolution des problèmes de couverture du temps d'exécution d'Amazon ECS-Fargate](#ecs-runtime-monitoring-coverage-issues-troubleshoot).
## Modification de l'état de couverture avec EventBridge notifications
L'état de couverture de votre cluster Amazon ECS peut apparaître comme étant **défectueux**. Pour savoir quand l'état de couverture change, nous vous recommandons de le surveiller régulièrement et de résoudre les problèmes s'il devient **insalubre**. Vous pouvez également créer une EventBridge règle Amazon pour recevoir une notification lorsque le statut de couverture passe de **Malsain** **à Sain** ou autre. Par défaut, il le GuardDuty publie dans le [EventBridge bus](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) pour votre compte.
### Exemple de schéma de notification
Dans une EventBridge règle, vous pouvez utiliser les exemples d'événements et de modèles d'événements prédéfinis pour recevoir une notification de l'état de couverture. Pour plus d'informations sur la création d'une EventBridge règle, consultez la section [Créer une règle](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html#eb-gs-create-rule) dans le *guide de EventBridge l'utilisateur Amazon*.
En outre, vous pouvez créer un modèle d'événement personnalisé à l'aide de l'exemple de schéma de notification suivant. Assurez-vous de remplacer les valeurs de votre compte. Pour être averti lorsque le statut de couverture de votre cluster Amazon ECS passe de `Healthy` à`Unhealthy`, le `detail-type` doit être*GuardDuty Runtime Protection Unhealthy*. Pour être averti lorsque le statut de couverture passe de `Unhealthy` à`Healthy`, remplacez la valeur de `detail-type` par*GuardDuty Runtime Protection Healthy*.
```
{
"version": "0",
"id": "event ID",
"detail-type": "GuardDuty Runtime Protection Unhealthy",
"source": "aws.guardduty",
"account": "Compte AWS ID",
"time": "event timestamp (string)",
"region": "Région AWS",
"resources": [
],
"detail": {
"schemaVersion": "1.0",
"resourceAccountId": "string",
"currentStatus": "string",
"previousStatus": "string",
"resourceDetails": {
"resourceType": "ECS",
"ecsClusterDetails": {
"clusterName":"",
"fargateDetails":{
"issues":[],
"managementType":""
},
"containerInstanceDetails":{
"coveredContainerInstances":int,
"compatibleContainerInstances":int
}
}
},
"issue": "string",
"lastUpdatedAt": "timestamp"
}
}
```
## Résolution des problèmes de couverture du temps d'exécution d'Amazon ECS-Fargate
Si l'état de couverture de votre cluster Amazon ECS n'est **pas** satisfaisant, vous pouvez en connaître la raison dans la colonne **Problème**.
Le tableau suivant fournit les étapes de dépannage recommandées pour les problèmes liés à Fargate (Amazon ECS uniquement). Pour plus d'informations sur les problèmes de couverture des instances Amazon EC2, consultez la section relative [Résolution des problèmes de couverture des environnements d'exécution Amazon EC2](gdu-assess-coverage-ec2.md#ec2-runtime-monitoring-coverage-issues-troubleshoot) aux instances Amazon EC2.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/gdu-assess-coverage-ecs.html)
# Couverture du temps d'exécution et résolution des problèmes pour les clusters Amazon EKS
Après avoir activé la surveillance du temps d'exécution et installé l'agent de GuardDuty sécurité (module complémentaire) pour EKS manuellement ou par le biais d'une configuration automatique de l'agent, vous pouvez commencer à évaluer la couverture de vos clusters EKS.
**Topics**
+ [Consultation des statistiques de couverture](#reviewing-coverage-statistics-eks-runtime-monitoring)
+ [Modification de l'état de couverture avec EventBridge notifications](#eks-runtime-monitoring-coverage-status-change)
+ [Résolution des problèmes de couverture du temps d'exécution d'Amazon EKS](#eks-runtime-monitoring-coverage-issues-troubleshoot)
## Consultation des statistiques de couverture
Les statistiques de couverture pour les clusters EKS associés à vos propres comptes ou à vos comptes membres sont le pourcentage de clusters EKS sains par rapport à tous les clusters EKS de la Région AWS sélectionnée. L'équation suivante représente cela comme suit :
*( clusters/All Clusters sains) \$1100*
Choisissez l'une des méthodes d'accès pour consulter les statistiques de couverture de vos comptes.
------
#### [ Console ]
+ Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
+ Dans le volet de navigation, choisissez **Runtime Monitoring**.
+ Choisissez l'onglet **Couverture d'exécution du cluster EKS**.
+ Dans l'onglet **Couverture d'exécution du cluster EKS**, vous pouvez consulter les statistiques de couverture agrégées selon l'état de couverture disponible dans le tableau **Liste des clusters**.
+ Vous pouvez filtrer le tableau **Liste des clusters** selon les colonnes suivantes :
+ **Nom du cluster**
+ **ID de compte**
+ **Type de gestion des agents**
+ **État de couverture**
+ **Version du module complémentaire**
+ Si l'un de vos clusters EKS a un **état de couverture** **Non sain**, la colonne **Problème** peut inclure des informations supplémentaires sur la raison de l'état **Défectueux**.
------
#### [ API/CLI ]
+ Exécutez l'[ListCoverage](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListCoverage.html)API avec votre propre identifiant de détecteur, votre région et votre point de terminaison de service valides. Vous pouvez filtrer et trier la liste des clusters à l'aide de cette API.
+ Vous pouvez modifier l'exemple de `filter-criteria` à l'aide de l'une des options suivantes pour `CriterionKey` :
+ `ACCOUNT_ID`
+ `CLUSTER_NAME`
+ `RESOURCE_TYPE`
+ `COVERAGE_STATUS`
+ `ADDON_VERSION`
+ `MANAGEMENT_TYPE`
+ Vous pouvez modifier l'exemple de `AttributeName` dans `sort-criteria` à l'aide des options suivantes :
+ `ACCOUNT_ID`
+ `CLUSTER_NAME`
+ `COVERAGE_STATUS`
+ `ISSUE`
+ `ADDON_VERSION`
+ `UPDATED_AT`
+ Vous pouvez modifier le *max-results* (jusqu'à 50).
+ `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
```
aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }' --max-results 5
```
+ Exécutez l'[GetCoverageStatistics](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetCoverageStatistics.html)API pour récupérer les statistiques agrégées de couverture sur la base de`statisticsType`.
+ Vous pouvez modifier l'exemple de `statisticsType` sur l'une des options suivantes :
+ `COUNT_BY_COVERAGE_STATUS` : représente les statistiques de couverture pour les clusters EKS agrégées par état de couverture.
+ `COUNT_BY_RESOURCE_TYPE`— Statistiques de couverture agrégées en fonction du type de AWS ressource figurant dans la liste.
+ Vous pouvez modifier l'exemple de `filter-criteria` dans la commande. Vous pouvez utiliser les options suivantes pour `CriterionKey` :
+ `ACCOUNT_ID`
+ `CLUSTER_NAME`
+ `RESOURCE_TYPE`
+ `COVERAGE_STATUS`
+ `ADDON_VERSION`
+ `MANAGEMENT_TYPE`
+ `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
```
aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
```
------
Si l'état de couverture de votre cluster EKS est **Défectueux**, veuillez consulter [Résolution des problèmes de couverture du temps d'exécution d'Amazon EKS](#eks-runtime-monitoring-coverage-issues-troubleshoot).
## Modification de l'état de couverture avec EventBridge notifications
L'état de couverture d'un cluster EKS sur votre compte peut être indiqué comme étant **Défectueux**. **Pour détecter les cas où l'état de couverture devient **Défectueux**, nous vous recommandons de surveiller régulièrement l'état de couverture et de résoudre les problèmes, si l'état est Défectueux** Vous pouvez également créer une EventBridge règle Amazon pour vous avertir lorsque le statut de couverture passe de `Healthy` ou non `Unhealthy` à. Par défaut, il le GuardDuty publie dans le [EventBridge bus](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) pour votre compte.
### Exemple de schéma de notification
Dans une EventBridge règle, vous pouvez utiliser les exemples d'événements et de modèles d'événements prédéfinis pour recevoir une notification de l'état de couverture. Pour plus d'informations sur la création d'une EventBridge règle, consultez la section [Créer une règle](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html#eb-gs-create-rule) dans le *guide de EventBridge l'utilisateur Amazon*.
En outre, vous pouvez créer un modèle d'événement personnalisé à l'aide de l'exemple de schéma de notification suivant. Assurez-vous de remplacer les valeurs de votre compte. Pour être averti lorsque le statut de couverture de votre cluster Amazon EKS passe de `Healthy` à`Unhealthy`, le `detail-type` doit être*GuardDuty Runtime Protection Unhealthy*. Pour être averti lorsque le statut de couverture passe de `Unhealthy` à`Healthy`, remplacez la valeur de `detail-type` par*GuardDuty Runtime Protection Healthy*.
```
{
"version": "0",
"id": "event ID",
"detail-type": "GuardDuty Runtime Protection Unhealthy",
"source": "aws.guardduty",
"account": "Compte AWS ID",
"time": "event timestamp (string)",
"region": "Région AWS",
"resources": [
],
"detail": {
"schemaVersion": "1.0",
"resourceAccountId": "string",
"currentStatus": "string",
"previousStatus": "string",
"resourceDetails": {
"resourceType": "EKS",
"eksClusterDetails": {
"clusterName": "string",
"availableNodes": "string",
"desiredNodes": "string",
"addonVersion": "string"
}
},
"issue": "string",
"lastUpdatedAt": "timestamp"
}
}
```
## Résolution des problèmes de couverture du temps d'exécution d'Amazon EKS
Si l'état de couverture de votre cluster EKS est le suivant`Unhealthy`, vous pouvez afficher l'erreur correspondante soit dans la colonne **Problème** de la GuardDuty console, soit en utilisant le type de [CoverageResource](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CoverageResource.html)données.
Lorsque vous utilisez des balises d'inclusion ou d'exclusion pour surveiller vos clusters EKS de manière sélective, la synchronisation des balises peut prendre un certain temps. Cela peut avoir un impact sur l'état de couverture du cluster EKS associé. Vous pouvez réessayer de supprimer et d'ajouter la balise correspondante (inclusion ou exclusion). Pour plus d'informations, veuillez consulter [Étiquetage de vos ressources Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) dans le **Guide du de l'utilisateur Amazon EKS**.
La structure d'un problème de couverture est `Issue type:Extra information`. Généralement, les problèmes comportent des *informations supplémentaires* facultatives qui peuvent inclure une exception spécifique côté client ou une description du problème. Sur la base *d'informations supplémentaires*, les tableaux suivants fournissent les étapes recommandées pour résoudre les problèmes de couverture de vos clusters EKS.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/eks-runtime-monitoring-coverage.html)
**Étapes de résolution d'une creation/updation erreur d'addon avec le code de problème de l'addon**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/eks-runtime-monitoring-coverage.html)