Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Couverture du temps d'exécution et résolution des problèmes pour les clusters Amazon ECS
<a name="gdu-assess-coverage-ecs"></a>

La couverture d'exécution des clusters Amazon ECS inclut les tâches exécutées sur les instances de conteneur Amazon ECS AWS Fargate et les instances de conteneur Amazon ECS [1](#ecs-container-instance).

Pour un cluster Amazon ECS qui s'exécute sur Fargate, la couverture d'exécution est évaluée au niveau de la tâche. La couverture du temps d'exécution des clusters ECS inclut les tâches Fargate qui ont commencé à s'exécuter une fois que vous avez activé la surveillance du temps d'exécution et la configuration automatisée des agents pour Fargate (ECS uniquement). Par défaut, une tâche Fargate est immuable. GuardDuty ne sera pas en mesure d'installer l'agent de sécurité pour surveiller les conteneurs sur les tâches déjà en cours d'exécution. Pour inclure une telle tâche Fargate, vous devez arrêter puis recommencer la tâche. Assurez-vous de vérifier si le service associé est pris en charge.

Pour plus d'informations sur le conteneur Amazon ECS, consultez la section [Création de capacités](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/create-capacity.html).

**Topics**
+ [Consultation des statistiques de couverture](#ecs-review-coverage-statistics-ecs-runtime-monitoring)
+ [Modification de l'état de couverture avec EventBridge notifications](#ecs-runtime-monitoring-coverage-status-change)
+ [Résolution des problèmes de couverture du temps d'exécution d'Amazon ECS-Fargate](#ecs-runtime-monitoring-coverage-issues-troubleshoot)

## Consultation des statistiques de couverture
<a name="ecs-review-coverage-statistics-ecs-runtime-monitoring"></a>

Les statistiques de couverture pour les ressources Amazon ECS associées à votre propre compte ou à vos comptes de membres sont le pourcentage de clusters Amazon ECS sains par rapport à tous les clusters Amazon ECS du groupe sélectionné Région AWS. Cela inclut la couverture des clusters Amazon ECS associés à la fois aux instances Fargate et Amazon EC2. L'équation suivante représente cela comme suit :

*( clusters/All Clusters sains) \$1100*

### Considérations
<a name="considerations-ecs-coverage-review-stats"></a>
+ Les statistiques de couverture du cluster ECS incluent l'état de couverture des tâches Fargate ou des instances de conteneur ECS associées à ce cluster ECS. L'état de couverture des tâches Fargate inclut les tâches en cours d'exécution ou récemment terminées. 
+ Dans l'onglet **Couverture d'exécution des clusters ECS**, le champ **Instances de conteneur couvertes** indique l'état de couverture des instances de conteneur associées à votre cluster Amazon ECS. 

  **Si votre cluster Amazon ECS contient uniquement des tâches Fargate, le nombre apparaît comme 0/0.**
+ Si votre cluster Amazon ECS est associé à une instance Amazon EC2 dépourvue d'agent de sécurité, le cluster Amazon ECS aura également un statut de couverture **défaillant**.

  Pour identifier et résoudre le problème de couverture de l'instance Amazon EC2 associée, [Résolution des problèmes de couverture des environnements d'exécution Amazon EC2](gdu-assess-coverage-ec2.md#ec2-runtime-monitoring-coverage-issues-troubleshoot) consultez la section consacrée aux instances Amazon EC2.

Choisissez l'une des méthodes d'accès pour consulter les statistiques de couverture de vos comptes.

------
#### [ Console ]
+ Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
+ Dans le volet de navigation, choisissez **Runtime Monitoring**.
+ Choisissez l'onglet **Couverture du temps d'exécution**.
+ Dans l'onglet **Couverture d'exécution des clusters ECS**, vous pouvez consulter les statistiques de couverture agrégées en fonction de l'état de couverture de chaque cluster Amazon ECS disponible dans le tableau de **liste des clusters**. 
  + Vous pouvez filtrer le tableau de **liste des clusters** selon les colonnes suivantes :
    + **ID de compte**
    + **Nom du cluster**
    + **Type de gestion des agents**
    + **État de couverture**
+ Si l'**état de couverture de l'un de vos clusters Amazon ECS est considéré** comme **insalubre**, la colonne **Problème** inclut des informations supplémentaires sur la raison de ce statut **insalubre**.

  **Si vos clusters Amazon ECS sont associés à une instance Amazon EC2, accédez à l'onglet **Couverture du temps d'exécution de l'instance EC2** et filtrez par le champ **Nom du cluster** pour afficher le problème associé.**

------
#### [ API/CLI ]
+ Exécutez l'[ListCoverage](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListCoverage.html)API avec votre propre identifiant de détecteur valide, votre région actuelle et votre point de terminaison de service. Vous pouvez filtrer et trier la liste des instances à l'aide de cette API.
  + Vous pouvez modifier l'exemple de `filter-criteria` à l'aide de l'une des options suivantes pour `CriterionKey` :
    + `ACCOUNT_ID`
    + `ECS_CLUSTER_NAME`
    + `COVERAGE_STATUS`
    + `MANAGEMENT_TYPE`
  + Vous pouvez modifier l'exemple de `AttributeName` dans `sort-criteria` à l'aide des options suivantes :
    + `ACCOUNT_ID`
    + `COVERAGE_STATUS`
    + `ISSUE`
    + `ECS_CLUSTER_NAME`
    + `UPDATED_AT`

      Le champ est mis à jour uniquement lorsqu'une nouvelle tâche est créée dans le cluster Amazon ECS associé ou en cas de modification de l'état de couverture correspondant.
  + Vous pouvez modifier le *max-results* (jusqu'à 50).
  + `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

  ```
  aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "ECS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5
  ```
+ Exécutez l'[GetCoverageStatistics](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetCoverageStatistics.html)API pour récupérer les statistiques agrégées de couverture sur la base de`statisticsType`.
  + Vous pouvez modifier l'exemple de `statisticsType` sur l'une des options suivantes :
    + `COUNT_BY_COVERAGE_STATUS`— Représente les statistiques de couverture pour les clusters ECS agrégées par état de couverture.
    + `COUNT_BY_RESOURCE_TYPE`— Statistiques de couverture agrégées en fonction du type de AWS ressource figurant dans la liste.
    + Vous pouvez modifier l'exemple de `filter-criteria` dans la commande. Vous pouvez utiliser les options suivantes pour `CriterionKey` :
      + `ACCOUNT_ID`
      + `ECS_CLUSTER_NAME`
      + `COVERAGE_STATUS`
      + `MANAGEMENT_TYPE`
      + `INSTANCE_ID`
  + `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

  ```
  aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
  ```

------

Pour plus d'informations sur les problèmes de couverture, consultez[Résolution des problèmes de couverture du temps d'exécution d'Amazon ECS-Fargate](#ecs-runtime-monitoring-coverage-issues-troubleshoot).

## Modification de l'état de couverture avec EventBridge notifications
<a name="ecs-runtime-monitoring-coverage-status-change"></a>

L'état de couverture de votre cluster Amazon ECS peut apparaître comme étant **défectueux**. Pour savoir quand l'état de couverture change, nous vous recommandons de le surveiller régulièrement et de résoudre les problèmes s'il devient **insalubre**. Vous pouvez également créer une EventBridge règle Amazon pour recevoir une notification lorsque le statut de couverture passe de **Malsain** **à Sain** ou autre. Par défaut, il le GuardDuty publie dans le [EventBridge bus](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) pour votre compte.

### Exemple de schéma de notification
<a name="ecs-gdu-coverage-status-eventbridge-schema"></a>

Dans une EventBridge règle, vous pouvez utiliser les exemples d'événements et de modèles d'événements prédéfinis pour recevoir une notification de l'état de couverture. Pour plus d'informations sur la création d'une EventBridge règle, consultez la section [Créer une règle](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html#eb-gs-create-rule) dans le *guide de EventBridge l'utilisateur Amazon*. 

En outre, vous pouvez créer un modèle d'événement personnalisé à l'aide de l'exemple de schéma de notification suivant. Assurez-vous de remplacer les valeurs de votre compte. Pour être averti lorsque le statut de couverture de votre cluster Amazon ECS passe de `Healthy` à`Unhealthy`, le `detail-type` doit être*GuardDuty Runtime Protection Unhealthy*. Pour être averti lorsque le statut de couverture passe de `Unhealthy` à`Healthy`, remplacez la valeur de `detail-type` par*GuardDuty Runtime Protection Healthy*.

```
{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Compte AWS ID",
  "time": "event timestamp (string)",
  "region": "Région AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "ECS",
        "ecsClusterDetails": {
          "clusterName":"",
          "fargateDetails":{
            "issues":[],
            "managementType":""
          },
          "containerInstanceDetails":{
            "coveredContainerInstances":int,
            "compatibleContainerInstances":int
          }
        }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}
```

## Résolution des problèmes de couverture du temps d'exécution d'Amazon ECS-Fargate
<a name="ecs-runtime-monitoring-coverage-issues-troubleshoot"></a>

Si l'état de couverture de votre cluster Amazon ECS n'est **pas** satisfaisant, vous pouvez en connaître la raison dans la colonne **Problème**. 

Le tableau suivant fournit les étapes de dépannage recommandées pour les problèmes liés à Fargate (Amazon ECS uniquement). Pour plus d'informations sur les problèmes de couverture des instances Amazon EC2, consultez la section relative [Résolution des problèmes de couverture des environnements d'exécution Amazon EC2](gdu-assess-coverage-ec2.md#ec2-runtime-monitoring-coverage-issues-troubleshoot) aux instances Amazon EC2.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/gdu-assess-coverage-ecs.html)