기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# CloudWatch 로그 및 EC2용 맬웨어 보호 스캔 중에 리소스를 건너뛰는 이유 이해
<a name="malware-protection-auditing-scan-logs"></a>

EC2용 GuardDuty 맬웨어 보호는 Amazon CloudWatch 로그 그룹 **/aws/guardduty/malware-scan-events**로 이벤트를 게시합니다. 맬웨어 스캔과 관련된 각 이벤트에 대해 영향을 받는 리소스의 상태 및 스캔 결과를 모니터링할 수 있습니다. EC2용 맬웨어 보호 스캔 중에 특정 Amazon EC2 리소스 및 Amazon EBS 볼륨을 건너뛰었을 수 있습니다.

## EC2용 GuardDuty 맬웨어 보호에서 CloudWatch 로그 감사
<a name="mp-audit-cloudwatch-events"></a>

**/aws/guardduty/malware-scan-events** CloudWatch 로그 그룹에서는 세 가지 유형의 스캔 이벤트가 지원됩니다.


| EC2용 맬웨어 보호 스캔 이벤트 이름 | 설명 | 
| --- | --- | 
|  `EC2_SCAN_STARTED`  |  EC2용 GuardDuty 맬웨어 보호에서 맬웨어 스캔 프로세스(예: EBS 볼륨의 스냅샷 생성 준비)를 시작할 때 생성됩니다.  | 
|  `EC2_SCAN_COMPLETED`  |  영향을 받는 리소스의 EBS 볼륨 중 하나 이상에 대해 EC2용 GuardDuty 맬웨어 보호 스캔이 완료될 때 생성됩니다. 이 이벤트에는 스캔한 EBS 볼륨에 속하는 `snapshotId`도 포함됩니다. 스캔 완료 후에는 스캔 결과가 `CLEAN`, `THREATS_FOUND` 또는 `NOT_SCANNED`입니다.  | 
|  `EC2_SCAN_SKIPPED`  |  EC2용 GuardDuty 맬웨어 보호 스캔에서 영향을 받는 리소스의 모든 EBS 볼륨을 건너뛸 때 생성됩니다. 건너뛴 이유를 식별하려면 해당 이벤트를 선택하고 세부 정보를 확인합니다. 건너뛴 이유에 대한 자세한 내용은 아래의 [맬웨어 스캔 중에 리소스를 건너뛴 이유](#mp-scan-skip-reasons) 섹션을 참조하세요.  | 

**참고**  
를 사용하는 경우 Organizations의 멤버 계정에서 발생한 AWS Organizations CloudWatch 로그 이벤트는 관리자 계정과 멤버 계정의 로그 그룹 모두에 게시됩니다.

선호하는 액세스 방법을 선택하여 CloudWatch 이벤트를 보고 쿼리합니다.

------
#### [ Console ]

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) CloudWatch 콘솔을 엽니다.

1. 왼쪽 탐색 창의 [**로그(Logs)**]에서 [**로그 그룹(Log groups)**]을 선택합니다. **/aws/guardduty/malware-scan-events** 로그 그룹을 선택하여 EC2용 GuardDuty 맬웨어 보호의 스캔 이벤트를 봅니다.

   쿼리를 실행하려면 **Log Insights**를 선택합니다.

   쿼리 실행에 대한 자세한 내용은 Amazon CloudWatch 사용 설명서**의 [CloudWatch Logs Insights를 사용한 로그 분석](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)을 참조하세요.

1. **스캔 ID**를 선택하여 영향을 받는 리소스 및 맬웨어 결과의 세부 정보를 모니터링합니다. 예를 들어 다음 쿼리를 실행하여 `scanId` 사용을 통해 CloudWatch 로그 이벤트를 필터링할 수 있습니다. 유효한 *scan-id*를 사용해야 합니다.

   ```
   fields @timestamp, @message, scanRequestDetails.scanId as scanId
   | filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
   | sort @timestamp asc
   ```

------
#### [ API/CLI ]
+ 로그 그룹을 사용하려면 Amazon CloudWatch 사용 설명서**에서 [AWS CLI를 사용하여 통해 로그 항목 검색](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html#search-log-entries-cli)을 참조하세요.

  **/aws/guardduty/malware-scan-events** 로그 그룹을 선택하여 EC2용 GuardDuty 맬웨어 보호의 스캔 이벤트를 봅니다.
+ 로그 이벤트를 보고 필터링하려면 Amazon CloudWatch API 참조**의 [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html) 및 [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html) 섹션을 각각 참조하세요.

------

## EC2용 GuardDuty 맬웨어 보호 로그 보존
<a name="malware-scan-event-log-retention"></a>

**/aws/guardduty/malware-scan-events** 로그 그룹의 기본 로그 보존 기간은 90일로, 이 기간이 지나면 로그 이벤트가 자동으로 삭제됩니다. CloudWatch 로그 그룹에 대한 로그 보존 정책을 변경하려면 *Amazon CloudWatch 사용 설명서*의 [CloudWatch 로그에서 로그 데이터 보존 변경](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) 또는 *Amazon CloudWatch API 참조*의 [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html)를 참조하세요.

## 맬웨어 스캔 중에 리소스를 건너뛴 이유
<a name="mp-scan-skip-reasons"></a>

맬웨어 스캔과 관련된 이벤트에서 특정 EC2 리소스 및 EBS 볼륨이 검사 프로세스 중에 건너뛰기되었을 수 있습니다. 다음 테이블에는 EC2용 GuardDuty 맬웨어 보호가 리소스를 스캔하지 않을 수 있는 이유가 나와 있습니다. 해당하는 경우 제안된 단계를 사용하여 이러한 문제를 해결하고, 다음에 EC2용 GuardDuty 맬웨어 보호에서 맬웨어 스캔을 시작할 때 이러한 리소스를 스캔합니다. 다른 문제는 이벤트 진행 상황을 알려주는 데 사용되며 조치를 취할 수 없습니다.


| 건너뛰는 이유 | 설명 | 제안 단계 | 
| --- | --- | --- | 
|  `RESOURCE_NOT_FOUND`  | 온디맨드 맬웨어 스캔을 시작하기 위해 `resourceArn` 제공된를 AWS 사용자 환경에서 찾을 수 없습니다. | Amazon EC2 인스턴스 또는 컨테이너 워크로드의 `resourceArn`을 검증하고 다시 시도합니다. | 
|  `ACCOUNT_INELIGIBLE`  | 온디맨드 맬웨어 스캔을 시작하려고 시도한 AWS 계정 ID가 GuardDuty를 활성화하지 않았습니다. | 이 AWS 계정에 대해 GuardDuty가 활성화되어 있는지 확인합니다. 새에서 GuardDuty를 활성화하면 동기화하는 데 최대 20분이 걸릴 AWS 리전 수 있습니다. | 
|  `UNSUPPORTED_KEY_ENCRYPTION`  |  EC2용 GuardDuty 맬웨어 보호는 암호화되지 않은 볼륨과 고객 관리 키로 암호화된 볼륨을 모두 지원합니다. [Amazon EBS 암호화](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/EBSEncryption.html)를 사용하여 암호화된 EBS 볼륨의 스캔은 지원하지 않습니다. 현재 이 건너뛰기 사유가 적용되지 않는 리전에는 지역적 차이가 있습니다. 이에 대한 자세한 내용은 단원을 AWS 리전참조하십시오[리전별 기능 가용성](guardduty_regions.md#gd-regional-feature-availability).  |  암호화 키를 고객 관리 키로 교체하세요. GuardDuty에서 지원하는 암호화 유형에 대한 자세한 내용은 [맬웨어 스캔에 지원되는 Amazon EBS 볼륨](gdu-malpro-supported-volumes.md) 섹션을 참조하세요.  | 
|  `EXCLUDED_BY_SCAN_SETTINGS`  |  EC2 인스턴스 또는 EBS 볼륨이 맬웨어 스캔 도중 제외되었습니다. 태그가 포함 목록에 추가되었지만 리소스가 이 태그와 연결되지 않았거나, 태그가 제외 목록에 추가되었고 리소스가 이 태그와 연결되어 있거나, `GuardDutyExcluded` 태그가 이 리소스에 대해 `true`로 설정되었을 가능성이 있습니다.  |  스캔 옵션이나 Amazon EC2 리소스에 연결된 태그를 업데이트하세요. 자세한 내용은 [사용자 정의 태그를 사용하는 스캔 옵션](malware-protection-customizations.md#mp-scan-options) 단원을 참조하십시오.  | 
|  `UNSUPPORTED_VOLUME_SIZE`  |  볼륨이 2,048GB를 초과합니다.  |  실행 불가.  | 
|  `NO_VOLUMES_ATTACHED`  |  EC2용 GuardDuty 맬웨어 보호가 계정에서 인스턴스를 찾았지만 스캔을 진행할 EBS 볼륨이 이 인스턴스에 연결되지 않았습니다.  |  실행 불가.  | 
|  `UNABLE_TO_SCAN`  |  내부 서비스 오류입니다.  |  실행 불가.  | 
|  `SNAPSHOT_NOT_FOUND`  |  EBS 볼륨에서 생성되고 서비스 계정과 공유된 스냅샷이 없었고, EC2용 GuardDuty 맬웨어 보호에서 스캔을 진행할 수 없었습니다.  |  CloudTrail을 확인하여 스냅샷이 의도적으로 제거되지 않았는지 확인하세요.  | 
|  `SNAPSHOT_QUOTA_REACHED`  |  각 리전의 스냅샷에 허용되는 최대 볼륨에 도달했습니다. 이로 인해 스냅샷 보존뿐 아니라 새 스냅샷 생성도 불가능합니다.  |  기존 스냅샷을 제거하거나 할당량 증가를 요청할 수 있습니다. 리전별 스냅샷의 기본 한도와 할당량 증가를 요청하는 방법은AWS 일반 참조 가이드**의 [Service quotas](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html#limits_ebs)에서 찾아볼 수 있습니다.  | 
|  `MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED`  | 11개를 초과하는 EBS 볼륨이 EC2 인스턴스에 연결되었습니다. EC2용 GuardDuty 맬웨어 보호가 `deviceName`을 알파벳순으로 정렬하여 처음 11개의 EBS 볼륨을 스캔했습니다. | 실행 불가. | 
|  `UNSUPPORTED_PRODUCT_CODE_TYPE`  | GuardDuty는 `productCode`를 `marketplace`로 사용하여 대부분의 인스턴스를 스캔할 수 있습니다. 일부 마켓플레이스 인스턴스는 스캔에 적합하지 않을 수 있습니다. GuardDuty는 이러한 인스턴스를 건너뛰고 이유를 `UNSUPPORTED_PRODUCT_CODE_TYPE`으로 로깅합니다. 이 지원은 AWS GovCloud (US) 및 중국 리전에 따라 다릅니다. 자세한 내용은 [리전별 기능 가용성](guardduty_regions.md#gd-regional-feature-availability) 단원을 참조하십시오. 자세한 내용은 *Amazon EC2 사용 설명서*에서 [유료 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/paid-amis.html)를 참조하세요. `productCode`에 대한 자세한 내용은 Amazon EC2 API 참조**의 [https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html) 섹션을 참조하세요.  | 실행 불가. |