As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Cobertura de runtime e solução de problemas para clusters do Amazon ECS
<a name="gdu-assess-coverage-ecs"></a>

A cobertura de tempo de execução dos clusters do Amazon ECS inclui as tarefas em execução nas AWS Fargate instâncias de contêineres do Amazon ECS. [1](#ecs-container-instance)

Para um cluster do Amazon ECS executado no Fargate, a cobertura do runtime é avaliada no nível da tarefa. A cobertura de runtime dos clusters ECS inclui as tarefas do Fargate que começaram a ser executadas depois que o Monitoramento de runtime e a configuração de agente automatizado foram habilitados para o Fargate (somente ECS). Por padrão, uma tarefa do Fargate é imutável. GuardDuty não será possível instalar o agente de segurança para monitorar contêineres em tarefas já em execução. Para incluir essa tarefa do Fargate, pare e inicie a tarefa novamente. Verifique se o serviço associado é compatível.

Para obter informações sobre o contêiner do Amazon ECS, consulte [Criação de capacidade](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/create-capacity.html).

**Topics**
+ [Análise de estatísticas de cobertura](#ecs-review-coverage-statistics-ecs-runtime-monitoring)
+ [Alteração do status da cobertura com EventBridge notificações](#ecs-runtime-monitoring-coverage-status-change)
+ [Solução de problemas de cobertura de runtime do Amazon ECS-Fargate](#ecs-runtime-monitoring-coverage-issues-troubleshoot)

## Análise de estatísticas de cobertura
<a name="ecs-review-coverage-statistics-ecs-runtime-monitoring"></a>

As estatísticas de cobertura dos recursos do Amazon ECS associados às suas próprias contas ou contas-membro são a porcentagem dos clusters do Amazon ECS íntegros em relação a todos os clusters do Amazon ECS nas Região da AWS selecionadas. Isso inclui a cobertura para clusters do Amazon ECS associados às instâncias do Fargate e do Amazon EC2. A seguinte equação representa isso como:

*( clusters/All Clusters saudáveis) \$1100*

### Considerações
<a name="considerations-ecs-coverage-review-stats"></a>
+ As estatísticas de cobertura do cluster do ECS incluem o status de cobertura das tarefas do Fargate ou das instâncias de contêiner do ECS associadas a esse cluster do ECS. O status de cobertura das tarefas do Fargate inclui tarefas que estão em execução ou que foram concluídas recentemente. 
+ Na guia **Cobertura de runtime de clusters EC**, o campo **Instâncias de contêiner cobertas** indica o status de cobertura das instâncias de contêiner associados ao seu cluster Amazon ECS. 

  Se o seu cluster do Amazon ECS contiver somente tarefas do Fargate, a contagem aparecerá como **0/0**.
+ Se o seu cluster do Amazon ECS estiver associado a uma instância do Amazon EC2 que não tenha um agente de segurança, o cluster do Amazon ECS também terá um status de cobertura **Não íntegro**.

  Para identificar e solucionar o problema de cobertura da instância associada do Amazon EC2, consulte [Solucionando problemas de cobertura de runtime do Amazon EC2](gdu-assess-coverage-ec2.md#ec2-runtime-monitoring-coverage-issues-troubleshoot) para instâncias do Amazon EC2.

Selecione um dos métodos de acesso para revisar as estatísticas de cobertura de suas contas.

------
#### [ Console ]
+ Faça login no Console de gerenciamento da AWS e abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
+ No painel de navegação, escolha **Monitoramento de runtime**.
+ Escolha a guia **Cobertura de runtime**.
+ Na guia **Cobertura de runtime de clusters ECS**, você pode visualizar as estatísticas de cobertura agregadas pelo status de cobertura de cada cluster Amazon ECS disponível na tabela **Lista de clusters**. 
  + Você pode filtrar a tabela **Lista de clusters** pelas seguintes colunas:
    + **ID da conta**
    + **Nome do cluster**
    + **Tipo de gerenciamento de agentes**
    + **Status da cobertura**
+ Se algum dos seus clusters do Amazon ECS tiver o **Status de cobertura** como **Não íntegro**, a coluna **Problema** incluirá informações adicionais sobre o motivo do status **Não íntegro**.

  Se seus clusters do Amazon ECS estiverem associados a uma instância do Amazon EC2, navegue até a guia **Cobertura de runtime da instância do EC2** e filtre pelo campo **Nome do cluster** para visualizar o **Problema** associado.

------
#### [ API/CLI ]
+ Execute a [ListCoverage](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListCoverage.html)API com seu próprio ID de detector válido, região atual e endpoint de serviço. É possível filtrar e classificar a lista de instâncias utilizando essa API.
  + Você pode alterar o `filter-criteria` de exemplo com uma das seguintes opções para `CriterionKey`:
    + `ACCOUNT_ID`
    + `ECS_CLUSTER_NAME`
    + `COVERAGE_STATUS`
    + `MANAGEMENT_TYPE`
  + Você pode alterar o `AttributeName` de exemplo em `sort-criteria` com uma das seguintes opções:
    + `ACCOUNT_ID`
    + `COVERAGE_STATUS`
    + `ISSUE`
    + `ECS_CLUSTER_NAME`
    + `UPDATED_AT`

      O campo é atualizado somente quando uma nova tarefa é criada no cluster associado do Amazon ECS ou quando ocorre uma alteração no status da respectiva cobertura.
  + Você pode alterar o *max-results* (até 50).
  + Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

  ```
  aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "ECS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5
  ```
+ Execute a [GetCoverageStatistics](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetCoverageStatistics.html)API para recuperar estatísticas agregadas de cobertura com base no. `statisticsType`
  + Você pode alterar o `statisticsType` de exemplo com uma das seguintes opções:
    + `COUNT_BY_COVERAGE_STATUS` – representa estatísticas de cobertura para clusters do ECS agregadas por status de cobertura.
    + `COUNT_BY_RESOURCE_TYPE`— Estatísticas de cobertura agregadas com base no tipo de AWS recurso na lista.
    + Você pode alterar o `filter-criteria` de exemplo no comando. É possível usar as seguintes opções para `CriterionKey`:
      + `ACCOUNT_ID`
      + `ECS_CLUSTER_NAME`
      + `COVERAGE_STATUS`
      + `MANAGEMENT_TYPE`
      + `INSTANCE_ID`
  + Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

  ```
  aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
  ```

------

Para obter mais informações sobre esses problemas de cobertura, consulte [Solução de problemas de cobertura de runtime do Amazon ECS-Fargate](#ecs-runtime-monitoring-coverage-issues-troubleshoot).

## Alteração do status da cobertura com EventBridge notificações
<a name="ecs-runtime-monitoring-coverage-status-change"></a>

O status da cobertura do seu cluster Amazon ECS pode aparecer como **Não íntegro**. Para saber quando o status de cobertura é alterado, recomendamos monitorar o status de cobertura periodicamente e solucionar o problema, se o status se tornar **Não íntegro**. Como alternativa, você pode criar uma EventBridge regra da Amazon para receber uma notificação quando o status da cobertura mudar de **Insalubre para **Saudável** ou não**. Por padrão, GuardDuty publica isso no [EventBridge barramento](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) da sua conta.

### Exemplo de esquema de notificação
<a name="ecs-gdu-coverage-status-eventbridge-schema"></a>

Em uma EventBridge regra, você pode usar os exemplos de eventos e padrões de eventos predefinidos para receber a notificação do status da cobertura. Para obter mais informações sobre a criação de uma EventBridge regra, consulte [Criar regra](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html#eb-gs-create-rule) no *Guia EventBridge do usuário da Amazon*. 

Além disso, você pode criar um padrão de evento personalizado usando o exemplo de esquema de notificação a seguir. Substitua os valores da sua conta. Para ser notificado quando o status da cobertura do seu cluster Amazon ECS mudar de `Healthy` para`Unhealthy`, `detail-type` deveria ser*GuardDuty Runtime Protection Unhealthy*. Para ser notificado quando o status da cobertura mudar de `Unhealthy` para`Healthy`, substitua o valor de `detail-type` por*GuardDuty Runtime Protection Healthy*.

```
{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Conta da AWS ID",
  "time": "event timestamp (string)",
  "region": "Região da AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "ECS",
        "ecsClusterDetails": {
          "clusterName":"",
          "fargateDetails":{
            "issues":[],
            "managementType":""
          },
          "containerInstanceDetails":{
            "coveredContainerInstances":int,
            "compatibleContainerInstances":int
          }
        }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}
```

## Solução de problemas de cobertura de runtime do Amazon ECS-Fargate
<a name="ecs-runtime-monitoring-coverage-issues-troubleshoot"></a>

Se o status da cobertura do seu cluster Amazon ECS for **Não íntegro**, você poderá ver o motivo na coluna **Problema**. 

A tabela a seguir fornece as etapas recomendadas para a solução de problemas do Fargate (somente Amazon ECS). Para obter informações sobre problemas de cobertura de instância do Amazon EC2, consulte [Solucionando problemas de cobertura de runtime do Amazon EC2](gdu-assess-coverage-ec2.md#ec2-runtime-monitoring-coverage-issues-troubleshoot) para instâncias do Amazon EC2.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/gdu-assess-coverage-ecs.html)