Runtime-Abdeckung und Fehlerbehebung für Amazon EC2 EC2-Instance - Amazon GuardDuty
Überprüfen der AbdeckungsstatistikenÄnderung des Abdeckungsstatus mit Benachrichtigungen EventBridgeBehebung von Problemen mit der Amazon EC2 EC2-Runtime-Abdeckung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Runtime-Abdeckung und Fehlerbehebung für Amazon EC2 EC2-Instance

Für eine Amazon EC2 EC2-Ressource wird die Laufzeitabdeckung auf Instance-Ebene bewertet. Ihre Amazon EC2 EC2-Instances können unter anderem mehrere Arten von Anwendungen und Workloads in Ihrer AWS Umgebung ausführen. Diese Funktion unterstützt auch von Amazon ECS verwaltete Amazon EC2 EC2-Instances. Wenn Sie Amazon ECS-Cluster auf einer Amazon EC2 EC2-Instance ausführen, werden die Deckungsprobleme auf Instance-Ebene unter Amazon EC2 EC2-Laufzeitabdeckung angezeigt.

Überprüfen der Abdeckungsstatistiken

Die Deckungsstatistik für die Amazon EC2 EC2-Instances, die mit Ihren eigenen Konten oder Ihren Mitgliedskonten verknüpft sind, ist der Prozentsatz der fehlerfreien EC2-Instances an allen EC2-Instances in den ausgewählten. AWS-Region Die folgende Gleichung stellt dies wie folgt dar:

(Fehlerfreie Instances) *100 instances/All

Wenn Sie den GuardDuty Security Agent auch für Ihre Amazon ECS-Cluster bereitgestellt haben, wird jedes Problem mit der Abdeckung auf Instance-Ebene im Zusammenhang mit Amazon ECS-Clustern, die auf einer Amazon EC2 EC2-Instance ausgeführt werden, als ein Problem mit der Laufzeit der Amazon EC2 EC2-Instance angezeigt.

Wählen Sie eine der Zugriffsmethoden, um die Abdeckungsstatistiken für Ihre Konten einzusehen.

Console

  • Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die GuardDuty Konsole unter. https://console.aws.amazon.com/guardduty/

  • Wählen Sie im Navigationsbereich Runtime Monitoring aus.

  • Wählen Sie die Registerkarte Runtime Coverage aus.

  • Auf der Registerkarte EC2-Instance-Laufzeitabdeckung können Sie die Deckungsstatistiken einsehen, die nach dem Deckungsstatus jeder Amazon EC2 EC2-Instance aggregiert sind, die in der Tabelle mit der Instance-Liste verfügbar sind.

    • Sie können die Tabelle mit der Instance-Liste nach den folgenden Spalten filtern:

      • Konto-ID

      • Agentenverwaltungs-Typ

      • Version des Agenten

      • Abdeckungsstatus

      • Instanz-ID

      • Cluster-ARN

  • Wenn eine Ihrer EC2-Instances den Coverage-Status als Unhealthy hat, enthält die Spalte Issue zusätzliche Informationen über den Grund für den Status Unhealthy.

API/CLI

  • Führen Sie die ListCoverageAPI mit Ihrer eigenen gültigen Melder-ID, Ihrer aktuellen Region und Ihrem Service-Endpunkt aus. Mit dieser API können Sie die Instanzliste filtern und sortieren.

    • Sie können das Beispiel filter-criteria ändern mit einer der folgenden Optionen für CriterionKey:

      • ACCOUNT_ID

      • RESOURCE_TYPE

      • COVERAGE_STATUS

      • AGENT_VERSION

      • MANAGEMENT_TYPE

      • INSTANCE_ID

      • CLUSTER_ARN

    • Wenn EC2 filter-criteria enthalten RESOURCE_TYPE ist, unterstützt Runtime Monitoring nicht die Verwendung von ISSUE als. AttributeName Wenn Sie es verwenden, führt die API-Antwort zuInvalidInputException.

      Sie können das Beispiel AttributeName in sort-criteria ändern mit einer der folgenden Optionen:

      • ACCOUNT_ID

      • COVERAGE_STATUS

      • INSTANCE_ID

      • UPDATED_AT

    • Sie können das ändern max-results (bis zu 50).

    • Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/Konsole oder führen Sie die ListDetectorsAPI aus.

    aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5

  • Führen Sie die GetCoverageStatisticsAPI aus, um aggregierte Statistiken zur Abdeckung abzurufen, die statisticsType auf dem basieren.

    • Sie können das Beispiel statisticsType zu einer der folgenden Optionen ändern:

      • COUNT_BY_COVERAGE_STATUS – Stellt Abdeckungsstatistiken für EKS-Cluster dar, aggregiert nach Abdeckungs-Status.

      • COUNT_BY_RESOURCE_TYPE— Statistiken zur Abdeckung, aggregiert auf der Grundlage des AWS Ressourcentyps in der Liste.

      • Sie können das Beispiel filter-criteria im Befehl ändern. Sie können die folgenden Optionen für CriterionKey verwenden:

        • ACCOUNT_ID

        • RESOURCE_TYPE

        • COVERAGE_STATUS

        • AGENT_VERSION

        • MANAGEMENT_TYPE

        • INSTANCE_ID

        • CLUSTER_ARN

    • Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/Konsole oder führen Sie die ListDetectorsAPI aus.

    aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

Wenn der Deckungsstatus Ihrer EC2-Instance Unhealthy lautet, finden Sie weitere Informationen unter. Behebung von Problemen mit der Amazon EC2 EC2-Runtime-Abdeckung

Änderung des Abdeckungsstatus mit Benachrichtigungen EventBridge

Der Deckungsstatus Ihrer Amazon EC2 EC2-Instance wird möglicherweise als Ungesund angezeigt. Um zu wissen, wann sich der Deckungsstatus ändert, empfehlen wir Ihnen, den Deckungsstatus regelmäßig zu überwachen und Fehler zu beheben, falls der Status auf Ungesund umgestellt wird. Alternativ können Sie eine EventBridge Amazon-Regel erstellen, um eine Benachrichtigung zu erhalten, wenn sich der Versicherungsstatus von „Ungesund“ in „Fehlerfrei“ oder anderweitig ändert. GuardDuty Veröffentlicht dies standardmäßig im EventBridge Bus für Ihr Konto.

Beispiel für ein Benachrichtigungsschema

In einer EventBridge Regel können Sie die vordefinierten Beispielereignisse und Ereignismuster verwenden, um eine Benachrichtigung über den Versicherungsstatus zu erhalten. Weitere Informationen zum Erstellen einer EventBridge Regel finden Sie unter Regel erstellen im EventBridge Amazon-Benutzerhandbuch.

Darüber hinaus können Sie mithilfe des folgenden Beispiel-Benachrichtigungsschemas ein benutzerdefiniertes Ereignismuster erstellen. Achten Sie darauf, die Werte für Ihr Konto zu ersetzen. Um benachrichtigt zu werden, wenn sich der Deckungsstatus Ihrer Amazon EC2 EC2-Instance von Healthy zu ändertUnhealthy, detail-type sollte dies der Fall seinGuardDuty Runtime Protection Unhealthy. Um benachrichtigt zu werden, wenn sich der Deckungsstatus von Unhealthy auf ändertHealthy, ersetzen Sie den Wert von detail-type durchGuardDuty Runtime Protection Healthy.

{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "AWS-Konto ID",
  "time": "event timestamp (string)",
  "region": "AWS-Region",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "EC2",
        "ec2InstanceDetails": {
          "instanceId":"",
          "instanceType":"",
          "clusterArn": "",
          "agentDetails": {
            "version":""
          },
          "managementType":""
        }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}

Behebung von Problemen mit der Amazon EC2 EC2-Runtime-Abdeckung

Wenn der Deckungsstatus Ihrer Amazon EC2 EC2-Instance Unhealthy lautet, können Sie den Grund in der Spalte Problem einsehen.

Wenn Ihre EC2-Instance einem EKS-Cluster zugeordnet ist und der Security Agent für EKS entweder manuell oder über eine automatische Agentenkonfiguration installiert wurde, finden Sie Informationen zur Behebung des Deckungsproblems unter. Runtime-Abdeckung und Fehlerbehebung für Amazon EKS-Cluster

In der folgenden Tabelle sind die Problemtypen und die entsprechenden Schritte zur Fehlerbehebung aufgeführt.

Art des Problems Meldung ausgeben Fehlerbehebungsschritte

Keine Agentenberichterstattung

Ich warte auf die SSM-Benachrichtigung

Der Empfang der SSM-Benachrichtigung kann einige Minuten dauern.

Stellen Sie sicher, dass die Amazon EC2 EC2-Instance SSM-verwaltet wird. Weitere Informationen finden Sie in den Schritten unter Methode 1 — Mithilfe von AWS Systems Manager inManuelles Installieren des Security Agents.

(Absichtlich leer)

Wenn Sie den GuardDuty Security Agent manuell verwalten, stellen Sie sicher, dass Sie die Schritte unter befolgt habenManuelles Verwalten des Security Agents für Amazon EC2 EC2-Ressourcen.

Wenn Sie die automatische Agentenkonfiguration aktiviert haben:

Stellen Sie sicher, dass der VPC-Endpunkt für Ihre Amazon EC2 EC2-Instance korrekt konfiguriert ist. Weitere Informationen finden Sie unter Validierung der VPC-Endpunktkonfiguration.

Wenn Ihre Organisation über eine Service Control Policy (SCP) verfügt, stellen Sie sicher, dass die Zugriffsrechte nicht durch die Grenze der Berechtigungen eingeschränkt werden. guardduty:SendSecurityTelemetry Weitere Informationen finden Sie unter Validierung der Servicesteuerungsrichtlinie Ihrer Organisation in einer Umgebung mit mehreren Konten.

Die Verbindung des Agenten wurde unterbrochen

  • Sehen Sie sich den Status Ihres Security Agents an. Weitere Informationen finden Sie unter Der Installationsstatus des GuardDuty Security Agents wird überprüft.

  • Sehen Sie sich die Security Agent-Protokolle an, um die mögliche Ursache zu ermitteln. Die Protokolle enthalten detaillierte Fehler, anhand derer Sie das Problem selbst beheben können. Die Protokolldateien sind verfügbar unter/var/log/amzn-guardduty-agent/.

    Tunsudo journalctl -u amazon-guardduty-agent.

Agent nicht bereitgestellt

Instanzen mit Ausschluss-Tags sind von Runtime Monitoring ausgeschlossen.

GuardDuty empfängt keine Runtime-Ereignisse von Amazon EC2 EC2-Instances, die mit dem Exclusion-Tag gestartet wurdenGuardDutyManaged:false.

Um Runtime-Ereignisse von dieser Amazon EC2 EC2-Instance zu empfangen, entfernen Sie das Ausschluss-Tag.

Die Kernel-Version ist niedriger als die unterstützte Version.

Informationen zu unterstützten Kernelversionen in allen Betriebssystemverteilungen finden Sie unter Überprüfen Sie die architektonischen Anforderungen Amazon EC2 EC2-Instances.

Die Kernel-Version ist höher als die unterstützte Version.

Informationen zu unterstützten Kernelversionen in allen Betriebssystemverteilungen finden Sie unter Überprüfen Sie die architektonischen Anforderungen Amazon EC2 EC2-Instances.

Das Identitätsdokument für die Instanz konnte nicht abgerufen werden.

Dazu gehen Sie wie folgt vor:

  1. Vergewissern Sie sich, dass es sich bei Ihrer Ressource um eine Amazon EC2 EC2-Instance handelt und nicht um eine Hybrid-Nicht-EC2-Instance.

  2. Vergewissern Sie sich, dass der Instance Metadata Service (IMDS) aktiviert ist. Informationen dazu finden Sie unter Configure Instance Metadata Service options im Amazon EC2 EC2-Benutzerhandbuch.

  3. Stellen Sie sicher, dass das Dokument mit der Instance-Identität vorhanden ist. Informationen dazu finden Sie unter Abrufen des Instance-Identitätsdokuments im Amazon EC2 EC2-Benutzerhandbuch.

  4. Wenn das Instance-Identitätsdokument immer noch nicht existiert, starten Sie die Instance neu. Das Instance-Identitätsdokument wird generiert, wenn die Instance angehalten und gestartet, neu gestartet oder gelauncht wird.

Die Erstellung der SSM-Zuordnung ist fehlgeschlagen

GuardDuty In Ihrem Konto ist bereits eine SSM-Verknüpfung vorhanden

  1. Löschen Sie die bestehende Verknüpfung manuell. Weitere Informationen finden Sie im AWS Systems Manager Benutzerhandbuch unter Löschen von Verknüpfungen.

  2. Nachdem Sie die Zuordnung gelöscht haben, deaktivieren Sie die GuardDuty automatische Agentenkonfiguration für Amazon EC2 und aktivieren Sie sie anschließend erneut.

Ihr Konto hat zu viele SSM-Verknüpfungen

Wählen Sie eine der folgenden beiden Optionen:

  • Löschen Sie alle ungenutzten SSM-Verknüpfungen. Weitere Informationen finden Sie im AWS Systems Manager Benutzerhandbuch unter Löschen von Verknüpfungen.

  • Prüfen Sie, ob Ihr Konto für eine Erhöhung des Kontingents in Frage kommt. Weitere Informationen finden Sie unter Systems Manager Manager-Dienstkontingente in der Allgemeine AWS-Referenz.

Die Aktualisierung der SSM-Zuordnung ist fehlgeschlagen

GuardDuty Die SSM-Verknüpfung ist in Ihrem Konto nicht vorhanden

GuardDuty Die SSM-Verbindung ist in Ihrem Konto nicht vorhanden. Deaktivieren Sie Runtime Monitoring und aktivieren Sie es anschließend erneut.

Das Löschen der SSM-Zuordnung ist fehlgeschlagen

GuardDuty Die SSM-Verknüpfung ist in Ihrem Konto nicht vorhanden

Die SSM-Verbindung ist in Ihrem Konto nicht vorhanden. Wenn die SSM-Verknüpfung absichtlich gelöscht wurde, sind keine Maßnahmen erforderlich.

Die Ausführung der SSM-Instanzzuweisung ist fehlgeschlagen

Architektonische Anforderungen oder andere Voraussetzungen sind nicht erfüllt.

Informationen zu verifizierten Betriebssystemverteilungen finden Sie unterVoraussetzungen für die Unterstützung von Amazon EC2 EC2-Instances.

Wenn dieses Problem weiterhin auftritt, helfen Ihnen die folgenden Schritte dabei, das Problem zu identifizieren und möglicherweise zu lösen:

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich unter Node Management die Option State Manager aus.

  3. Filtern Sie nach der Eigenschaft Dokumentname und geben Sie ein AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin.

  4. Wählen Sie die entsprechende Zuordnungs-ID aus und sehen Sie sich den zugehörigen Ausführungsverlauf an.

  5. Sehen Sie sich anhand des Ausführungsverlaufs die Fehler an, identifizieren Sie die mögliche Ursache und versuchen Sie, sie zu beheben.

VPC-Endpunkterstellung fehlgeschlagen

VPC-Endpunkterstellung wird für gemeinsam genutzte VPC nicht unterstützt vpcId

Runtime Monitoring unterstützt die Verwendung einer gemeinsam genutzten VPC innerhalb einer Organisation. Weitere Informationen finden Sie unter Verwenden einer gemeinsam genutzten VPC mit Runtime Monitoring.

Nur bei Verwendung einer gemeinsam genutzten VPC mit automatisierter Agentenkonfiguration

111122223333Für die Besitzerkonto-ID für gemeinsam genutzte VPC vpcId ist weder Runtime Monitoring noch automatische Agentenkonfiguration oder beides aktiviert

 Das gemeinsame VPC-Besitzerkonto muss Runtime Monitoring und automatische Agentenkonfiguration für mindestens einen Ressourcentyp (Amazon EKS oder Amazon ECS (AWS Fargate)) aktivieren. Weitere Informationen finden Sie unter Spezifische Voraussetzungen für Runtime Monitoring GuardDuty.

Um privates DNS zu aktivieren, müssen beide enableDnsSupport enableDnsHostnames VPC-Attribute auf true for gesetzt sein vpcId (Service: Ec2, Statuscode: 400, Anforderungs-ID:). a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

Sie müssen jedoch sicherstellen, dass die folgenden VPC-Attribute auf true festgelegt sind: enableDnsSupport und enableDnsHostnames. Weitere Informationen finden Sie unter DNS-Attribute in Ihrer VPC.

Wenn Sie die Amazon VPC Console unter verwenden, https://console.aws.amazon.com/vpc/um die Amazon VPC zu erstellen, wählen Sie sowohl DNS-Hostnamen aktivieren als auch DNS-Auflösung aktivieren aus. Weitere Informationen finden Sie unter VPC-Konfigurationsoptionen.

Nach der Aktualisierung der VPC-Attribute müssen Sie einen erneuten Versuch der VPC-Endpunkterstellung beschleunigen, indem Sie eine der folgenden Änderungen vornehmen:

  • Sie können das GuardDutyManaged Tag für Ihre Amazon EC2 EC2-Instance hinzufügen oder ändern (empfohlen). Sie können beispielsweise GuardDutyManaged Folgendes hinzufügen, true um die Instance für Runtime Monitoring einzubeziehen.

  • Sie können den Status der Amazon EC2 EC2-Instance ändern (Stopp oder Neustart).

Fehler beim Löschen eines gemeinsamen VPC-Endpunkts

Das Löschen eines gemeinsamen VPC-Endpunkts ist für Konto-ID111122223333, gemeinsame VPC vpcId und Besitzerkonto-ID nicht zulässig. 555555555555
Mögliche Schritte:

  • Die Deaktivierung des Runtime Monitoring-Status des gemeinsam genutzten VPC-Teilnehmerkontos hat keine Auswirkungen auf die gemeinsame VPC-Endpunktrichtlinie und die Sicherheitsgruppe, die im Besitzerkonto vorhanden ist.

    Um den gemeinsamen VPC-Endpunkt und die Sicherheitsgruppe zu löschen, müssen Sie Runtime Monitoring oder den Status der automatisierten Agentenkonfiguration im gemeinsam genutzten VPC-Besitzerkonto deaktivieren.

  • Das gemeinsame VPC-Teilnehmerkonto kann den gemeinsamen VPC-Endpunkt und die Sicherheitsgruppe, die im gemeinsamen VPC-Besitzerkonto gehostet werden, nicht löschen.

Der Agent meldet sich nicht

(Absichtlich leer)

Der Support für diesen Problemtyp hat das Ende des Supports erreicht. Wenn dieses Problem weiterhin auftritt und dies noch nicht geschehen ist, aktivieren Sie den GuardDuty automatisierten Agenten für Amazon EC2.

Wenn das Problem weiterhin besteht, sollten Sie in Erwägung ziehen, Runtime Monitoring für einige Minuten zu deaktivieren und es dann erneut zu aktivieren.