翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# CloudWatch Logs を監査する方法と、Malware Protection for EC2 スキャン中にリソースがスキップされる理由について
<a name="malware-protection-auditing-scan-logs"></a>

GuardDuty Malware Protection for EC2 は Amazon CloudWatch ロググループ **/aws/guardduty/malware-scan-events** にイベントを発行します。マルウェアスキャンに関連する各イベントについて、影響を受けるリソースのステータスとスキャン結果を監視できます。特定の Amazon EC2 リソースと Amazon EBS ボリュームが、Malware Protection for EC2 スキャン中にスキップされた可能性があります。

## GuardDuty Malware Protection for EC2 の CloudWatch Logs の監査
<a name="mp-audit-cloudwatch-events"></a>

CloudWatch ロググループ **/aws/guardduty/malware-scan-events** でサポートされるスキャンイベントには 3 つのタイプがあります。


| Malware Protection for EC2 スキャンイベント名 | 説明 | 
| --- | --- | 
|  `EC2_SCAN_STARTED`  |  GuardDuty Malware Protection for EC2 が、EBS ボリュームのスナップショットを作成する準備など、マルウェアスキャンのプロセスを開始するときに作成されます。  | 
|  `EC2_SCAN_COMPLETED`  |  影響を受けるリソースの EBS ボリュームの少なくとも 1 つに対して GuardDuty Malware Protection for EC2 スキャンが完了したときに作成されます。このイベントには、スキャンされた EBS ボリュームに属する `snapshotId` も含まれます。スキャンが完了すると、スキャン結果は、`CLEAN`、`THREATS_FOUND`、または `NOT_SCANNED` のいずれかになります。  | 
|  `EC2_SCAN_SKIPPED`  |  GuardDuty Malware Protection for EC2 スキャンが影響を受けるリソースのすべての EBS ボリュームをスキップするときに作成されます。スキップ理由を特定するには、対応するイベントを選択し、詳細を表示します。スキップの理由の詳細については、以下の「[マルウェアスキャン中にリソースをスキップする理由](#mp-scan-skip-reasons)」を参照してください。  | 

**注記**  
を使用している場合 AWS Organizations、Organizations のメンバーアカウントからの CloudWatch ログイベントは、管理者アカウントとメンバーアカウントのロググループの両方に発行されます。

任意のアクセス方法を選択して、CloudWatch イベントを表示およびクエリします。

------
#### [ Console ]

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) で CloudWatch コンソールを開きます。

1. ナビゲーションペインの **[ログ]** で、**[ロググループ]** を選択します。ロググループ **/aws/guardduty/malware-scan-events** を選択し、GuardDuty Malware Protection for EC2 のスキャンイベントを表示します。

   クエリを実行するには、**[Log Insights]** (ログのインサイト) を選択してください 

   クエリの実行については、「*Amazon CloudWatch Logs ユーザーガイド*」の「[ CloudWatch Logs Insights によるログデータの分析](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)」を参照してください。

1. **[Scan ID]** (スキャン ID) を選択して、影響を受けたリソースとマルウェアの検出結果の詳細を監視します。例えば、次のクエリを実行し、CloudWatch ログイベントを `scanId` でフィルタリングできます。ご自身の有効な *Scan-ID* を使用してください。

   ```
   fields @timestamp, @message, scanRequestDetails.scanId as scanId
   | filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
   | sort @timestamp asc
   ```

------
#### [ API/CLI ]
+ ロググループを操作するには、「*Amazon CloudWatch ユーザーガイド*」の「[AWS CLIを使用したログエントリの検索](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html#search-log-entries-cli)」を参照してください。

  ロググループ **/aws/guardduty/malware-scan-events** を選択し、GuardDuty Malware Protection for EC2 のスキャンイベントを表示します。
+ ログイベントを表示してフィルタリングするには、「*Amazon CloudWatch API リファレンス*」の「[https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html)」および「[https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html)」をそれぞれ参照してください。

------

## GuardDuty Malware Protectionfor EC2 ログの保持
<a name="malware-scan-event-log-retention"></a>

ロググループ **/aws/guardduty/malware-scan-events** のデフォルトのログ保持期間は 90 日で、その後ログイベントは自動的に削除されます。CloudWatch ロググループのログ保持ポリシーを変更するには、「*Amazon CloudWatch ユーザーガイド*」の「[CloudWatch Logs でのログデータ保持を変更する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention)」または「*Amazon CloudWatch API リファレンス*」の「[https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html)」を参照してください。

## マルウェアスキャン中にリソースをスキップする理由
<a name="mp-scan-skip-reasons"></a>

マルウェアスキャンに関連するイベントでは、特定の EC2 リソースと EBS ボリュームがスキャンプロセス中にスキップされた可能性があります。次の表に、GuardDuty Malware Protection for EC2 がリソースをスキャンしない理由を示します。該当する場合は、提案された手順を使用してこれらの問題を解決し、次回 GuardDuty Malware Protection for EC2 がマルウェアスキャンを開始したときにこれらのリソースをスキャンするようにします。その他の問題は、イベントの経過を知らせるために使用されるものであり、対応不要です。


| スキップの理由 | 説明 | 提案されるステップ | 
| --- | --- | --- | 
|  `RESOURCE_NOT_FOUND`  | オンデマンドマルウェアスキャンの開始に`resourceArn`提供された は、 AWS 環境で見つかりませんでした。 | Amazon EC2 インスタンスの `resourceArn` またはコンテナのワークロードを検証して、もう一度試してください。 | 
|  `ACCOUNT_INELIGIBLE`  | オンデマンドマルウェアスキャンを開始しようとした AWS アカウント ID で GuardDuty が有効になっていません。 | この AWS アカウントで GuardDuty が有効になっていることを確認します。 新しい で GuardDuty を有効にする AWS リージョン と、同期に最大 20 分かかる場合があります。 | 
|  `UNSUPPORTED_KEY_ENCRYPTION`  |  GuardDuty Malware Protection for EC2 は、暗号化されていないボリュームと、カスタマーマネージドキーで暗号化されたボリュームをサポートします。[Amazon EBS 暗号化](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/EBSEncryption.html)を使用して暗号化された EBS ボリュームのスキャンはサポートされていません。 現在、リージョンによってはこのスキップ理由が当てはまらないことがあります。これらの詳細については AWS リージョン、「」を参照してください[リージョン固有機能の可用性](guardduty_regions.md#gd-regional-feature-availability)。  |  暗号化キーをカスタマーマネージドキーに置き換えます。GuardDuty がサポートする暗号化タイプの詳細については、「[マルウェアスキャンでサポートされている Amazon EBS ボリューム](gdu-malpro-supported-volumes.md)」を参照してください。  | 
|  `EXCLUDED_BY_SCAN_SETTINGS`  |  EC2 インスタンスまたは EBS ボリュームは、マルウェアスキャン中に除外されました。2 つの可能性があります。タグが対象リストに追加されたが、リソースがこのタグに関連付けられていないか、タグが除外リストに追加され、リソースがそのタグに関連付けられている、または、`GuardDutyExcluded` タグがそのリソースに対し `true` に設定されています。  |  スキャンオプションまたは Amazon EC2 リソースに関連付けられているタグを更新します。詳細については、「[ユーザー定義タグ付きのスキャンオプション](malware-protection-customizations.md#mp-scan-options)」を参照してください。  | 
|  `UNSUPPORTED_VOLUME_SIZE`  |  ボリュームが 2,048 GB を超えています。  |  実用的ではありません。  | 
|  `NO_VOLUMES_ATTACHED`  |  GuardDuty Malware Protection for EC2 がアカウントでインスタンスを検出しましたが、このインスタンスにスキャンを続行するための EBS ボリュームがアタッチされていません。  |  実用的ではありません。  | 
|  `UNABLE_TO_SCAN`  |  内部サービスエラー。  |  実用的ではありません。  | 
|  `SNAPSHOT_NOT_FOUND`  |  EBS ボリュームから作成され、サービスアカウントと共有されているスナップショットが見つかりませんでした。GuardDuty Malware Protection for EC2 はスキャンを続行できませんでした。  |  CloudTrail をチェックして、スナップショットが意図的に削除されていないことを確認します。  | 
|  `SNAPSHOT_QUOTA_REACHED`  |  各リージョンのスナップショットに許可されている最大ボリュームに達しました。これにより、スナップショットの保持だけでなく、新しいスナップショットの作成もできなくなります。  |  古いスナップショットを削除するか、クォータの増加をリクエストできます。リージョンごとのスナップショットのデフォルト制限と、クォータの増加をリクエストする方法については、「*AWS 全般のリファレンスガイド*」の「[Service Quotas](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html#limits_ebs)」を参照してください。  | 
|  `MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED`  | EC2 インスタンスに 11 を超えた EBS ボリュームがアタッチされました。GuardDuty Malware Protection for EC2 は、`deviceName` のアルファベット順に取得された EBS ボリュームの最初の 11 個をスキャンしました。 | 実用的ではありません。 | 
|  `UNSUPPORTED_PRODUCT_CODE_TYPE`  | GuardDuty は、`productCode` を `marketplace` として持つほとんどのインスタンスをスキャンできます。一部のマーケットプレイスインスタンスはスキャンの対象外となる場合があります。GuardDuty はそのようなインスタンスをスキップし、理由を `UNSUPPORTED_PRODUCT_CODE_TYPE` としてログに記録します。このサポートは、 AWS GovCloud (US) および中国リージョンによって異なります。詳細については、「[リージョン固有機能の可用性](guardduty_regions.md#gd-regional-feature-availability)」を参照してください。 詳細については、「*Amazon EC2 ユーザーガイド*」の「[有料 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/paid-amis.html)」を参照してください。`productCode` の詳細については、「*Amazon EC2 API リファレンス*」の「[https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html)」を参照してください。  | 実用的ではありません。 |