AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Warum scannt Amazon Inspector meine Amazon EC2-Instances nicht?

Lesedauer: 5 Minute

Ich habe Amazon Inspector aktiviert, aber meine Amazon Elastic Compute Cloud (Amazon EC2)-Instance wird nicht gescannt. Der Status im Amazon Inspector-Dashboard zeigt „EC2 instance stopped“ (EC2-Instance gestoppt), „Unmanaged EC2 instance“ (Nicht verwaltete EC2-Instance), „Nicht unterstütztes Betriebssystem“, „Interner Fehler“, „Erster Scan ausstehend“ oder „Kein Bestand“.

Kurzbeschreibung

Amazon Inspector scannt die EC2-Instances möglicherweise aus den folgenden Gründen nicht:

Der AWS Systems Manager Agent (SSM Agent) ist nicht auf dem neuesten Stand.
Die EC2-Instance befindet sich nicht im Status Wird ausgeführt.
Das Betriebssystem (OS) ist nicht kompatibel.
Die Instance ist nicht mit AWS Systems Manager verbunden.
Amazon Inspector ist nicht mit Systems Manager verknüpft.

Du kannst das Amazon Inspector-Dashboard verwenden, um den Status deiner Instances zu überwachen. Weitere Informationen findest du unter Scannen von Amazon EC2-Instances mit Amazon Inspector.

Lösung

Aktualisieren der SSM Agent-Version

Um Instances zu scannen, muss SSM Agent auf Amazon Inspector ausgeführt werden. Wenn du eine frühere Version von SSM Agent hast, empfiehlt es sich, diese zu aktualisieren. Es ist auch eine bewährte Methode, Systems Manager so zu konfigurieren, dass SSM Agent automatisch aktualisiert wird.

Abonniere die SSM Agent-Benachrichtigungen, um SSM Agent manuell zu aktualisieren. Verwende dann den Befehl „Run“ (Ausführen), um SSM Agent zu aktualisieren. Du kannst die Versionshinweise zu SSM Agent auch auf der GitHub-Website abonnieren.

Die Instance neu starten

Du erhältst den Status EC2 instance stopped (EC2-Instance gestoppt), weil die Instance gestoppt ist, sodass Amazon Inspector den Scan unterbrochen hat. Amazon Inspector behält frühere Scanergebnisse bei, wenn die EC2-Instance gestoppt wird. Um den Scan erneut zu starten, starte die EC2-Instance neu.

Amazon Inspector scannt auf der Grundlage von Intervallen, die du in den Systems Manager-Zuordnungen festgelegt hast. Du kannst die Scanintervalle für Linux-Instances und Windows-Instances ändern.

Prüfen, ob Amazon Inspector das Betriebssystem unterstützt

Du erhältst den Status Nicht unterstütztes Betriebssystem, wenn die Instance ein Betriebssystem (OS) oder eine Architektur verwendet, die Amazon Inspector nicht unterstützt.

Führe den folgenden Befehl aus, um die Linux-Version zu ermitteln:

cat /etc/os-releaselsb_release -a
hostnamectl

Suche bei Windows nach Systeminformationen und öffne sie dann.

Um festzustellen, ob Amazon Inspector das Betriebssystem unterstützt, überprüfe die Liste der unterstützten Betriebssysteme, um Instances zu scannen.

Prüfen, ob die Instance mit Systems Manager verbunden ist

Wenn die Instance nicht auf der Systems Manager-Konsole angezeigt wird, führe das Runbook AWSSupport-TroubleshootManagedInstance aus, um Systems Manager-Konfigurationsprobleme zu identifizieren. Weitere Informationen findest du unter Warum zeigt Systems Manager meine Amazon EC2-Instance nicht als verwaltete Instance an?

Gehe wie folgt vor, um die Verbindung der Instance zu Systems Manager zu überprüfen:

Öffne die Systems Manager-Konsole in derselben AWS-Region wie Amazon Inspector und die Instance.
Wähle Fleet Manager.
Überprüfe unter Verwaltete Knoten den Ping-Status von SSM Agent. Wenn der Status Online lautet, ist die Instance mit SSM Agent verbunden.

Wenn der Ping-Status von SSM Agent Verbindung getrennt lautet, stelle sicher, dass die Instance die Systems Manager-Voraussetzungen erfüllt. Wenn du SSM Agent Version 3.1.501.0 oder höher verwendest, kannst du die ssm-cli-Befehlszeile ausführen, um das Problem zu ermitteln und es zu beheben.

Prüfen, ob Amazon Inspector mit Systems Manager verknüpft ist

Um den Bestand von Softwareanwendungen zu erfassen, benötigt Amazon Inspector eine Verbindung zu State Manager, einer Funktion von Systems Manager, in deinem AWS-Konto. Du erhältst den Status Kein Bestand, wenn Amazon Inspector den Software-Anwendungsbestand zum Scannen der Instance nicht gefunden hat.

Gehe wie folgt vor, um zu überprüfen, ob Amazon Inspector und State Manager verknüpft sind:

Öffne die Systems Manager-Konsole in derselben Region wie Amazon Inspector und deine Instance.
Wähle State Manager.
Stelle unter Zuordnungen sicher, dass die Zuordnung InspectorInventoryCollection-do-not-delete vorhanden ist und der Status Erfolg lautet.
Wenn die Zuordnung InspectorInventoryCollection-do-not-delete nicht vorhanden ist, führe das SSM-Dokument AWS-GatherSoftwareInventory auf allen Instances aus. Wähle die Zuordnungs-ID für die Instance, die nicht gescannt wurde, und klicke dann auf die Registerkarte Ausführungsverlauf, um weitere Informationen zu erhalten.
Wenn der Status der Zuordnung InspectorInventoryCollection-do-not-delete Fehlgeschlagen lautet, wähle die Zuordnungs-ID aus. Wähle dann Zuordnung jetzt anwenden aus.
Überprüfe den Status der Zuordnung InspectorInventoryCollection-do-not-delete erneut, um dich zu vergewissern, dass er von Fehlgeschlagen in Erfolg geändert wurde.

Das Amazon Inspector SSM-Plug-in für Windows wird automatisch auf den Windows-Instances installiert. Wenn du das EC2-Scannen aktivierst, erstellt Amazon Inspector neue SSM-Zuordnungen für die Windows-Ressourcen. Zu den SSM-Zuordnungen gehören InspectorDistributor-do-not-delete, InspectorInventoryCollection-do-not-delete und InvokeInspectorSsmPlugin-do-not-delete. Wenn der Status für die Zuordnungen Fehlgeschlagen lautet, wende die Zuordnung erneut an. Wenn die Datei InspectorSsmPlugin.exe nicht vorhanden ist, installiert die SSM-Zuordnung InspectorDistributor-do-not-delete das Plug-in beim nächsten Windows-Scan automatisch neu. Weitere Informationen findest du unter Scannen von Amazon EC2-Instances mit Amazon Inspector.

Sicherstellen, dass der Knoten in der Softwareanwendung vorhanden ist

Führe die folgenden Schritte aus:

Öffne die Systems Manager-Konsole in derselben Region wie Amazon Inspector und deine Instance.
Wähle Fleet Manager.
Wähle unter Verwaltete Knoten deine Knoten-ID aus. Wähle dann die Registerkarte Bestand, um im Bestand der Instance nach Softwareanwendungen zu suchen.

Es hat sich bewährt, die Bestandserfassungsrate so einzustellen, dass sie alle 30 Minuten ausgeführt wird. Um die Bestandserfassung zu optimieren, bearbeite die Zuordnung InspectorInventoryCollection-do-not-delete und lege dann die Cron-Ausdrucksrate auf 30 Minuten fest.

Relevanter Inhalt

Wie schließe ich bestimmte AWS-Ressourcen von Amazon Inspector-Scans aus?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie richte ich Amazon Inspector Classic ein, um Sicherheitsüberprüfungen auf meinen Amazon EC2-Instances durchzuführen?
AWS OFFICIALAktualisiert vor 4 Jahren
Wie sichere ich meine EC2-Instance, um Compliance-Programme zu erfüllen?
AWS OFFICIALAktualisiert vor 8 Monaten
Wie behebe ich API-Fehler, wenn ich meine Cluster-Version in Amazon EKS aktualisiere?
AWS OFFICIALAktualisiert vor 7 Monaten