View a markdown version of this page

Cakupan runtime dan pemecahan masalah untuk instans Amazon EC2 - Amazon GuardDuty
Meninjau statistik cakupanPerubahan status cakupan dengan EventBridge notifikasiMemecahkan masalah cakupan runtime Amazon EC2

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cakupan runtime dan pemecahan masalah untuk instans Amazon EC2

Untuk sumber daya Amazon EC2, cakupan runtime dievaluasi pada tingkat instans. Instans Amazon EC2 Anda dapat menjalankan beberapa jenis aplikasi dan beban kerja antara lain di lingkungan Anda. AWS Fitur ini juga mendukung instans Amazon EC2 yang dikelola Amazon ECS dan jika Anda memiliki cluster Amazon ECS yang berjalan pada instans Amazon EC2, masalah cakupan pada tingkat instans akan muncul di bawah cakupan runtime Amazon EC2.

Meninjau statistik cakupan

Statistik cakupan untuk instans Amazon EC2 yang terkait dengan akun Anda sendiri atau akun anggota Anda adalah persentase instans EC2 yang sehat di semua instans EC2 yang dipilih. Wilayah AWS Persamaan berikut mewakili ini sebagai:

( instances/All Contoh sehat) * 100

Jika Anda juga telah menerapkan agen GuardDuty keamanan untuk kluster Amazon ECS, maka masalah cakupan tingkat instans apa pun yang terkait dengan kluster Amazon ECS yang berjalan di instans Amazon EC2 akan muncul sebagai masalah cakupan runtime instans Amazon EC2.

Pilih salah satu metode akses untuk meninjau statistik cakupan akun Anda.

Console

  • Masuk ke Konsol Manajemen AWS dan buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

  • Di panel navigasi, pilih Runtime Monitoring.

  • Pilih tab cakupan Runtime.

  • Di bawah tab cakupan runtime instans EC2, Anda dapat melihat statistik cakupan yang dikumpulkan berdasarkan status cakupan setiap instans Amazon EC2 yang tersedia di tabel daftar Instans.

    • Anda dapat memfilter tabel daftar Instance dengan kolom berikut:

      • ID Akun

      • Jenis manajemen agen

      • Versi agen

      • Status cakupan

      • ID Instance

      • Kluster ARN

  • Jika salah satu instans EC2 Anda memiliki status Cakupan sebagai Tidak Sehat, kolom Masalah mencakup informasi tambahan tentang alasan status Tidak Sehat.

API/CLI

  • Jalankan ListCoverageAPI dengan ID detektor valid Anda sendiri, Wilayah saat ini, dan titik akhir layanan. Anda dapat memfilter dan mengurutkan daftar instance menggunakan API ini.

    • Anda dapat mengubah contoh filter-criteria dengan salah satu opsi berikut untukCriterionKey:

      • ACCOUNT_ID

      • RESOURCE_TYPE

      • COVERAGE_STATUS

      • AGENT_VERSION

      • MANAGEMENT_TYPE

      • INSTANCE_ID

      • CLUSTER_ARN

    • Saat filter-criteria disertakan RESOURCE_TYPE sebagai EC2, Runtime Monitoring tidak mendukung penggunaan ISSUE sebagai. AttributeName Jika Anda menggunakannya, respons API akan menghasilkanInvalidInputException.

      Anda dapat mengubah contoh AttributeName sort-criteria dengan opsi berikut:

      • ACCOUNT_ID

      • COVERAGE_STATUS

      • INSTANCE_ID

      • UPDATED_AT

    • Anda dapat mengubah max-results (hingga 50).

    • Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId

    aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5

  • Jalankan GetCoverageStatisticsAPI untuk mengambil statistik agregat cakupan berdasarkan. statisticsType

    • Anda dapat mengubah contoh statisticsType ke salah satu opsi berikut:

      • COUNT_BY_COVERAGE_STATUS— Merupakan statistik cakupan untuk kluster EKS yang dikumpulkan berdasarkan status cakupan.

      • COUNT_BY_RESOURCE_TYPE— Statistik cakupan dikumpulkan berdasarkan jenis AWS sumber daya dalam daftar.

      • Anda dapat mengubah contoh filter-criteria dalam perintah. Anda dapat menggunakan opsi berikut untukCriterionKey:

        • ACCOUNT_ID

        • RESOURCE_TYPE

        • COVERAGE_STATUS

        • AGENT_VERSION

        • MANAGEMENT_TYPE

        • INSTANCE_ID

        • CLUSTER_ARN

    • Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId

    aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

Jika status cakupan instans EC2 Anda tidak sehat, lihatMemecahkan masalah cakupan runtime Amazon EC2.

Perubahan status cakupan dengan EventBridge notifikasi

Status cakupan instans Amazon EC2 Anda mungkin tampak tidak sehat. Untuk mengetahui kapan status pertanggungan berubah, kami sarankan Anda untuk memantau status pertanggungan secara berkala, dan memecahkan masalah jika status menjadi tidak sehat. Atau, Anda dapat membuat EventBridge aturan Amazon untuk menerima pemberitahuan saat status cakupan berubah dari Tidak Sehat menjadi Sehat atau lainnya. Secara default, GuardDuty publikasikan ini di EventBridge bus untuk akun Anda.

Contoh skema pemberitahuan

Dalam EventBridge aturan, Anda dapat menggunakan contoh peristiwa dan pola peristiwa yang telah ditentukan sebelumnya untuk menerima pemberitahuan status cakupan. Untuk informasi selengkapnya tentang membuat EventBridge aturan, lihat Membuat aturan di Panduan EventBridge Pengguna Amazon.

Selain itu, Anda dapat membuat pola acara khusus dengan menggunakan skema pemberitahuan contoh berikut. Pastikan untuk mengganti nilai untuk akun Anda. Untuk mendapatkan pemberitahuan saat status cakupan instans Amazon EC2 Anda berubah Healthy dari Unhealthy ke, seharusnya begitudetail-type. GuardDuty Runtime Protection Unhealthy Untuk mendapatkan pemberitahuan ketika status cakupan berubah dari Unhealthy keHealthy, ganti nilai detail-type denganGuardDuty Runtime Protection Healthy.

{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Akun AWS ID",
  "time": "event timestamp (string)",
  "region": "Wilayah AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "EC2",
        "ec2InstanceDetails": {
          "instanceId":"",
          "instanceType":"",
          "clusterArn": "",
          "agentDetails": {
            "version":""
          },
          "managementType":""
        }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}

Memecahkan masalah cakupan runtime Amazon EC2

Jika status cakupan instans Amazon EC2 Anda tidak sehat, Anda dapat melihat alasannya di bawah kolom Masalah.

Jika instans EC2 Anda dikaitkan dengan kluster EKS dan agen keamanan untuk EKS diinstal baik secara manual atau melalui konfigurasi agen otomatis, lalu untuk memecahkan masalah cakupan, lihat. Cakupan runtime dan pemecahan masalah untuk klaster Amazon EKS

Tabel berikut mencantumkan jenis masalah dan langkah pemecahan masalah yang sesuai.

Jenis masalah Pesan masalah Langkah pemecahan masalah

Tidak Ada Pelaporan Agen

Menunggu pemberitahuan SSM

Menerima pemberitahuan SSM mungkin memakan waktu beberapa menit.

Pastikan instans Amazon EC2 dikelola SSM. Untuk informasi selengkapnya, lihat langkah-langkah di bawah Metode 1 - Dengan menggunakan AWS Systems Manager diMemasang agen keamanan secara manual.

(Kosong dengan sengaja)

Jika Anda mengelola agen GuardDuty keamanan secara manual, pastikan Anda mengikuti langkah-langkah di bawah iniMengelola agen keamanan secara manual untuk sumber daya Amazon EC2.

Jika Anda telah mengaktifkan konfigurasi agen otomatis:

Validasi bahwa titik akhir VPC untuk instans Amazon EC2 Anda telah dikonfigurasi dengan benar. Untuk informasi selengkapnya, lihat Memvalidasi konfigurasi titik akhir VPC.

Jika organisasi Anda memiliki kebijakan kontrol layanan (SCP), validasi bahwa batas izin tidak membatasi izin. guardduty:SendSecurityTelemetry Untuk informasi selengkapnya, lihat Memvalidasi kebijakan kontrol layanan organisasi Anda di lingkungan multi-akun.

Agen terputus

  • Lihat status agen keamanan Anda. Untuk informasi selengkapnya, lihat Memvalidasi status instalasi agen GuardDuty keamanan.

  • Lihat log agen keamanan untuk mengidentifikasi akar penyebab potensial. Log memberikan kesalahan terperinci yang dapat Anda gunakan untuk memecahkan masalah sendiri. File log tersedia di bawah/var/log/amzn-guardduty-agent/.

    Lakukansudo journalctl -u amazon-guardduty-agent.

Agen Tidak Disediakan

Instance dengan tag pengecualian dikecualikan dari Runtime Monitoring.

GuardDuty tidak menerima peristiwa runtime dari instans Amazon EC2 yang diluncurkan dengan tag pengecualian:. GuardDutyManaged false

Untuk menerima peristiwa runtime dari instans Amazon EC2 ini, hapus tag pengecualian.

Versi kernel lebih rendah dari versi yang didukung.

Untuk informasi tentang versi kernel yang didukung di seluruh distribusi OS, lihat Validasi persyaratan arsitektur instans Amazon EC2.

Versi kernel lebih tinggi dari versi yang didukung.

Untuk informasi tentang versi kernel yang didukung di seluruh distribusi OS, lihat Validasi persyaratan arsitektur instans Amazon EC2.

Tidak dapat mengambil dokumen identitas instance.

Ikuti langkah-langkah ini:

  1. Konfirmasikan bahwa sumber daya Anda adalah instans Amazon EC2, dan bukan instance non-EC2 hybrid.

  2. Konfirmasikan bahwa Layanan Metadata Instans (IMDS) diaktifkan. Untuk melakukannya, lihat Mengonfigurasi opsi Layanan Metadata Instance di Panduan Pengguna Amazon EC2.

  3. Verifikasi bahwa dokumen identitas instance ada. Untuk melakukannya, lihat Mengambil dokumen identitas instans di Panduan Pengguna Amazon EC2.

  4. Jika dokumen identitas instance masih belum ada, maka restart instance. Dokumen identitas instans dibuat saat instans dihentikan dan dimulai, dimulai ulang, atau diluncurkan.

Pembuatan Asosiasi SSM Gagal

GuardDuty Asosiasi SSM sudah ada di akun Anda

  1. Hapus asosiasi yang ada secara manual. Untuk informasi selengkapnya, lihat Menghapus asosiasi di Panduan AWS Systems Manager Pengguna.

  2. Setelah Anda menghapus asosiasi, nonaktifkan lalu aktifkan kembali konfigurasi agen GuardDuty otomatis untuk Amazon EC2.

Akun Anda memiliki terlalu banyak asosiasi SSM

Pilih salah satu dari dua opsi berikut:

  • Hapus semua asosiasi SSM yang tidak digunakan. Untuk informasi selengkapnya, lihat Menghapus asosiasi di Panduan AWS Systems Manager Pengguna.

  • Periksa apakah akun Anda memenuhi syarat untuk kenaikan kuota. Untuk informasi selengkapnya, lihat kuota Layanan Systems Manager di bagian. Referensi Umum AWS

Pembaruan Asosiasi SSM Gagal

GuardDuty Asosiasi SSM tidak ada di akun Anda

GuardDuty Asosiasi SSM tidak ada di akun Anda. Nonaktifkan dan kemudian aktifkan kembali Runtime Monitoring.

Penghapusan Asosiasi SSM Gagal

GuardDuty Asosiasi SSM tidak ada di akun Anda

Asosiasi SSM tidak ada di akun Anda. Jika asosiasi SSM dihapus dengan sengaja, maka tidak ada tindakan yang diperlukan.

Eksekusi Asosiasi Instans SSM Gagal

Persyaratan arsitektur atau prasyarat lainnya tidak terpenuhi.

Untuk informasi tentang distribusi sistem operasi terverifikasi, lihatPrasyarat untuk dukungan instans Amazon EC2.

Jika Anda masih mengalami masalah ini, langkah-langkah berikut akan membantu Anda mengidentifikasi dan berpotensi menyelesaikan masalah:

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, di bawah Manajemen node, pilih Manajer Negara.

  3. Filter berdasarkan properti Nama Dokumen dan masukkan AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin.

  4. Pilih ID asosiasi yang sesuai dan lihat riwayat Eksekusinya.

  5. Menggunakan riwayat eksekusi, melihat kegagalan, mengidentifikasi akar penyebab potensial, dan mencoba untuk menyelesaikannya.

Pembuatan Titik Akhir VPC Gagal

Pembuatan titik akhir VPC tidak didukung untuk VPC bersama vpcId

Runtime Monitoring mendukung penggunaan VPC bersama dalam suatu organisasi. Untuk informasi selengkapnya, lihat Menggunakan VPC bersama dengan Runtime Monitoring.

Hanya saat menggunakan VPC bersama dengan konfigurasi agen otomatis

ID akun pemilik 111122223333 untuk VPC bersama vpcId tidak mengaktifkan Runtime Monitoring, konfigurasi agen otomatis, atau keduanya

 Akun pemilik VPC bersama harus mengaktifkan Runtime Monitoring dan konfigurasi agen otomatis untuk setidaknya satu jenis sumber daya (Amazon EKS atau Amazon ECS ()).AWS Fargate Untuk informasi selengkapnya, lihat Prasyarat khusus untuk Runtime Monitoring GuardDuty.

Mengaktifkan DNS pribadi memerlukan atribut keduanya dan enableDnsSupport enableDnsHostnames VPC disetel ke true for vpcId (Layanan: Ec2, Kode Status: 400, ID Permintaan:). a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

Pastikan atribut VPC berikut disetel ke trueenableDnsSupport dan. enableDnsHostnames Untuk informasi selengkapnya, lihat atribut DNS di VPC Anda.

Jika Anda menggunakan Konsol VPC Amazon di https://console.aws.amazon.com/vpc/untuk membuat VPC Amazon, pilih keduanya Aktifkan nama host DNS dan Aktifkan resolusi DNS. Untuk informasi selengkapnya, lihat opsi konfigurasi VPC.

Setelah memperbarui atribut VPC, Anda harus mempercepat percobaan ulang pembuatan titik akhir VPC dengan membuat salah satu perubahan ini:

  • Anda dapat menambahkan atau memodifikasi GuardDutyManaged tag untuk instans Amazon EC2 Anda (disarankan). Misalnya, Anda dapat menambahkanGuardDutyManaged: true untuk menyertakan instance untuk Runtime Monitoring.

  • Anda dapat mengubah status instans Amazon EC2 (berhenti atau mulai ulang).

Penghapusan Titik Akhir VPC Bersama Gagal

Penghapusan titik akhir VPC bersama tidak diizinkan untuk ID akun, VPC 111122223333 bersama, ID akun pemilik. vpcId 555555555555
Langkah-langkah potensial:

  • Menonaktifkan status Runtime Monitoring akun peserta VPC bersama tidak memengaruhi kebijakan titik akhir VPC bersama dan grup keamanan yang ada di akun pemilik.

    Untuk menghapus titik akhir VPC bersama dan grup keamanan, Anda harus menonaktifkan Pemantauan Waktu Proses atau status konfigurasi agen otomatis di akun pemilik VPC bersama.

  • Akun peserta VPC bersama tidak dapat menghapus titik akhir VPC bersama dan grup keamanan yang dihosting di akun pemilik VPC bersama.

Agen tidak melaporkan

(Kosong dengan sengaja)

Jenis masalah telah mencapai akhir dukungan. Jika Anda terus mengalami masalah ini dan belum melakukannya, aktifkan agen GuardDuty otomatis untuk Amazon EC2.

Jika masalah masih berlanjut, pertimbangkan untuk menonaktifkan Runtime Monitoring selama beberapa menit dan kemudian aktifkan lagi.