As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Entendendo CloudWatch os registros e os motivos para ignorar recursos durante a verificação do Malware Protection for EC2
<a name="malware-protection-auditing-scan-logs"></a>

GuardDuty O Malware Protection for EC2 publica eventos em seu grupo de CloudWatch log da Amazon**/aws/guardduty/malware**-scan-events. Para cada um dos eventos relacionados à verificação de malware, é possível monitorar o status e o resultado da verificação dos recursos afetados. Alguns recursos do Amazon EC2 e volumes do Amazon EBS podem ter sido ignorados durante a Proteção contra malware para a verificação EC2. 

## CloudWatch Registros de auditoria na proteção contra GuardDuty malware para EC2
<a name="mp-audit-cloudwatch-events"></a>

Há três tipos de eventos de escaneamento suportados no grupo de registros**/aws/guardduty/malware-scan-events** CloudWatch .


| Nome do evento de verificação da Proteção contra malware para EC2 | Explicação | 
| --- | --- | 
|  `EC2_SCAN_STARTED`  |  Criado quando uma proteção contra GuardDuty malware para EC2 está iniciando o processo de verificação de malware, como a preparação para tirar um instantâneo de um volume do EBS.  | 
|  `EC2_SCAN_COMPLETED`  |  Criado quando a verificação do GuardDuty Malware Protection for EC2 é concluída em pelo menos um dos volumes do EBS do recurso afetado. Esse evento também inclui o `snapshotId` pertencente ao volume do EBS verificado. Após a conclusão da verificação, o resultado da verificação será `CLEAN`, `THREATS_FOUND` ou `NOT_SCANNED`.  | 
|  `EC2_SCAN_SKIPPED`  |  Criado quando o GuardDuty malware Protection for EC2 scan ignora todos os volumes do EBS do recurso afetado. Para identificar porque foram ignorados, selecione o evento correspondente e veja os detalhes. Para obter mais informações sobre os motivos para ignorar, veja [Razões para ignorar o recurso durante a verificação de malware](#mp-scan-skip-reasons) abaixo.   | 

**nota**  
Se você estiver usando um AWS Organizations, os eventos de CloudWatch registro das contas dos membros em Organizations serão publicados na conta do administrador e no grupo de registros da conta do membro.

Escolha seu método de acesso preferido para visualizar e consultar CloudWatch eventos.

------
#### [ Console ]

1. Faça login no Console de gerenciamento da AWS e abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. No painel de navegação, em **Logs**, escolha **Grupos de logs**. Escolha o grupo de registros**/aws/guardduty/malware-scan-events** para visualizar os eventos de escaneamento do GuardDuty Malware Protection for EC2. 

   Para executar uma consulta, escolha **Log Insights**. 

   Para obter informações sobre a execução de uma consulta, consulte [Análise de dados de log com o CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) no *Guia CloudWatch do usuário da Amazon*.

1. Escolha **ID de verificação** para monitorar os detalhes do recurso afetado e as descobertas do malware. Por exemplo, você pode executar a consulta a seguir para filtrar os eventos de CloudWatch log usando`scanId`. Certifique-se de usar seu próprio válido*scan-id*.

   ```
   fields @timestamp, @message, scanRequestDetails.scanId as scanId
   | filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
   | sort @timestamp asc
   ```

------
#### [ API/CLI ]
+ Para trabalhar com grupos de registros, consulte [Pesquisar entradas de registro usando o AWS CLI](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html#search-log-entries-cli) no *Guia CloudWatch do usuário da Amazon*. 

  Escolha o grupo de registros**/aws/guardduty/malware-scan-events** para visualizar os eventos de escaneamento do GuardDuty Malware Protection for EC2. 
+ Para visualizar e filtrar eventos de log, consulte [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html)e [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html), respectivamente, na *Amazon CloudWatch API Reference*. 

------

## GuardDuty Proteção contra malware para retenção de registros do EC2
<a name="malware-scan-event-log-retention"></a>

O período padrão de retenção de registros para o grupo de registros**/aws/guardduty/malware-scan-events** é de 90 dias, após os quais os eventos de registro são excluídos automaticamente. Para alterar a política de retenção de registros para seu CloudWatch grupo de registros, consulte [Alterar retenção de dados de log em CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) no *Guia CloudWatch do usuário da Amazon* ou [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html)na *Referência de CloudWatch API da Amazon*.

## Razões para ignorar o recurso durante a verificação de malware
<a name="mp-scan-skip-reasons"></a>

Nos eventos relacionados à verificação de malware, alguns recursos do EC2 e volumes do EBS podem ter sido ignorados durante o processo de verificação. A tabela a seguir lista os motivos pelos quais o GuardDuty Malware Protection for EC2 pode não verificar os recursos. Se aplicável, use as etapas propostas para resolver esses problemas e verifique esses recursos na próxima vez que o GuardDuty Malware Protection for EC2 iniciar uma verificação de malware. Os outros problemas são usados para informar você sobre o curso dos eventos e não são acionáveis. 


| Razões para ignorar | Explicação | Etapas propostas | 
| --- | --- | --- | 
|  `RESOURCE_NOT_FOUND`  | O `resourceArn` fornecido para iniciar a verificação de malware sob demanda não foi encontrado em seu AWS ambiente. | Valide a `resourceArn` de sua instância do Amazon EC2 ou workload de contêiner e tente novamente. | 
|  `ACCOUNT_INELIGIBLE`  | A ID da AWS conta a partir da qual você tentou iniciar uma verificação de malware sob demanda não foi ativada. GuardDuty | Verifique se GuardDuty está habilitado para essa AWS conta. Quando você ativa GuardDuty um novo Região da AWS , a sincronização pode levar até 20 minutos. | 
|  `UNSUPPORTED_KEY_ENCRYPTION`  |  GuardDuty O Malware Protection for EC2 suporta volumes não criptografados e criptografados com a chave gerenciada pelo cliente. Ele não suporta a verificação de volumes do EBS que são criptografados usando a criptografia do [Amazon EBS](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/EBSEncryption.html).  Atualmente, há uma diferença regional em que esse motivo de salto não é aplicável. Para obter mais informações sobre eles Regiões da AWS, consulte[Disponibilidade de recursos específicos da região](guardduty_regions.md#gd-regional-feature-availability).  |  Substitua a chave de criptografia por uma chave gerenciada pelo cliente. Para obter mais informações sobre os tipos de criptografia GuardDuty compatíveis, consulte[Volumes Amazon EBS compatíveis para verificação de malware](gdu-malpro-supported-volumes.md).  | 
|  `EXCLUDED_BY_SCAN_SETTINGS`  |  Durante a verificação de malware, a instância do EC2 ou o volume do EBS foi excluído. Há três possibilidades: a tag foi adicionada à lista de inclusão, mas o recurso não está associado a essa tag; a tag foi adicionada à lista de exclusão e o recurso está associado a essa tag; ou a tag `GuardDutyExcluded` está definida como `true` para esse recurso.  |  Atualize suas opções de verificação ou as tags associadas ao seu recurso do Amazon EC2. Para obter mais informações, consulte [Opções de verificação com tags definidas pelo usuário](malware-protection-customizations.md#mp-scan-options).  | 
|  `UNSUPPORTED_VOLUME_SIZE`  |  O volume é maior que 2048 GB.  |  Não acionável.  | 
|  `NO_VOLUMES_ATTACHED`  |  GuardDuty O Malware Protection for EC2 encontrou a instância em sua conta, mas nenhum volume do EBS foi anexado a essa instância para continuar com a verificação.  |  Não acionável.  | 
|  `UNABLE_TO_SCAN`  |  É um erro de serviço interno.  |  Não acionável.  | 
|  `SNAPSHOT_NOT_FOUND`  |  Os snapshots criados a partir dos volumes do EBS e compartilhados com a conta de serviço não foram encontrados, e o GuardDuty Malware Protection for EC2 não pôde continuar com a verificação.  |  Verifique CloudTrail se os instantâneos não foram removidos intencionalmente.  | 
|  `SNAPSHOT_QUOTA_REACHED`  |  Você atingiu o volume máximo permitido para snapshots em cada região. Isso evita não apenas reter, mas também criar novos snapshots.   |  Você pode remover snapshots antigos ou solicitar o aumento da cota. Você pode ver o limite padrão para snapshots por região e como solicitar o aumento da cota em [Cotas de serviço](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html#limits_ebs) no *Guia de referência geral da AWS *.  | 
|  `MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED`  | Mais de 11 volumes do EBS foram anexados a uma instância do EC2. GuardDuty O Malware Protection for EC2 examinou os primeiros 11 volumes do EBS, obtidos por meio da classificação alfabética. `deviceName` | Não acionável. | 
|  `UNSUPPORTED_PRODUCT_CODE_TYPE`  | GuardDuty pode escanear a maioria das instâncias com `productCode` as`marketplace`. Algumas instâncias do Marketplace podem não estar qualificadas para escaneamento. GuardDuty ignorará essas instâncias e registrará o motivo como`UNSUPPORTED_PRODUCT_CODE_TYPE`. Esse suporte varia nas regiões da China e AWS GovCloud (US) . Para obter mais informações, consulte [Disponibilidade de recursos específicos da região](guardduty_regions.md#gd-regional-feature-availability). Para obter mais informações, consulte [Paid AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/paid-amis.html) no Guia do *usuário do Amazon EC2*. Para obter mais informações, consulte `productCode`Ações de [https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html) na *Referência de API do Amazon EC2*.   | Não acionável. |