本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon EC2 執行個體的執行期涵蓋範圍和疑難排解
對於 Amazon EC2 資源,執行期涵蓋範圍會在執行個體層級進行評估。您的 Amazon EC2 執行個體可以在環境中 AWS 執行多種類型的應用程式和工作負載。此功能也支援 Amazon ECS 受管 Amazon EC2 執行個體,如果您在 Amazon EC2 執行個體上執行 Amazon ECS 叢集,執行個體層級的涵蓋範圍問題會顯示在 Amazon EC2 執行期涵蓋範圍內。
**Topics**
+ [檢閱涵蓋範圍統計資料](#review-coverage-statistics-ec2-runtime-monitoring)
+ [使用 EventBridge 通知變更涵蓋範圍狀態](#ec2-runtime-monitoring-coverage-status-change)
+ [對 Amazon EC2 執行期涵蓋範圍問題進行故障診斷](#ec2-runtime-monitoring-coverage-issues-troubleshoot)
## 檢閱涵蓋範圍統計資料
與您自己的帳戶或成員帳戶相關聯之 Amazon EC2 執行個體的涵蓋範圍統計資料,是所選 中所有 EC2 執行個體上運作狀態良好的 EC2 執行個體百分比 AWS 區域。可以用下列方程式將此表示為:
*(運作狀態良好的執行個體/所有執行個體)\$1100*
如果您還為 Amazon ECS 叢集部署了 GuardDuty 安全代理程式,則與在 Amazon EC2 執行個體上執行的 Amazon ECS 叢集相關聯的任何執行個體層級涵蓋範圍問題都會顯示為 Amazon EC2 執行個體執行期涵蓋範圍問題。
選擇其中一種存取方法來檢閱您帳戶的涵蓋範圍統計資料。
------
#### [ Console ]
+ 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/):// 開啟 GuardDuty 主控台。
+ 在導覽窗格中,選擇**執行期監控**。
+ 選擇**執行期涵蓋**範圍索引標籤。
+ 在 **EC2 執行個體執行期涵蓋**範圍索引標籤下,您可以檢視執行個體**清單**資料表中可用之每個 Amazon EC2 執行個體涵蓋範圍狀態彙總的涵蓋範圍統計資料。
+ 您可以依下列資料欄篩選**執行個體清單**資料表:
+ **帳戶 ID**
+ **代理程式管理類型**
+ **代理程式版本**
+ **涵蓋範圍狀態**
+ **執行個體 ID**
+ **叢集 ARN**
+ 如果您的任何 EC2 執行個體的**涵蓋狀態**為**運作狀態不佳**,**問題**欄會包含**運作狀態不佳**原因的其他資訊。
------
#### [ API/CLI ]
+ 使用您自己的有效偵測器 ID、目前區域和服務端點執行 [ListCoverage](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListCoverage.html) API。您可以使用此 API 篩選和排序執行個體清單。
+ 您可以使用 `CriterionKey` 的下列選項之一變更範例 `filter-criteria`:
+ `ACCOUNT_ID`
+ `RESOURCE_TYPE`
+ `COVERAGE_STATUS`
+ `AGENT_VERSION`
+ `MANAGEMENT_TYPE`
+ `INSTANCE_ID`
+ `CLUSTER_ARN`
+ 當 `filter-criteria`包含 `RESOURCE_TYPE` 做為 **EC2** 時,執行期監控不支援使用 **ISSUE** 做為 `AttributeName`。如果您使用它,API 回應將導致 `InvalidInputException`。
您可以使用下列選項變更 `sort-criteria` 中的範例 `AttributeName`:
+ `ACCOUNT_ID`
+ `COVERAGE_STATUS`
+ `INSTANCE_ID`
+ `UPDATED_AT`
+ 您可以變更 *max-results* (最多 50 個)。
+ 若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
```
aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }' --max-results 5
```
+ 執行 [GetCoverageStatistics](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetCoverageStatistics.html) API,以根據 `statisticsType` 擷取彙總的涵蓋範圍統計資料。
+ 您可以將範例 `statisticsType` 變更成下列選項之一:
+ `COUNT_BY_COVERAGE_STATUS`:表示依涵蓋範圍狀態彙總的 EKS 叢集涵蓋範圍統計資料。
+ `COUNT_BY_RESOURCE_TYPE` – 根據清單中 AWS 資源類型彙總的涵蓋範圍統計資料。
+ 您可以在命令中變更範例 `filter-criteria`。您可將下列選項用於 `CriterionKey`:
+ `ACCOUNT_ID`
+ `RESOURCE_TYPE`
+ `COVERAGE_STATUS`
+ `AGENT_VERSION`
+ `MANAGEMENT_TYPE`
+ `INSTANCE_ID`
+ `CLUSTER_ARN`
+ 若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
```
aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
```
------
如果 EC2 執行個體的涵蓋範圍狀態**不良**,請參閱 [對 Amazon EC2 執行期涵蓋範圍問題進行故障診斷](#ec2-runtime-monitoring-coverage-issues-troubleshoot)。
## 使用 EventBridge 通知變更涵蓋範圍狀態
Amazon EC2 執行個體的涵蓋範圍狀態可能顯示為**運作狀態不佳**。若要了解涵蓋範圍狀態何時變更,建議您定期監控涵蓋範圍狀態,並在狀態變成**運作狀態不佳**時進行故障診斷。或者,您可以建立 Amazon EventBridge 規則,以在涵蓋範圍狀態從**運作狀態不佳**變更為**正常運作**或其他狀態時收到通知。GuardDuty 預設在您帳戶的[EventBridge 匯流排](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html)中發布此通知。
### 範例通知結構描述
在 EventBridge 規則中,您可以使用預先定義的範例事件和事件模式來接收涵蓋範圍狀態通知。如需有關建立 EventBridge 規則的詳細資訊,請參閱《Amazon EventBridge 使用者指南》**中的[建立規則](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html#eb-gs-create-rule)。
此外,您可以使用下列範例通知結構描述來建立自訂事件模式。請務必替換您帳戶的值。若要在 Amazon EC2 執行個體的涵蓋範圍狀態從 變更為 `Healthy` 時收到通知`Unhealthy`, `detail-type` 應該是 *GuardDuty Runtime Protection Unhealthy*。若要在涵蓋範圍狀態從 `Unhealthy` 變更成 `Healthy` 時收到通知,請使用 *GuardDuty 執行期監控運作狀態不良*取代 `detail-type` 的值。
```
{
"version": "0",
"id": "event ID",
"detail-type": "GuardDuty Runtime Protection Unhealthy",
"source": "aws.guardduty",
"account": "AWS 帳戶 ID",
"time": "event timestamp (string)",
"region": "AWS 區域",
"resources": [
],
"detail": {
"schemaVersion": "1.0",
"resourceAccountId": "string",
"currentStatus": "string",
"previousStatus": "string",
"resourceDetails": {
"resourceType": "EC2",
"ec2InstanceDetails": {
"instanceId":"",
"instanceType":"",
"clusterArn": "",
"agentDetails": {
"version":""
},
"managementType":""
}
},
"issue": "string",
"lastUpdatedAt": "timestamp"
}
}
```
## 對 Amazon EC2 執行期涵蓋範圍問題進行故障診斷
如果 Amazon EC2 執行個體的涵蓋範圍狀態為**狀況不良**,您可以在**問題**欄下檢視原因。
如果您的 EC2 執行個體與 EKS 叢集相關聯,且 EKS 的安全代理程式是手動或透過自動代理程式組態安裝,則若要疑難排解涵蓋範圍問題,請參閱 [Amazon EKS 叢集的執行期涵蓋範圍和疑難排解](eks-runtime-monitoring-coverage.md)。
下表列出問題類型和對應的故障診斷步驟。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/gdu-assess-coverage-ec2.html)