翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon ECS クラスターのランタイムカバレッジとトラブルシューティング
Amazon ECS クラスターのランタイムカバレッジには、 AWS Fargate および Amazon ECS コンテナインスタンスで実行されるタスクが含まれます[1](#ecs-container-instance)。
Fargate で実行される Amazon ECS クラスターの場合、ランタイムカバレッジはタスクレベルで評価されます。ECS クラスターのランタイムカバレッジには、Fargate (ECS のみ) の Runtime Monitoring と自動エージェント設定を有効にした後に実行を開始した Fargate タスクが含まれます。デフォルトでは、Fargate タスクは変更できません。GuardDuty は、セキュリティエージェントをインストールして、既に実行されているタスクのコンテナをモニタリングすることはできません。このような Fargate タスクを含めるには、タスクを停止して再度開始する必要があります。関連付けられたサービスがサポートされていることを確認します。
Amazon ECS コンテナの詳細については、[キャパシティの作成](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/create-capacity.html)に関するページを参照してください。
**Topics**
+ [カバレッジ統計の確認](#ecs-review-coverage-statistics-ecs-runtime-monitoring)
+ [カバレッジステータス変更時の EventBridge 通知](#ecs-runtime-monitoring-coverage-status-change)
+ [Amazon ECS-Fargate ランタイムカバレッジの問題のトラブルシューティング](#ecs-runtime-monitoring-coverage-issues-troubleshoot)
## カバレッジ統計の確認
自分のアカウントまたはメンバーアカウントに関連付けられた Amazon ECS リソースのカバレッジ統計は、選択した AWS リージョン内のすべての ECS クラスターに対する正常な ECS クラスターの割合です。これには、Fargate インスタンスと Amazon EC2 インスタンスの両方に関連付けられた Amazon ECS クラスターのカバレッジが含まれます。次の式はこれを次のように表します。
(正常なクラスター/すべてのクラスター)\$1100
### 考慮事項
+ ECS クラスターのカバレッジ統計には、その ECS クラスターに関連付けられた Fargate タスクまたは ECS コンテナインスタンスのカバレッジステータスが含まれます。Fargate タスクのカバレッジステータスには、実行中のタスク、または最近実行を終了したタスクが含まれます。
+ **[ECS クラスターのランタイムカバレッジ]** タブの **[対象のコンテナインスタンス]** フィールドは、Amazon ECS クラスターに関連付けられたコンテナインスタンスのカバレッジステータスを示します。
Amazon ECS クラスターに Fargate タスクのみが含まれている場合、カウントは **[0/0]** と表示されます。
+ Amazon ECS クラスターがセキュリティエージェントを持たない Amazon EC2 インスタンスに関連付けられている場合、Amazon ECS クラスターのカバレッジステータスも **[異常]** になります。
関連付けられた Amazon EC2 インスタンスのカバレッジの問題を特定してトラブルシューティングするには、Amazon EC2 インスタンスの「[Amazon EC2 ランタイムカバレッジの問題のトラブルシューティング](gdu-assess-coverage-ec2.md#ec2-runtime-monitoring-coverage-issues-troubleshoot)」を参照してください。
いずれかのアクセス方法を選択して、アカウントのカバレッジ統計を確認してください。
------
#### [ Console ]
+ にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
+ ナビゲーションペインで、**[Runtime Monitoring]** を選択します。
+ **[ランタイムカバレッジ]** タブを選択します。
+ **[ECS クラスターのランタイムカバレッジ]** タブでは、**[クラスターリスト]** テーブルにある各 Amazon ECS クラスターのカバレッジステータス別に集計されたカバレッジ統計を表示できます。
+ **[クラスターリスト]** テーブルは次の列でフィルタリングできます。
+ **アカウント ID**
+ **[クラスター名]**
+ **[エージェント管理タイプ]**
+ **[カバレッジステータス]**
+ Amazon ECS クラスターのいずれかの **[カバレッジステータス]** が **[異常]** の場合、**[問題]** 列には、**[異常]** ステータスである理由に関する追加情報が含まれています。
Amazon ECS クラスターが Amazon EC2 インスタンスに関連付けられている場合は、**[EC2 インスタンスランタイムカバレッジ]** タブに移動し、**[クラスター名]** フィールドでフィルタリングして、関連する **[問題]** を表示します。
------
#### [ API/CLI ]
+ 独自の有効なディテクター ID、現在のリージョン、サービスエンドポイントを使用して [ListCoverage](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListCoverage.html) API を実行します。この API を使用して、インスタンスリストをフィルタリングしたり、ソートしたりできます。
+ 以下の `CriterionKey` のオプションのいずれかを使用して例 `filter-criteria` を変更できます。
+ `ACCOUNT_ID`
+ `ECS_CLUSTER_NAME`
+ `COVERAGE_STATUS`
+ `MANAGEMENT_TYPE`
+ 以下のオプションで `sort-criteria` の例 `AttributeName` を変更できます。
+ `ACCOUNT_ID`
+ `COVERAGE_STATUS`
+ `ISSUE`
+ `ECS_CLUSTER_NAME`
+ `UPDATED_AT`
このフィールドは、関連する Amazon ECS クラスターで新しいタスクが作成されたとき、または対応するカバレッジステータスに変更があったときにのみ更新されます。
+ *max-results* (最大 50) を変更できます。
+ アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
```
aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "ECS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }' --max-results 5
```
+ [GetCoverageStatistics](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetCoverageStatistics.html) API を実行すると、`statisticsType` に基づいてカバレッジ集計された統計情報を取得できます。
+ 例 `statisticsType` を次のオプションのいずれかに変更できます。
+ `COUNT_BY_COVERAGE_STATUS` - カバレッジステータス別に集計された ECS クラスターのカバレッジステータスを表します。
+ `COUNT_BY_RESOURCE_TYPE` – リスト内の AWS リソースのタイプに基づいて集計されたカバレッジ統計。
+ コマンドで例 `filter-criteria` を変更できます。`CriterionKey` に対して次のオプションを設定できます。
+ `ACCOUNT_ID`
+ `ECS_CLUSTER_NAME`
+ `COVERAGE_STATUS`
+ `MANAGEMENT_TYPE`
+ `INSTANCE_ID`
+ アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
```
aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
```
------
カバレッジ問題を解決する方法の詳細については、「[Amazon ECS-Fargate ランタイムカバレッジの問題のトラブルシューティング](#ecs-runtime-monitoring-coverage-issues-troubleshoot)」を参照してください。
## カバレッジステータス変更時の EventBridge 通知
Amazon ECS クラスターのカバレッジステータスは **[異常]** と表示される場合があります。カバレッジステータスの変化を検出するためにカバレッジステータスを定期的に監視し、ステータスが **[異常]** の場合はトラブルシューティングすることをお勧めします。または、Amazon EventBridge ルールを作成して、カバレッジステータスが **[異常]** から **[正常]** に変更された場合やそれ以外の変更があった場合に通知を受け取ることもできます。デフォルトでは、GuardDuty はこれをアカウントの [EventBridge バス](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html)に公開します。
### 通知スキーマの例
EventBridge のルールでは、あらかじめ定義されたサンプルイベントとイベントパターンを使用して、カバレッジステータスの通知を受け取ることができます。EventBridge ルールの作成の詳細については、「*Amazon EventBridge ユーザーガイド*」の「[ルールの作成](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html#eb-gs-create-rule)」を参照してください。
さらに、次の通知スキーマの例を使用して、カスタムイベントパターンを作成します。アカウントの値を必ず置き換えてください。Amazon ECS クラスターのカバレッジステータスが `Healthy` から `Unhealthy` に変更されたときに通知を受け取るには、`detail-type` が *GuardDuty Runtime Protection Unhealthy* である必要があります。カバレッジステータスが `Unhealthy` から `Healthy` に変更されたときに通知を受け取るには、`detail-type` の値を *GuardDuty Runtime Protection Healthy* に置き換えます。
```
{
"version": "0",
"id": "event ID",
"detail-type": "GuardDuty Runtime Protection Unhealthy",
"source": "aws.guardduty",
"account": "AWS アカウント ID",
"time": "event timestamp (string)",
"region": "AWS リージョン",
"resources": [
],
"detail": {
"schemaVersion": "1.0",
"resourceAccountId": "string",
"currentStatus": "string",
"previousStatus": "string",
"resourceDetails": {
"resourceType": "ECS",
"ecsClusterDetails": {
"clusterName":"",
"fargateDetails":{
"issues":[],
"managementType":""
},
"containerInstanceDetails":{
"coveredContainerInstances":int,
"compatibleContainerInstances":int
}
}
},
"issue": "string",
"lastUpdatedAt": "timestamp"
}
}
```
## Amazon ECS-Fargate ランタイムカバレッジの問題のトラブルシューティング
Amazon ECS クラスターのカバレッジステータスが **[異常]** の場合、その理由を **[問題]** 列で確認できます。
次のテーブルは、Fargate (Amazon ECS のみ) の問題に推奨されるトラブルシューティング手順を示しています。Amazon EC2 インスタンスカバレッジの問題の詳細については、Amazon EC2 インスタンスの「[Amazon EC2 ランタイムカバレッジの問題のトラブルシューティング](gdu-assess-coverage-ec2.md#ec2-runtime-monitoring-coverage-issues-troubleshoot)」を参照してください。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/gdu-assess-coverage-ecs.html)