本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 了解 CloudWatch Logs 以及在 EC2 掃描的惡意軟體防護期間略過資源的原因
<a name="malware-protection-auditing-scan-logs"></a>

GuardDuty Malware Protection for EC2 會將事件發佈到您的 Amazon CloudWatch 日誌群組 **/aws/guardduty/malware-scan-events**。對於與惡意軟體掃描相關的每個事件，您可以監控受影響資源的狀態和掃描結果。在 Amazon EC2 的惡意軟體防護掃描期間，某些 Amazon EC2 資源和 Amazon EBS 磁碟區可能已略過。

## 在 EC2 的 GuardDuty 惡意軟體防護中稽核 CloudWatch Logs
<a name="mp-audit-cloudwatch-events"></a>

**/aws/guardduty/malware-scan-events** CloudWatch 日誌群組支援三種類型的掃描事件。


| EC2 掃描事件名稱的惡意軟體防護 | 說明 | 
| --- | --- | 
|  `EC2_SCAN_STARTED`  |  在 EC2 的 GuardDuty 惡意軟體防護啟動惡意軟體掃描程序時建立，例如準備拍攝 EBS 磁碟區的快照。  | 
|  `EC2_SCAN_COMPLETED`  |  在 EC2 掃描的 GuardDuty 惡意軟體防護至少完成受影響資源的其中一個 EBS 磁碟區時建立。此事件也包括屬於已掃描 EBS 磁碟區的 `snapshotId`。掃描完成後，掃描結果將為 `CLEAN`、`THREATS_FOUND` 或 `NOT_SCANNED`。  | 
|  `EC2_SCAN_SKIPPED`  |  在 GuardDuty 惡意軟體防護 EC2 掃描略過受影響資源的所有 EBS 磁碟區時建立。若要識別略過原因，請選取對應的事件，然後檢視詳細資訊。如需有關略過原因的詳細資訊，請參閱以下[惡意軟體掃描期間略過資源的原因](#mp-scan-skip-reasons)。  | 

**注意**  
如果您使用的是 AWS Organizations，來自 Organizations 中成員帳戶的 CloudWatch 日誌事件會同時發佈到管理員帳戶和成員帳戶的日誌群組。

選擇您偏好的存取方式，以檢視和查詢 CloudWatch 事件。

------
#### [ Console ]

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。

1. 在導覽窗格中，選擇**日誌**下方的**日誌群組**。選擇 **/aws/guardduty/malware-scan-events** 日誌群組，以檢視 GuardDuty Malware Protection for EC2 的掃描事件。

   若要執行查詢，請選擇 **Log Insights**。

   如需有關執行查詢的資訊，請參閱《Amazon CloudWatch 使用者指南》**中的[使用 CloudWatch Logs Insights 分析日誌資料](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)。

1. 選擇**掃描 ID** 以監控受影響資源和惡意軟體調查結果的詳細資訊。例如，您可以執行下列查詢以使用 `scanId` 篩選 CloudWatch 日誌事件。請務必使用您自己的有效 *scan-id*。

   ```
   fields @timestamp, @message, scanRequestDetails.scanId as scanId
   | filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
   | sort @timestamp asc
   ```

------
#### [ API/CLI ]
+ 若要使用日誌群組，請參閱《Amazon CloudWatch 使用者指南》**中的[使用 AWS CLI搜尋日誌項目](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html#search-log-entries-cli)。

  選擇 **/aws/guardduty/malware-scan-events** 日誌群組，以檢視 GuardDuty Malware Protection for EC2 的掃描事件。
+ 若要檢視和篩選日誌事件，請參閱《Amazon CloudWatch API 參考》**中的 [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html) 和 [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html)。

------

## EC2 日誌保留的 GuardDuty 惡意軟體防護
<a name="malware-scan-event-log-retention"></a>

**/aws/guardduty/malware-scan-events** 日誌群組的預設日誌保留期為 90 天，之後會自動刪除日誌事件。若要變更 CloudWatch 日誌群組的日誌保留政策，請參閱《*Amazon CloudWatch 使用者指南*》[中的在 CloudWatch Logs 中變更日誌資料保留](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention)，或《*Amazon CloudWatch API 參考*[https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html)》中的變更日誌資料保留。

## 惡意軟體掃描期間略過資源的原因
<a name="mp-scan-skip-reasons"></a>

在與惡意軟體掃描相關的事件中，掃描程序期間可能略過某些 EC2 資源和 EBS 磁碟區。下表列出 GuardDuty 惡意軟體防護無法掃描 EC2 資源的原因。如果適用，請使用提議的步驟來解決這些問題，並在下一次 GuardDuty Malware Protection for EC2 啟動惡意軟體掃描時掃描這些資源。其他問題用於通知您有關事件的進展情況，並且不可採取動作。


| 略過的原因 | 說明 | 建議步驟 | 
| --- | --- | --- | 
|  `RESOURCE_NOT_FOUND`  | 在您的 AWS 環境中找不到`resourceArn`提供給 的 啟動隨需惡意軟體掃描。 | 驗證 Amazon EC2 執行個體或容器工作負載的 `resourceArn`，然後再試一次。 | 
|  `ACCOUNT_INELIGIBLE`  | 您嘗試啟動隨需惡意軟體掃描 AWS 的帳戶 ID 尚未啟用 GuardDuty。 | 確認此 AWS 帳戶已啟用 GuardDuty。 當您在新的 中啟用 GuardDuty 時 AWS 區域 ，最多可能需要 20 分鐘才能同步。 | 
|  `UNSUPPORTED_KEY_ENCRYPTION`  |  GuardDuty Malware Protection for EC2 支援未加密並使用客戶受管金鑰加密的磁碟區。其不支援掃描使用 [Amazon EBS 加密](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/EBSEncryption.html)進行加密的 EBS 磁碟區。 目前，此略過原因不適用的區域差異。如需詳細資訊 AWS 區域，請參閱 [區域特定功能的可用性](guardduty_regions.md#gd-regional-feature-availability)。  |  使用客戶自管金鑰取代您的加密金鑰。如需有關 GuardDuty 支援之加密類型的詳細資訊，請參閱[支援惡意軟體掃描的 Amazon EBS 磁碟區](gdu-malpro-supported-volumes.md)。  | 
|  `EXCLUDED_BY_SCAN_SETTINGS`  |  在惡意軟體掃描期間，EC2 執行個體或 EBS 磁碟區已排除。有兩種可能性：標籤已新增至包含清單，但資源未與此標籤相關聯；標籤已新增至排除清單，且資源與此標籤相關聯；或 `GuardDutyExcluded` 標籤針對此資源設定為 `true`。  |  更新掃描選項或與 Amazon EC2 資源相關聯的標籤。如需詳細資訊，請參閱[具有使用者定義標籤的掃描選項](malware-protection-customizations.md#mp-scan-options)。  | 
|  `UNSUPPORTED_VOLUME_SIZE`  |  磁碟區大於 2048 GB。  |  不可行。  | 
|  `NO_VOLUMES_ATTACHED`  |  EC2 的 GuardDuty 惡意軟體防護在您的帳戶中找到執行個體，但此執行個體未連接 EBS 磁碟區以繼續掃描。  |  不可行。  | 
|  `UNABLE_TO_SCAN`  |  這是內部服務錯誤。  |  不可行。  | 
|  `SNAPSHOT_NOT_FOUND`  |  找不到從 EBS 磁碟區建立並與服務帳戶共用的快照，且 EC2 的 GuardDuty 惡意軟體防護無法繼續掃描。  |  檢查 CloudTrail 以確保並非有意移除快照。  | 
|  `SNAPSHOT_QUOTA_REACHED`  |  您已達到每個區域允許的最大快照量。這不僅會阻止保留，還會阻止建立新快照。  |  您可以移除舊快照或請求提高配額。您可以在《AWS 一般參考指南》**中的 [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html#limits_ebs) 下檢視每個區域快照的預設限制，以及如何請求提高配額。  | 
|  `MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED`  | EC2 執行個體已連接超過 11 個 EBS 磁碟區。EC2 的 GuardDuty 惡意軟體防護會掃描前 11 個 EBS 磁碟區，方法是依`deviceName`字母順序排序。 | 不可行。 | 
|  `UNSUPPORTED_PRODUCT_CODE_TYPE`  | GuardDuty 可以將大多數執行個體掃描`productCode`為 `marketplace`。有些市集執行個體可能不符合掃描資格。GuardDuty 會略過這類執行個體，並將原因記錄為 `UNSUPPORTED_PRODUCT_CODE_TYPE`。此支援在 AWS GovCloud (US) 和中國區域有所不同。如需詳細資訊，請參閱[區域特定功能的可用性](guardduty_regions.md#gd-regional-feature-availability)。 如需詳細資訊，請參閱《*Amazon EC2 使用者指南*[》中的付費 AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/paid-amis.html)。如需有關 `productCode` 的資訊，請參閱《Amazon EC2 API 參考》**中的 [https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html)。  | 不可行。 |