Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Couverture du temps d'exécution et résolution des problèmes pour l'instance Amazon EC2
Pour une ressource Amazon EC2, la couverture du temps d'exécution est évaluée au niveau de l'instance. Vos instances Amazon EC2 peuvent exécuter plusieurs types d'applications et de charges de travail, entre autres, dans votre environnement. AWS Cette fonctionnalité prend également en charge les instances Amazon EC2 gérées par Amazon ECS et si vous avez des clusters Amazon ECS exécutés sur une instance Amazon EC2, les problèmes de couverture au niveau de l'instance apparaîtront dans le cadre de la couverture d'exécution Amazon EC2.
**Topics**
+ [Consultation des statistiques de couverture](#review-coverage-statistics-ec2-runtime-monitoring)
+ [Modification de l'état de couverture avec EventBridge notifications](#ec2-runtime-monitoring-coverage-status-change)
+ [Résolution des problèmes de couverture des environnements d'exécution Amazon EC2](#ec2-runtime-monitoring-coverage-issues-troubleshoot)
## Consultation des statistiques de couverture
Les statistiques de couverture pour les instances Amazon EC2 associées à vos propres comptes ou à vos comptes membres sont le pourcentage d'instances EC2 saines par rapport à toutes les instances EC2 de la sélection. Région AWS L'équation suivante représente cela comme suit :
*( instances/All Instances saines) \*100*
Si vous avez également déployé l'agent de GuardDuty sécurité pour vos clusters Amazon ECS, tout problème de couverture au niveau de l'instance associé aux clusters Amazon ECS exécutés sur une instance Amazon EC2 apparaîtra comme un problème de couverture du temps d'exécution de l'instance Amazon EC2.
Choisissez l'une des méthodes d'accès pour consulter les statistiques de couverture de vos comptes.
------
#### [ Console ]
+ Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
+ Dans le volet de navigation, choisissez **Runtime Monitoring**.
+ Choisissez l'onglet **Couverture du temps d'exécution**.
+ Dans l'onglet **Couverture du temps d'exécution des instances EC2**, vous pouvez consulter les statistiques de couverture agrégées en fonction de l'état de couverture de chaque instance Amazon EC2 disponible dans **le tableau de liste des instances**.
+ Vous pouvez filtrer le tableau de la **liste des instances** selon les colonnes suivantes :
+ **ID de compte**
+ **Type de gestion des agents**
+ **Version de l'agent**
+ **État de couverture**
+ **ID de l'instance**
+ **ARN du cluster**
+ Si l'état de **couverture de l'une de vos instances EC2 est considéré** comme **défaillant**, la colonne **Problème** inclut des informations supplémentaires sur la raison de ce statut d'**insalubrité**.
------
#### [ API/CLI ]
+ Exécutez l'[ListCoverage](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListCoverage.html)API avec votre propre identifiant de détecteur valide, votre région actuelle et votre point de terminaison de service. Vous pouvez filtrer et trier la liste des instances à l'aide de cette API.
+ Vous pouvez modifier l'exemple de `filter-criteria` à l'aide de l'une des options suivantes pour `CriterionKey` :
+ `ACCOUNT_ID`
+ `RESOURCE_TYPE`
+ `COVERAGE_STATUS`
+ `AGENT_VERSION`
+ `MANAGEMENT_TYPE`
+ `INSTANCE_ID`
+ `CLUSTER_ARN`
+ Lorsqu'il est `filter-criteria` inclus `RESOURCE_TYPE` en tant qu'**EC2**, Runtime Monitoring ne prend pas en charge l'utilisation de **ISSUE** en tant que`AttributeName`. Si vous l'utilisez, la réponse de l'API en résultera`InvalidInputException`.
Vous pouvez modifier l'exemple de `AttributeName` dans `sort-criteria` à l'aide des options suivantes :
+ `ACCOUNT_ID`
+ `COVERAGE_STATUS`
+ `INSTANCE_ID`
+ `UPDATED_AT`
+ Vous pouvez modifier le {{max-results}} (jusqu'à 50).
+ `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
```
aws guardduty --region {{us-east-1}} list-coverage --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --sort-criteria '{"AttributeName": "{{EKS_CLUSTER_NAME}}", "OrderBy": "{{DESC}}"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"{{ACCOUNT_ID}}", "FilterCondition":{"EqualsValue":"111122223333"}}] }' --max-results {{5}}
```
+ Exécutez l'[GetCoverageStatistics](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetCoverageStatistics.html)API pour récupérer les statistiques agrégées de couverture sur la base de`statisticsType`.
+ Vous pouvez modifier l'exemple de `statisticsType` sur l'une des options suivantes :
+ `COUNT_BY_COVERAGE_STATUS` : représente les statistiques de couverture pour les clusters EKS agrégées par état de couverture.
+ `COUNT_BY_RESOURCE_TYPE`— Statistiques de couverture agrégées en fonction du type de AWS ressource figurant dans la liste.
+ Vous pouvez modifier l'exemple de `filter-criteria` dans la commande. Vous pouvez utiliser les options suivantes pour `CriterionKey` :
+ `ACCOUNT_ID`
+ `RESOURCE_TYPE`
+ `COVERAGE_STATUS`
+ `AGENT_VERSION`
+ `MANAGEMENT_TYPE`
+ `INSTANCE_ID`
+ `CLUSTER_ARN`
+ `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
```
aws guardduty --region {{us-east-1}} get-coverage-statistics --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --statistics-type {{COUNT_BY_COVERAGE_STATUS}} --filter-criteria '{"FilterCriterion":[{"CriterionKey":"{{ACCOUNT_ID}}", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
```
------
Si l'état de couverture de votre instance EC2 n'est pas **satisfaisant**, consultez[Résolution des problèmes de couverture des environnements d'exécution Amazon EC2](#ec2-runtime-monitoring-coverage-issues-troubleshoot).
## Modification de l'état de couverture avec EventBridge notifications
**L'état de couverture de votre instance Amazon EC2 peut apparaître comme étant défectueux.** Pour savoir quand l'état de couverture change, nous vous recommandons de le surveiller régulièrement et de résoudre les problèmes s'il devient **insalubre**. Vous pouvez également créer une EventBridge règle Amazon pour recevoir une notification lorsque le statut de couverture passe de **Malsain** **à Sain** ou autre. Par défaut, il le GuardDuty publie dans le [EventBridge bus](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) pour votre compte.
### Exemple de schéma de notification
Dans une EventBridge règle, vous pouvez utiliser les exemples d'événements et de modèles d'événements prédéfinis pour recevoir une notification de l'état de couverture. Pour plus d'informations sur la création d'une EventBridge règle, consultez la section [Créer une règle](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html#eb-gs-create-rule) dans le *guide de EventBridge l'utilisateur Amazon*.
En outre, vous pouvez créer un modèle d'événement personnalisé à l'aide de l'exemple de schéma de notification suivant. Assurez-vous de remplacer les valeurs de votre compte. Pour être averti lorsque le statut de couverture de votre instance Amazon EC2 passe de `Healthy` à`Unhealthy`, le `detail-type` doit être. {{GuardDuty Runtime Protection Unhealthy}} Pour être averti lorsque le statut de couverture passe de `Unhealthy` à`Healthy`, remplacez la valeur de `detail-type` par{{GuardDuty Runtime Protection Healthy}}.
```
{
"version": "0",
"id": "event ID",
"detail-type": "GuardDuty Runtime Protection Unhealthy",
"source": "aws.guardduty",
"account": "Compte AWS ID",
"time": "event timestamp (string)",
"region": "Région AWS",
"resources": [
],
"detail": {
"schemaVersion": "1.0",
"resourceAccountId": "string",
"currentStatus": "string",
"previousStatus": "string",
"resourceDetails": {
"resourceType": "EC2",
"ec2InstanceDetails": {
"instanceId":"",
"instanceType":"",
"clusterArn": "",
"agentDetails": {
"version":""
},
"managementType":""
}
},
"issue": "string",
"lastUpdatedAt": "timestamp"
}
}
```
## Résolution des problèmes de couverture des environnements d'exécution Amazon EC2
Si l'état de couverture de votre instance Amazon EC2 n'est pas satisfaisant**,** vous pouvez en connaître la raison dans la colonne **Problème**.
Si votre instance EC2 est associée à un cluster EKS et que l'agent de sécurité pour EKS a été installé manuellement ou via une configuration automatique de l'agent, pour résoudre le problème de couverture, consultez. [Couverture du temps d'exécution et résolution des problèmes pour les clusters Amazon EKS](eks-runtime-monitoring-coverage.md)
Le tableau suivant répertorie les types de problèmes et les étapes de dépannage correspondantes.
- ** Aucun signalement par un agent **
- **Message d'émission:** En attente d'une notification par SMS / **Étapes de résolution des problèmes:** La réception de la notification SSM peut prendre quelques minutes.
Assurez-vous que l'instance Amazon EC2 est gérée par SSM. Pour plus d'informations, consultez les étapes décrites dans la section *Méthode 1 - À l'aide de AWS Systems Manager* dans[Installation manuelle de l'agent de sécurité](installing-gdu-security-agent-ec2-manually.md).
- **Message d'émission:** (Vide exprès) / **Étapes de résolution des problèmes:** Si vous gérez l'agent GuardDuty de sécurité manuellement, assurez-vous d'avoir suivi les étapes ci-dessous[Gestion manuelle de l'agent de sécurité pour la ressource Amazon EC2](managing-gdu-agent-ec2-manually.md).
- **Étapes de résolution des problèmes:** Si vous avez activé la configuration automatique des agents :[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/gdu-assess-coverage-ec2.html)
- **Étapes de résolution des problèmes:** Vérifiez que le point de terminaison VPC de votre instance Amazon EC2 est correctement configuré. Pour de plus amples informations, veuillez consulter [Validation de la configuration des points de terminaison VPC](validate-vpc-endpoint-config-runtime-monitoring.md).
- **Étapes de résolution des problèmes:** Si votre organisation dispose d'une politique de contrôle des services (SCP), vérifiez que la limite des autorisations ne restreint pas les `guardduty:SendSecurityTelemetry` autorisations. Pour de plus amples informations, veuillez consulter [Validation de la politique de contrôle des services de votre organisation dans un environnement multi-comptes](prereq-runtime-monitoring-ec2-support.md#validate-organization-scp-ec2).
- **Message d'émission:** Agent déconnecté / **Étapes de résolution des problèmes:** [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/gdu-assess-coverage-ec2.html)
- ** Agent non provisionné **
- **Message d'émission:** Les instances comportant des balises d'exclusion sont exclues de la surveillance du temps d'exécution. / **Étapes de résolution des problèmes:** GuardDuty ne reçoit pas d'événements d'exécution provenant d'instances Amazon EC2 lancées avec la balise d'exclusion :`GuardDutyManaged`. `false`
Pour recevoir les événements d'exécution de cette instance Amazon EC2, supprimez la balise d'exclusion.
- **Message d'émission:** La version du noyau est inférieure à la version prise en charge. / **Étapes de résolution des problèmes:** Pour plus d'informations sur les versions de noyau prises en charge par les distributions du système d'exploitation, consultez [Valider les exigences architecturales](prereq-runtime-monitoring-ec2-support.md#validating-architecture-req-ec2) la section consacrée aux instances Amazon EC2.
- **Message d'émission:** La version du noyau est supérieure à la version prise en charge. / **Étapes de résolution des problèmes:** Pour plus d'informations sur les versions de noyau prises en charge par les distributions du système d'exploitation, consultez [Valider les exigences architecturales](prereq-runtime-monitoring-ec2-support.md#validating-architecture-req-ec2) la section consacrée aux instances Amazon EC2.
- **Message d'émission:** Impossible de récupérer le document d'identité de l'instance. / **Étapes de résolution des problèmes:** Procédez comme suit :[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/gdu-assess-coverage-ec2.html)
- ** Échec de la création de l'association SSM **
- **Message d'émission:** GuardDuty L'association SSM existe déjà dans votre compte / **Étapes de résolution des problèmes:** [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/gdu-assess-coverage-ec2.html)
- **Message d'émission:** Votre compte comporte trop d'associations SSM / **Étapes de résolution des problèmes:** Choisissez **l'une** des deux options suivantes :[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/gdu-assess-coverage-ec2.html)
- ** Échec de la mise à jour de l'association SSM **
- **Message d'émission:** GuardDuty L'association SSM n'existe pas dans votre compte
- **Étapes de résolution des problèmes:** GuardDuty L'association SSM n'est pas présente dans votre compte. Désactivez puis réactivez la surveillance du temps d'exécution.
- ** Echec de la suppression de l'association SSM **
- **Message d'émission:** GuardDuty L'association SSM n'existe pas dans votre compte
- **Étapes de résolution des problèmes:** L'association SSM n'est pas présente dans votre compte. Si l'association SSM a été supprimée intentionnellement, aucune action n'est nécessaire.
- ** Échec de l'exécution de l'association d'instances SSM **
- **Message d'émission:** Les exigences architecturales ou autres prérequis ne sont pas respectés.
- **Étapes de résolution des problèmes:** Pour plus d'informations sur les distributions de systèmes d'exploitation vérifiées, consultez[Conditions préalables à la prise en charge des instances Amazon EC2](prereq-runtime-monitoring-ec2-support.md).
Si le problème persiste, les étapes suivantes vous aideront à l'identifier et éventuellement à le résoudre :[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/gdu-assess-coverage-ec2.html)
- ** Échec de la création du point de terminaison VPC **
- **Message d'émission:** La création de points de terminaison VPC n'est pas prise en charge pour les VPC partagés {{vpcId}} / **Étapes de résolution des problèmes:** La surveillance du temps d'exécution prend en charge l'utilisation d'un VPC partagé au sein d'une organisation. Pour de plus amples informations, veuillez consulter [Utilisation d'un VPC partagé avec surveillance du temps d'exécution](runtime-monitoring-shared-vpc.md).
- **Message d'émission:** **Uniquement lors de l'utilisation d'un VPC partagé avec configuration d'agent automatisée**
L'ID {{111122223333}} de compte propriétaire du VPC partagé {{vpcId}} n'est activé ni la surveillance du temps d'exécution, ni la configuration automatique des agents, ni les deux / **Étapes de résolution des problèmes:** Le compte propriétaire du VPC partagé doit activer la surveillance du temps d'exécution et la configuration automatique des agents pour au moins un type de ressource (Amazon EKS ou Amazon ECS (AWS Fargate)). Pour de plus amples informations, veuillez consulter [Prérequis spécifiques à la surveillance du temps d' GuardDuty exécution](runtime-monitoring-shared-vpc.md#shared-vpc-runtime-monitoring-prereq-gd-setup).
- **Message d'émission:** L'activation du DNS privé nécessite à la fois que `enableDnsSupport` les attributs `enableDnsHostnames` VPC soient définis sur `true` for {{vpcId}} (Service : Ec2, Status Code:400, Request ID :). {{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}} / **Étapes de résolution des problèmes:** Assurez-vous que les attributs de VPC suivants sont définis sur `true` : `enableDnsSupport` et `enableDnsHostnames`. Pour plus d'informations, veuillez consulter la rubrique [Attributs DNS dans votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support).
**Si vous utilisez la console Amazon VPC [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)pour créer l'Amazon VPC, sélectionnez Activer les **noms d'hôte DNS et Activer la résolution DNS**.** Pour plus d'informations, veuillez consulter [Options de configuration de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html#create-vpc-options).
Après avoir mis à jour les attributs du VPC, vous devez accélérer la nouvelle tentative de création du point de terminaison VPC en apportant l'une des modifications suivantes :[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/gdu-assess-coverage-ec2.html)
- **La suppression du point de terminaison VPC partagé a échoué**
- **Message d'émission:** La suppression du point de terminaison VPC partagé n'est pas autorisée pour l'ID de compte{{111122223333}}, le VPC {{vpcId}} partagé et l'ID de compte propriétaire. {{555555555555}}
- **Étapes de résolution des problèmes:** [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/gdu-assess-coverage-ec2.html)
- ** L'agent ne fait pas de rapport **
- **Message d'émission:** (Vide exprès)
- **Étapes de résolution des problèmes:** Le type de problème a atteint la fin du support. Si le problème persiste et que ce n'est pas déjà fait, activez l'agent GuardDuty automatique pour Amazon EC2.
Si le problème persiste, pensez à désactiver la surveillance du temps d'exécution pendant quelques minutes, puis réactivez-la.