本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 在 EC2 恶意软件防护中监控扫描状态和结果 在 Amazon EC2 实例上启动恶意软件扫描后,会自动 GuardDuty 提供状态和结果字段。您可以通过转换来监控状态,并查看是否检测到恶意软件。下表提供了与恶意软件扫描相关的可能值。 | 类别 | 可能的 值 | | --- | --- | | 扫描状态 | `Running`、`Completed`、`Skipped` 或 `Failed` | | 扫描结果[*](#scan-result-malwalre-protection-ec2) | `Clean` 或 `Infected` | | 扫描类型 | `GuardDuty initiated` 或 `On demand` | \$1只有当扫描状态变为 `Completed` 时,才会填充扫描结果。扫描结果`Infected`表示 GuardDuty 检测到恶意软件的存在。 每次恶意软件扫描的扫描结果保留期为 90 天。选择您的首选访问方式来跟踪恶意软件扫描的状态。 ------ #### [ Console ] 1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。 1. 在导航窗格中,选择 **EC2 恶意软件扫描**。 1. 您可以通过*筛选条件搜索栏*中提供的以下**属性**筛选恶意软件扫描。 + **扫描 ID**:与 EC2 恶意软件扫描相关的唯一标识符。 + **账户 AWS 账户 ID** — 启动恶意软件扫描的 ID。 + **EC2 实例 ARN**:与扫描关联的 Amazon EC2 实例关联的 Amazon 资源名称(ARN)。 + **扫描状态**:EBS 卷的扫描状态,例如**正在运行**、**已跳过**和**已完成** + **扫描类型**-表示这是按需恶意软件扫描还是 GuardDuty启动的恶意软件扫描。 ------ #### [ API/CLI ] + 恶意软件扫描得出扫描结果后 [DescribeMalwareScans](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeMalwareScans.html),使用根据、`EC2_INSTANCE_ARN`、、`SCAN_ID``ACCOUNT_ID``SCAN_TYPE``GUARDDUTY_FINDING_ID``SCAN_STATUS`、和筛选恶意软件扫描`SCAN_START_TIME`。 GuardDuty 启动时,`GUARDDUTY_FINDING_ID`筛选条件可用。`SCAN_TYPE` + 你可以在下面的命令*filter-criteria*中更改示例。目前,您可以一次根据一个 `CriterionKey` 进行筛选。`CriterionKey` 的选项为 `EC2_INSTANCE_ARN`、`SCAN_ID`、`ACCOUNT_ID`、`SCAN_TYPE`、`GUARDDUTY_FINDING_ID`、`SCAN_STATUS` 和 `SCAN_START_TIME`。 您可以更改*max-results*(最多 50)和*sort-criteria*。`AttributeName` 是必填项,必须为 `scanStartTime`。 在以下示例中,中的值*red*是占位符。将其替换为适合您账户的值。例如,将示例替换为您自己的有效示`detector-id`*60b8777933648562554d637e0e4bb3b2*例`detector-id`。如果您使用`CriterionKey`如下所示的示例,请确保将示例`EqualsValue`替换为您自己的有效示例 AWS *scan-id*。 ``` aws guardduty describe-malware-scans --detector-id 60b8777933648562554d637e0e4bb3b2 --max-results 1 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"SCAN_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }' ``` + 此命令的响应最多显示一个结果,其中包含有关受影响资源和恶意软件调查发现的详细信息(如果 `Infected`)。 ------