Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Risoluzione dei problemi di Monitoraggio del runtime
Potrebbe essere necessario risolvere i problemi o verificare che il Monitoraggio del runtime sia abilitato e in esecuzione sulle attività e sui container.
**Topics**
+ [Come posso sapere se Monitoraggio del runtime è attivo sul mio account?](#verify-ecs-runtime-enabled)
+ [Come posso sapere se Monitoraggio del runtime è attivo su un cluster?](#verify-ecs-runtime-enabled)
+ [Come posso sapere se il GuardDuty security agent sta eseguendo un'attività di Fargate?](#verify-ecs-runtime-fargate-run)
+ [Come posso sapere se il GuardDuty security agent è in esecuzione su un'istanza di container EC2?](#verify-ecs-runtime-ec2-run)
+ [Cosa succede quando non esiste un ruolo di esecuzione dell'attività per un'attività in esecuzione sul cluster?](#no-task-execution-role)
+ [Come posso sapere se dispongo delle autorizzazioni corrette per etichettare i cluster per il Monitoraggio del runtime?](#tag-permissions)
+ [Cosa succede in assenza di connessione Amazon ECR?](#no-ecr-connection)
+ [Come posso risolvere gli errori relativi alla memoria nelle mie attività di Fargate dopo aver abilitato il Monitoraggio del runtime?](#memory-error)
## Come posso sapere se Monitoraggio del runtime è attivo sul mio account?
Nella console Amazon ECS, le informazioni si trovano nella pagina **Impostazioni dell'account**.
Inoltre, puoi eseguire `list-account-settings` con l'opzione `effective-settings`.
```
aws ecs list-account-settings --effective-settings
```
Output
Le impostazioni con **nome** su `guardDutyActivate` e **valore** su `on` indicano che l'account è configurato. Devi verificare con il tuo GuardDuty amministratore se la gestione è automatica o manuale.
```
{
"setting": {
"name": "guardDutyActivate",
"value": "enabled",
"principalArn": "arn:aws:iam::123456789012:root",
"type": "aws-managed"
}
}
```
## Come posso sapere se Monitoraggio del runtime è attivo su un cluster?
Puoi rivedere le statistiche di copertura nella GuardDuty console. Queste statistiche includono informazioni sulle risorse di Amazon ECS associate ai tuoi account o ai tuoi account membro e consistono nella percentuale dei cluster integri rispetto a tutti i cluster nella Regione AWS selezionata. Ciò include la copertura per i cluster che utilizzano EC2s Fargate e. Per ulteriori informazioni, consulta la sezione [Revisione delle statistiche di copertura](https://docs.aws.amazon.com/guardduty/latest/ug/gdu-assess-coverage-ecs.html#ecs-review-coverage-statistics-ecs-runtime-monitoring) nella *Amazon GuardDuty User Guide*.
## Come posso sapere se il GuardDuty security agent sta eseguendo un'attività di Fargate?
L'agente GuardDuty di sicurezza funge da contenitore secondario per le attività di Fargate.
Nella console Amazon ECS, il sidecar viene visualizzato in **Container** nella pagina dei **Dettagli dell'attività**.
Puoi eseguire `describe-tasks` e cercare il container con un **nome** impostato su `aws-gd-agent` e **lastStatus** impostato su `RUNNING`.
L'esempio seguente mostra l'output per il cluster predefinito per l'attività `aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE`.
```
aws ecs describe-tasks --cluster default --tasks aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE
```
Output
Il container denominato `gd-agent` si trova nello stato `RUNNING`.
```
"containers": [
{
"containerArn": "arn:aws:ecs:us-east-1:123456789012:container/4df26bb4-f057-467b-a079-96167EXAMPLE",
"taskArn": "arn:aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE",
"lastStatus": "RUNNING",
"healthStatus": "UNKNOWN",
"memory": "string",
"name": "aws-gd-agent"
}
]
```
## Come posso sapere se il GuardDuty security agent è in esecuzione su un'istanza di container EC2?
Esegui il seguente comando per visualizzare lo stato:
```
sudo systemctl status amazon-guardduty-agent
```
Il file di log si trova nella seguente posizione:
```
/var/log/amzn-guardduty-agent
```
## Cosa succede quando non esiste un ruolo di esecuzione dell'attività per un'attività in esecuzione sul cluster?
Per le attività di Fargate, l'attività inizia senza il contenitore sidecar del GuardDuty Security Agent. La GuardDuty dashboard mostrerà che all'attività manca la protezione nella dashboard delle statistiche di copertura.
## Come posso sapere se dispongo delle autorizzazioni corrette per etichettare i cluster per il Monitoraggio del runtime?
Per etichettare un cluster, è necessario disporre dell'operazione `ecs:TagResource` per `CreateCluster` e `UpdateCluster`.
Il seguente frammento è un esempio di policy:
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ecs:CreateAction" : "CreateCluster",
"ecs:CreateAction" : "UpdateCluster",
}
}
}
]
}
```
## Cosa succede in assenza di connessione Amazon ECR?
Per le attività di Fargate, l'attività inizia senza il contenitore sidecar del GuardDuty Security Agent. La GuardDuty dashboard mostrerà che all'attività manca la protezione nella dashboard delle statistiche di copertura.
## Come posso risolvere gli errori relativi alla memoria nelle mie attività di Fargate dopo aver abilitato il Monitoraggio del runtime?
L'agente GuardDuty di sicurezza è un processo leggero. Tuttavia, il processo consuma ancora risorse in base alle dimensioni del carico di lavoro. Ti consigliamo di utilizzare strumenti di tracciamento delle risorse dei container, come Amazon CloudWatch Container Insights, per organizzare GuardDuty le distribuzioni nel cluster. Questi strumenti ti aiutano a scoprire il profilo di consumo del GuardDuty security agent per le tue applicazioni. Dopodiché, è possibile modificare le dimensioni dell'attività Fargate, se necessario, per evitare potenziali condizioni di esaurimento della memoria.