VM Manager-Daten ansehen

In diesem Thema erfahren Sie, wie Sie Cloud Asset Inventory und das Betriebssysteminventar von VM Manager konfigurieren, damit Sie die Laufzeitinformationen Ihrer VMs ansehen können.

Hinweise

Führen Sie zuerst die folgenden Schritte aus.

  1. Aktivieren Sie die Cloud Asset Inventory API in dem Projekt, in dem Sie die API-Befehle ausführen werden.

    Cloud Asset Inventory API aktivieren

  2. Konfigurieren Sie die Berechtigungen, die zum Aufrufen der Cloud Asset Inventory API über die gcloud CLI oder die API erforderlich sind.

  3. Führen Sie die folgenden Schritte aus, um Ihre Umgebung einzurichten:

    gcloud-CLI

    Wenn Sie Ihre Umgebung so einrichten möchten, dass die gcloud CLI zum Aufrufen der Cloud Asset Inventory API verwendet wird, installieren Sie die Google Cloud CLI auf Ihrem lokalen Client.

    REST

    Führen Sie die folgenden Schritte aus, um Ihre Umgebung so einzurichten, dass die Cloud Asset Inventory API mit dem Befehl curl aufgerufen wird.

    1. Prüfen Sie, ob Sie Zugriff auf den Befehl curl haben.

    2. Gewähren Sie Ihrem Konto eine der folgenden Rollen für Ihr Projekt, Ihren Ordner oder Ihre Organisation.

      • Rolle „Cloud-Asset-Betrachter“ (roles/cloudasset.viewer)

      • Einfache Inhaberrolle (roles/owner)

OS Inventory aktivieren

Führen Sie die relevanten Schritte unter VM Manager einrichten aus, um OS Inventory zu aktivieren, das Teil der VM Manager-Suite ist.

Berechtigungen festlegen

Ihr Konto muss die Berechtigung cloudasset.assets.exportOSInventories für die Stammressource haben, die die zu exportierenden Assets enthält. Sie können diese Berechtigung einzeln oder in einer der folgenden Rollen für die Stammressource zuweisen.

  • Rolle „Cloud-Asset-Betrachter“ (roles/cloudasset.viewer)

  • Rolle „Cloud-Asset-Inhaber“ (roles/cloudasset.owner)

Weitere Informationen finden Sie unter Berechtigungen konfigurieren und IAM-Rollen für Cloud Asset Inventory.

VM-Manager-Daten nach BigQuery exportieren

Verwenden Sie den folgenden Befehl, um einen OS Inventory-Snapshot mit einem bestimmten Zeitstempel zu exportieren.

gcloud

Projekte 

gcloud asset export \
    --project=PROJECT_ID \
    --billing-project=BILLING_PROJECT_ID \
    --content-type=os-inventory \
    --snapshot-time="SNAPSHOT_TIME" \
    --bigquery-table=projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME \
    --output-bigquery-force

Geben Sie folgende Werte an:

  • PROJECT_ID: Die ID des Projekts, dessen Metadaten exportiert werden.

  • BILLING_PROJECT_ID: Optional. Die Projekt-ID, in der sich der standardmäßige Cloud Asset Inventory-Dienst-Agent befindet und die Berechtigungen zum Verwalten Ihrer BigQuery-Datasets und -Tabellen hat. Nicht erforderlich, wenn Sie bereits mit gcloud config set project zum Abrechnungsprojekt gewechselt haben. Weitere Informationen zu Abrechnungsprojekten

  • SNAPSHOT_TIME: Optional. Der Zeitpunkt, zu dem Sie einen Snapshot Ihrer Assets erstellen möchten. Der Wert muss die aktuelle Zeit oder eine Zeit in der Vergangenheit sein. Standardmäßig wird ein Snapshot zur aktuellen Uhrzeit erstellt. Informationen zu Zeitformaten finden Sie unter gcloud topic datetimes.

  • DATASET_ID: Die ID des BigQuery-Datasets.

  • TABLE_NAME: Die Tabelle, in die Sie Ihre Metadaten exportieren.

Andere Meldungen:

  • --output-bigquery-force: Überschreibt die Zieltabelle, falls vorhanden.

Ordner 

gcloud asset export \
    --folder=FOLDER_ID \
    --billing-project=BILLING_PROJECT_ID \
    --content-type=os-inventory \
    --snapshot-time="SNAPSHOT_TIME" \
    --bigquery-table=projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME \
    --output-bigquery-force

Geben Sie folgende Werte an:

  • FOLDER_ID: Die ID des Ordners, dessen Metadaten exportiert werden.

    Google Cloud-Ordner-ID ermitteln

    Console

    Führen Sie die folgenden Schritte aus, um eine Google Cloud-Ordner-ID zu ermitteln:

    1. Öffnen Sie die Google Cloud Console.

      Zur Google Cloud Console

    2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
    3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
    4. Suchen Sie nach dem Namen Ihres Ordners. Die Ordner-ID wird neben dem Ordnernamen angezeigt.

    gcloud-CLI

    Mit dem folgenden Befehl können Sie eine Google Cloud-Ordner-ID auf Organisationsebene abrufen:

    gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

    Dabei kann TOP_LEVEL_FOLDER_NAME eine vollständige oder teilweise Stringübereinstimmung sein. Entfernen Sie die Option --format, um weitere Informationen zu den gefundenen Ordnern zu sehen.

    Um die ID eines Ordners in einem anderen Ordner abzurufen, listen Sie die Unterordner auf:

    gcloud resource-manager folders list --folder=FOLDER_ID

  • BILLING_PROJECT_ID: Optional. Die Projekt-ID, in der sich der standardmäßige Cloud Asset Inventory-Dienst-Agent befindet und die Berechtigungen zum Verwalten Ihrer BigQuery-Datasets und -Tabellen hat. Nicht erforderlich, wenn Sie bereits mit gcloud config set project zum Abrechnungsprojekt gewechselt haben. Weitere Informationen zu Abrechnungsprojekten

  • SNAPSHOT_TIME: Optional. Der Zeitpunkt, zu dem Sie einen Snapshot Ihrer Assets erstellen möchten. Der Wert muss die aktuelle Zeit oder eine Zeit in der Vergangenheit sein. Standardmäßig wird ein Snapshot zur aktuellen Uhrzeit erstellt. Informationen zu Zeitformaten finden Sie unter gcloud topic datetimes.

  • DATASET_ID: Die ID des BigQuery-Datasets.

  • TABLE_NAME: Die Tabelle, in die Sie Ihre Metadaten exportieren.

Andere Meldungen:

  • --output-bigquery-force: Überschreibt die Zieltabelle, falls vorhanden.

Organisationen 

gcloud asset export \
    --organization=ORGANIZATION_ID \
    --billing-project=BILLING_PROJECT_ID \
    --content-type=os-inventory \
    --snapshot-time="SNAPSHOT_TIME" \
    --bigquery-table=projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME \
    --output-bigquery-force

Geben Sie folgende Werte an:

  • ORGANIZATION_ID: Die ID der Organisation, deren Metadaten exportiert werden.

    Google Cloud-Organisations-ID ermitteln

    Console

    Führen Sie die folgenden Schritte aus, um eine Google Cloud-Organisations-ID zu ermitteln:

    1. Öffnen Sie die Google Cloud Console.

      Zur Google Cloud Console

    2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
    3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
    4. Klicken Sie auf den Tab Alle. Die Organisations-ID wird neben dem Namen der Organisation angezeigt.

    gcloud-CLI

    Mit dem folgenden Befehl können Sie eine Google Cloud-Organisations-ID abrufen:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

  • BILLING_PROJECT_ID: Optional. Die Projekt-ID, in der sich der standardmäßige Cloud Asset Inventory-Dienst-Agent befindet und die Berechtigungen zum Verwalten Ihrer BigQuery-Datasets und -Tabellen hat. Nicht erforderlich, wenn Sie bereits mit gcloud config set project zum Abrechnungsprojekt gewechselt haben. Weitere Informationen zu Abrechnungsprojekten

  • SNAPSHOT_TIME: Optional. Der Zeitpunkt, zu dem Sie einen Snapshot Ihrer Assets erstellen möchten. Der Wert muss die aktuelle Zeit oder eine Zeit in der Vergangenheit sein. Standardmäßig wird ein Snapshot zur aktuellen Uhrzeit erstellt. Informationen zu Zeitformaten finden Sie unter gcloud topic datetimes.

  • DATASET_ID: Die ID des BigQuery-Datasets.

  • TABLE_NAME: Die Tabelle, in die Sie Ihre Metadaten exportieren.

Andere Meldungen:

  • --output-bigquery-force: Überschreibt die Zieltabelle, falls vorhanden.

REST 

curl -X POST \
     -H "X-Goog-User-Project: BILLING_PROJECT_ID" \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json" \
     -d '{
          "contentType": "OS_INVENTORY",
          "readTime": "SNAPSHOT_TIME",
          "outputConfig": {
            "bigqueryDestination": {
              "dataset": "projects/PROJECT_ID/datasets/DATASET_ID",
              "table": "TABLE_NAME",
              "force": true
            }
          }
         }' \
     https://cloudasset.googleapis.com/v1/SCOPE:exportAssets

Geben Sie folgende Werte an:

  • BILLING_PROJECT_ID: Optional. Die Projekt-ID, in der sich der standardmäßige Dienst-Agent von Cloud Asset Inventory befindet und Berechtigungen zum Verwalten Ihrer BigQuery-Datasets und -Tabellen hat. Nicht erforderlich, wenn Sie bereits auf das Abrechnungsprojekt mit gcloud config set project umgestellt haben. Weitere Informationen zu Abrechnungsprojekten

  • SNAPSHOT_TIME: Optional. Der Zeitpunkt, zu dem Sie einen Snapshot Ihrer Assets erstellen möchten. Die Angabe erfolgt im RFC 3339-Format. Der Wert muss die aktuelle Zeit oder ein Zeitpunkt sein, der nicht mehr als 35 Tage zurückliegt. Wenn nicht angegeben, wird ein Snapshot zum aktuellen Zeitpunkt erstellt.

  • PROJECT_ID: Die ID des Projekts, in dem sich die BigQuery-Tabelle befindet.

  • DATASET_ID: Die ID des BigQuery-Datasets.

  • TABLE_NAME: Die Tabelle, in die Sie Ihre Metadaten exportieren.

  • SCOPE: Ein Bereich kann ein Projekt, ein Ordner oder eine Organisation sein.

    Zulässige Werte:

    • projects/PROJECT_ID

    • projects/PROJECT_NUMBER

      Google Cloud-Projektnummer ermitteln

      Console

      Führen Sie die folgenden Schritte aus, um eine Google Cloud-Projektnummer zu ermitteln:

      1. Rufen Sie in der Google Cloud Console die Seite Dashboard auf.

        Zu Google Dashboard

      2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
      3. Wählen Sie Ihre Organisation im Feld Auswählen aus aus und suchen Sie dann nach dem Namen Ihres Projekts.
      4. Klicken Sie auf den Projektnamen, um zu diesem Projekt zu wechseln. Die Projektnummer wird auf der Karte Projektinformationen angezeigt.

      gcloud-CLI

      Mit dem folgenden Befehl können Sie eine Google Cloud-Projektnummer abrufen:

      gcloud projects describe PROJECT_ID --format="value(projectNumber)"

    • folders/FOLDER_ID

      Google Cloud-Ordner-ID ermitteln

      Console

      Führen Sie die folgenden Schritte aus, um eine Google Cloud-Ordner-ID zu ermitteln:

      1. Öffnen Sie die Google Cloud Console.

        Zur Google Cloud Console

      2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
      3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
      4. Suchen Sie nach dem Namen Ihres Ordners. Die Ordner-ID wird neben dem Ordnernamen angezeigt.

      gcloud-CLI

      Mit dem folgenden Befehl können Sie eine Google Cloud-Ordner-ID auf Organisationsebene abrufen:

      gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

      Dabei kann TOP_LEVEL_FOLDER_NAME eine vollständige oder teilweise Stringübereinstimmung sein. Entfernen Sie die Option --format, um weitere Informationen zu den gefundenen Ordnern zu sehen.

      Um die ID eines Ordners in einem anderen Ordner abzurufen, listen Sie die Unterordner auf:

      gcloud resource-manager folders list --folder=FOLDER_ID

    • organizations/ORGANIZATION_ID

      Google Cloud-Organisations-ID ermitteln

      Console

      Führen Sie die folgenden Schritte aus, um eine Google Cloud-Organisations-ID zu ermitteln:

      1. Öffnen Sie die Google Cloud Console.

        Zur Google Cloud Console

      2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
      3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
      4. Klicken Sie auf den Tab Alle. Die Organisations-ID wird neben dem Namen der Organisation angezeigt.

      gcloud-CLI

      Mit dem folgenden Befehl können Sie eine Google Cloud-Organisations-ID abrufen:

      gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Verwenden Sie den folgenden Befehl, um VM Manager-Berichte zu Sicherheitslücken aus einem Projekt in BigQuery zu exportieren.

gcloud

Projekte 

gcloud asset export \
    --project=PROJECT_ID \
    --billing-project=BILLING_PROJECT_ID \
    --asset-types=osconfig.googleapis.com/VulnerabilityReport \
    --content-type=resource \
    --bigquery-table=projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME \
    --output-bigquery-force

Geben Sie folgende Werte an:

  • PROJECT_ID: Die ID des Projekts, dessen Metadaten exportiert werden.

  • BILLING_PROJECT_ID: Optional. Die Projekt-ID, in der sich der standardmäßige Cloud Asset Inventory-Dienst-Agent befindet und die Berechtigungen zum Verwalten Ihrer BigQuery-Datasets und -Tabellen hat. Nicht erforderlich, wenn Sie bereits mit gcloud config set project zum Abrechnungsprojekt gewechselt haben. Weitere Informationen zu Abrechnungsprojekten

  • DATASET_ID: Die ID des BigQuery-Datasets.

  • TABLE_NAME: Die Tabelle, in die Sie Ihre Metadaten exportieren.

Andere Meldungen:

  • --output-bigquery-force: Überschreibt die Zieltabelle, falls vorhanden.

Ordner 

gcloud asset export \
    --folder=FOLDER_ID \
    --billing-project=BILLING_PROJECT_ID \
    --asset-types=osconfig.googleapis.com/VulnerabilityReport \
    --content-type=resource \
    --bigquery-table=projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME \
    --output-bigquery-force

Geben Sie folgende Werte an:

  • FOLDER_ID: Die ID des Ordners, dessen Metadaten exportiert werden.

    Google Cloud-Ordner-ID ermitteln

    Console

    Führen Sie die folgenden Schritte aus, um eine Google Cloud-Ordner-ID zu ermitteln:

    1. Öffnen Sie die Google Cloud Console.

      Zur Google Cloud Console

    2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
    3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
    4. Suchen Sie nach dem Namen Ihres Ordners. Die Ordner-ID wird neben dem Ordnernamen angezeigt.

    gcloud-CLI

    Mit dem folgenden Befehl können Sie eine Google Cloud-Ordner-ID auf Organisationsebene abrufen:

    gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

    Dabei kann TOP_LEVEL_FOLDER_NAME eine vollständige oder teilweise Stringübereinstimmung sein. Entfernen Sie die Option --format, um weitere Informationen zu den gefundenen Ordnern zu sehen.

    Um die ID eines Ordners in einem anderen Ordner abzurufen, listen Sie die Unterordner auf:

    gcloud resource-manager folders list --folder=FOLDER_ID

  • BILLING_PROJECT_ID: Optional. Die Projekt-ID, in der sich der standardmäßige Cloud Asset Inventory-Dienst-Agent befindet und die Berechtigungen zum Verwalten Ihrer BigQuery-Datasets und -Tabellen hat. Nicht erforderlich, wenn Sie bereits mit gcloud config set project zum Abrechnungsprojekt gewechselt haben. Weitere Informationen zu Abrechnungsprojekten

  • DATASET_ID: Die ID des BigQuery-Datasets.

  • TABLE_NAME: Die Tabelle, in die Sie Ihre Metadaten exportieren.

Andere Meldungen:

  • --output-bigquery-force: Überschreibt die Zieltabelle, falls vorhanden.

Organisationen 

gcloud asset export \
    --organization=ORGANIZATION_ID \
    --billing-project=BILLING_PROJECT_ID \
    --asset-types=osconfig.googleapis.com/VulnerabilityReport \
    --content-type=resource \
    --bigquery-table=projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME \
    --output-bigquery-force

Geben Sie folgende Werte an:

  • ORGANIZATION_ID: Die ID der Organisation, deren Metadaten exportiert werden.

    Google Cloud-Organisations-ID ermitteln

    Console

    Führen Sie die folgenden Schritte aus, um eine Google Cloud-Organisations-ID zu ermitteln:

    1. Öffnen Sie die Google Cloud Console.

      Zur Google Cloud Console

    2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
    3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
    4. Klicken Sie auf den Tab Alle. Die Organisations-ID wird neben dem Namen der Organisation angezeigt.

    gcloud-CLI

    Mit dem folgenden Befehl können Sie eine Google Cloud-Organisations-ID abrufen:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

  • BILLING_PROJECT_ID: Optional. Die Projekt-ID, in der sich der standardmäßige Cloud Asset Inventory-Dienst-Agent befindet und die Berechtigungen zum Verwalten Ihrer BigQuery-Datasets und -Tabellen hat. Nicht erforderlich, wenn Sie bereits mit gcloud config set project zum Abrechnungsprojekt gewechselt haben. Weitere Informationen zu Abrechnungsprojekten

  • DATASET_ID: Die ID des BigQuery-Datasets.

  • TABLE_NAME: Die Tabelle, in die Sie Ihre Metadaten exportieren.

Andere Meldungen:

  • --output-bigquery-force: Überschreibt die Zieltabelle, falls vorhanden.

REST 

curl -X POST \
     -H "X-Goog-User-Project: BILLING_PROJECT_ID" \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json" \
     -d '{
          "assetTypes": ["osconfig.googleapis.com/VulnerabilityReport"],
          "contentType": "RESOURCE",
          "outputConfig": {
            "bigqueryDestination": {
              "dataset": "projects/PROJECT_ID/datasets/DATASET_ID",
              "table": "TABLE_NAME",
              "force": true
            }
          }
         }' \
     https://cloudasset.googleapis.com/v1/SCOPE:exportAssets

Geben Sie folgende Werte an:

  • BILLING_PROJECT_ID: Optional. Die Projekt-ID, in der sich der standardmäßige Dienst-Agent von Cloud Asset Inventory befindet und Berechtigungen zum Verwalten Ihrer BigQuery-Datasets und -Tabellen hat. Nicht erforderlich, wenn Sie bereits auf das Abrechnungsprojekt mit gcloud config set project umgestellt haben. Weitere Informationen zu Abrechnungsprojekten

  • PROJECT_ID: Die ID des Projekts, in dem sich die BigQuery-Tabelle befindet.

  • DATASET_ID: Die ID des BigQuery-Datasets.

  • TABLE_NAME: Die Tabelle, in die Sie Ihre Metadaten exportieren.

  • SCOPE: Ein Bereich kann ein Projekt, ein Ordner oder eine Organisation sein.

    Zulässige Werte:

    • projects/PROJECT_ID

    • projects/PROJECT_NUMBER

      Google Cloud-Projektnummer ermitteln

      Console

      Führen Sie die folgenden Schritte aus, um eine Google Cloud-Projektnummer zu ermitteln:

      1. Rufen Sie in der Google Cloud Console die Seite Dashboard auf.

        Zu Google Dashboard

      2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
      3. Wählen Sie Ihre Organisation im Feld Auswählen aus aus und suchen Sie dann nach dem Namen Ihres Projekts.
      4. Klicken Sie auf den Projektnamen, um zu diesem Projekt zu wechseln. Die Projektnummer wird auf der Karte Projektinformationen angezeigt.

      gcloud-CLI

      Mit dem folgenden Befehl können Sie eine Google Cloud-Projektnummer abrufen:

      gcloud projects describe PROJECT_ID --format="value(projectNumber)"

    • folders/FOLDER_ID

      Google Cloud-Ordner-ID ermitteln

      Console

      Führen Sie die folgenden Schritte aus, um eine Google Cloud-Ordner-ID zu ermitteln:

      1. Öffnen Sie die Google Cloud Console.

        Zur Google Cloud Console

      2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
      3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
      4. Suchen Sie nach dem Namen Ihres Ordners. Die Ordner-ID wird neben dem Ordnernamen angezeigt.

      gcloud-CLI

      Mit dem folgenden Befehl können Sie eine Google Cloud-Ordner-ID auf Organisationsebene abrufen:

      gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

      Dabei kann TOP_LEVEL_FOLDER_NAME eine vollständige oder teilweise Stringübereinstimmung sein. Entfernen Sie die Option --format, um weitere Informationen zu den gefundenen Ordnern zu sehen.

      Um die ID eines Ordners in einem anderen Ordner abzurufen, listen Sie die Unterordner auf:

      gcloud resource-manager folders list --folder=FOLDER_ID

    • organizations/ORGANIZATION_ID

      Google Cloud-Organisations-ID ermitteln

      Console

      Führen Sie die folgenden Schritte aus, um eine Google Cloud-Organisations-ID zu ermitteln:

      1. Öffnen Sie die Google Cloud Console.

        Zur Google Cloud Console

      2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
      3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
      4. Klicken Sie auf den Tab Alle. Die Organisations-ID wird neben dem Namen der Organisation angezeigt.

      gcloud-CLI

      Mit dem folgenden Befehl können Sie eine Google Cloud-Organisations-ID abrufen:

      gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Weitere Parameter:

  • "force": true: Überschreibt die Zieltabelle, falls vorhanden.

Vorhandene Tabellen

Das Anhängen der Exportausgabe an eine vorhandene Tabelle wird nicht unterstützt. Die Zieltabelle muss leer sein oder muss überschrieben werden. Verwenden Sie zum Überschreiben das Flag --output-bigquery-force mit der gcloud CLI oder force mit der REST API.

Wenn die Ausgabetabelle beim Schreiben in sie verwendet wird, wird die Antwort 400 mit der Nachricht Request contains an invalid argument zurückgegeben.

VM-Manager-Daten nach Cloud Storage exportieren

Verwenden Sie den folgenden gcloud CLI-Befehl oder die Cloud Asset Inventory API, um die VM Manager-Inventardaten für alle VM-Instanzen in einem Projekt zu exportieren.

gcloud

Projekte 

gcloud asset export \
    --project=PROJECT_ID \
    --billing-project=BILLING_PROJECT_ID \
    --content-type=os-inventory \
    --output-path="gs://BUCKET_NAME/FILENAME"

Geben Sie folgende Werte an:

  • PROJECT_ID: Die ID des Projekts, dessen Metadaten exportiert werden.

  • BILLING_PROJECT_ID: Optional. Die Projekt-ID, in der sich der standardmäßige Dienst-Agent von Cloud Asset Inventory befindet und die Berechtigung zum Schreiben in Ihren Cloud Storage-Bucket hat. Nicht erforderlich, wenn Sie bereits mit gcloud config set project zum Abrechnungsprojekt gewechselt haben. Weitere Informationen zu Abrechnungsprojekten

  • BUCKET_NAME: Der Name des Cloud Storage-Bucket, in den geschrieben werden soll.

  • FILENAME: Die Datei in Ihrem Cloud Storage-Bucket, in die geschrieben werden soll.

Ordner 

gcloud asset export \
    --folder=FOLDER_ID \
    --billing-project=BILLING_PROJECT_ID \
    --content-type=os-inventory \
    --output-path="gs://BUCKET_NAME/FILENAME"

Geben Sie folgende Werte an:

  • FOLDER_ID: Die ID des Ordners, dessen Metadaten exportiert werden.

    Google Cloud-Ordner-ID ermitteln

    Console

    Führen Sie die folgenden Schritte aus, um eine Google Cloud-Ordner-ID zu ermitteln:

    1. Öffnen Sie die Google Cloud Console.

      Zur Google Cloud Console

    2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
    3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
    4. Suchen Sie nach dem Namen Ihres Ordners. Die Ordner-ID wird neben dem Ordnernamen angezeigt.

    gcloud-CLI

    Mit dem folgenden Befehl können Sie eine Google Cloud-Ordner-ID auf Organisationsebene abrufen:

    gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

    Dabei kann TOP_LEVEL_FOLDER_NAME eine vollständige oder teilweise Stringübereinstimmung sein. Entfernen Sie die Option --format, um weitere Informationen zu den gefundenen Ordnern zu sehen.

    Um die ID eines Ordners in einem anderen Ordner abzurufen, listen Sie die Unterordner auf:

    gcloud resource-manager folders list --folder=FOLDER_ID

  • BILLING_PROJECT_ID: Optional. Die Projekt-ID, in der sich der standardmäßige Dienst-Agent von Cloud Asset Inventory befindet und die Berechtigung zum Schreiben in Ihren Cloud Storage-Bucket hat. Nicht erforderlich, wenn Sie bereits mit gcloud config set project zum Abrechnungsprojekt gewechselt haben. Weitere Informationen zu Abrechnungsprojekten

  • BUCKET_NAME: Der Name des Cloud Storage-Bucket, in den geschrieben werden soll.

  • FILENAME: Die Datei in Ihrem Cloud Storage-Bucket, in die geschrieben werden soll.

Organisationen 

gcloud asset export \
    --organization=ORGANIZATION_ID \
    --billing-project=BILLING_PROJECT_ID \
    --content-type=os-inventory \
    --output-path="gs://BUCKET_NAME/FILENAME"

Geben Sie folgende Werte an:

  • ORGANIZATION_ID: Die ID der Organisation, deren Metadaten exportiert werden.

    Google Cloud-Organisations-ID ermitteln

    Console

    Führen Sie die folgenden Schritte aus, um eine Google Cloud-Organisations-ID zu ermitteln:

    1. Öffnen Sie die Google Cloud Console.

      Zur Google Cloud Console

    2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
    3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
    4. Klicken Sie auf den Tab Alle. Die Organisations-ID wird neben dem Namen der Organisation angezeigt.

    gcloud-CLI

    Mit dem folgenden Befehl können Sie eine Google Cloud-Organisations-ID abrufen:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

  • BILLING_PROJECT_ID: Optional. Die Projekt-ID, in der sich der standardmäßige Dienst-Agent von Cloud Asset Inventory befindet und die Berechtigung zum Schreiben in Ihren Cloud Storage-Bucket hat. Nicht erforderlich, wenn Sie bereits mit gcloud config set project zum Abrechnungsprojekt gewechselt haben. Weitere Informationen zu Abrechnungsprojekten

  • BUCKET_NAME: Der Name des Cloud Storage-Bucket, in den geschrieben werden soll.

  • FILENAME: Die Datei in Ihrem Cloud Storage-Bucket, in die geschrieben werden soll.

REST 

curl -X POST \
     -H "X-Goog-User-Project: BILLING_PROJECT_ID" \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json" \
     -d '{
          "contentType": "OS_INVENTORY",
          "outputConfig": {
            "gcsDestination": {
              "uri": "gs://BUCKET_NAME/FILENAME"
            }
          }
         }' \
     https://cloudasset.googleapis.com/v1/SCOPE:exportAssets

Geben Sie folgende Werte an:

  • BILLING_PROJECT_ID: Optional. Die Projekt-ID, in der sich der standardmäßige Cloud Asset Inventory-Dienst-Agent befindet und die Berechtigung zum Schreiben in Ihren Cloud Storage-Bucket hat. Nicht erforderlich, wenn Sie bereits auf das Abrechnungsprojekt mit gcloud config set project umgestellt haben. Weitere Informationen zu Abrechnungsprojekten

  • BUCKET_NAME: Der Name des Cloud Storage-Bucket, in den geschrieben werden soll.

  • FILENAME: Die Datei in Ihrem Cloud Storage-Bucket, in die geschrieben werden soll.

  • SCOPE: Ein Bereich kann ein Projekt, ein Ordner oder eine Organisation sein.

    Zulässige Werte:

    • projects/PROJECT_ID

    • projects/PROJECT_NUMBER

      Google Cloud-Projektnummer ermitteln

      Console

      Führen Sie die folgenden Schritte aus, um eine Google Cloud-Projektnummer zu ermitteln:

      1. Rufen Sie in der Google Cloud Console die Seite Dashboard auf.

        Zu Google Dashboard

      2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
      3. Wählen Sie Ihre Organisation im Feld Auswählen aus aus und suchen Sie dann nach dem Namen Ihres Projekts.
      4. Klicken Sie auf den Projektnamen, um zu diesem Projekt zu wechseln. Die Projektnummer wird auf der Karte Projektinformationen angezeigt.

      gcloud-CLI

      Mit dem folgenden Befehl können Sie eine Google Cloud-Projektnummer abrufen:

      gcloud projects describe PROJECT_ID --format="value(projectNumber)"

    • folders/FOLDER_ID

      Google Cloud-Ordner-ID ermitteln

      Console

      Führen Sie die folgenden Schritte aus, um eine Google Cloud-Ordner-ID zu ermitteln:

      1. Öffnen Sie die Google Cloud Console.

        Zur Google Cloud Console

      2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
      3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
      4. Suchen Sie nach dem Namen Ihres Ordners. Die Ordner-ID wird neben dem Ordnernamen angezeigt.

      gcloud-CLI

      Mit dem folgenden Befehl können Sie eine Google Cloud-Ordner-ID auf Organisationsebene abrufen:

      gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

      Dabei kann TOP_LEVEL_FOLDER_NAME eine vollständige oder teilweise Stringübereinstimmung sein. Entfernen Sie die Option --format, um weitere Informationen zu den gefundenen Ordnern zu sehen.

      Um die ID eines Ordners in einem anderen Ordner abzurufen, listen Sie die Unterordner auf:

      gcloud resource-manager folders list --folder=FOLDER_ID

    • organizations/ORGANIZATION_ID

      Google Cloud-Organisations-ID ermitteln

      Console

      Führen Sie die folgenden Schritte aus, um eine Google Cloud-Organisations-ID zu ermitteln:

      1. Öffnen Sie die Google Cloud Console.

        Zur Google Cloud Console

      2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
      3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
      4. Klicken Sie auf den Tab Alle. Die Organisations-ID wird neben dem Namen der Organisation angezeigt.

      gcloud-CLI

      Mit dem folgenden Befehl können Sie eine Google Cloud-Organisations-ID abrufen:

      gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Verwenden Sie den folgenden gcloud CLI-Befehl oder die Cloud Asset Inventory API, um VM Manager-Berichte zu Sicherheitslücken aus einem Projekt in Cloud Storage zu exportieren.

gcloud

Projekte 

gcloud asset export \
    --project=PROJECT_ID \
    --billing-project=BILLING_PROJECT_ID \
    --asset-types=osconfig.googleapis.com/VulnerabilityReport \
    --content-type=resource \
    --output-path="gs://BUCKET_NAME/FILENAME"

Geben Sie folgende Werte an:

  • PROJECT_ID: Die ID des Projekts, dessen Metadaten exportiert werden.

  • BILLING_PROJECT_ID: Optional. Die Projekt-ID, in der sich der standardmäßige Dienst-Agent von Cloud Asset Inventory befindet und die Berechtigung zum Schreiben in Ihren Cloud Storage-Bucket hat. Nicht erforderlich, wenn Sie bereits mit gcloud config set project zum Abrechnungsprojekt gewechselt haben. Weitere Informationen zu Abrechnungsprojekten

  • BUCKET_NAME: Der Name des Cloud Storage-Bucket, in den geschrieben werden soll.

  • FILENAME: Die Datei in Ihrem Cloud Storage-Bucket, in die geschrieben werden soll.

Ordner 

gcloud asset export \
    --folder=FOLDER_ID \
    --billing-project=BILLING_PROJECT_ID \
    --asset-types=osconfig.googleapis.com/VulnerabilityReport \
    --content-type=resource \
    --output-path="gs://BUCKET_NAME/FILENAME"

Geben Sie folgende Werte an:

  • FOLDER_ID: Die ID des Ordners, dessen Metadaten exportiert werden.

    Google Cloud-Ordner-ID ermitteln

    Console

    Führen Sie die folgenden Schritte aus, um eine Google Cloud-Ordner-ID zu ermitteln:

    1. Öffnen Sie die Google Cloud Console.

      Zur Google Cloud Console

    2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
    3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
    4. Suchen Sie nach dem Namen Ihres Ordners. Die Ordner-ID wird neben dem Ordnernamen angezeigt.

    gcloud-CLI

    Mit dem folgenden Befehl können Sie eine Google Cloud-Ordner-ID auf Organisationsebene abrufen:

    gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

    Dabei kann TOP_LEVEL_FOLDER_NAME eine vollständige oder teilweise Stringübereinstimmung sein. Entfernen Sie die Option --format, um weitere Informationen zu den gefundenen Ordnern zu sehen.

    Um die ID eines Ordners in einem anderen Ordner abzurufen, listen Sie die Unterordner auf:

    gcloud resource-manager folders list --folder=FOLDER_ID

  • BILLING_PROJECT_ID: Optional. Die Projekt-ID, in der sich der standardmäßige Dienst-Agent von Cloud Asset Inventory befindet und die Berechtigung zum Schreiben in Ihren Cloud Storage-Bucket hat. Nicht erforderlich, wenn Sie bereits mit gcloud config set project zum Abrechnungsprojekt gewechselt haben. Weitere Informationen zu Abrechnungsprojekten

  • BUCKET_NAME: Der Name des Cloud Storage-Bucket, in den geschrieben werden soll.

  • FILENAME: Die Datei in Ihrem Cloud Storage-Bucket, in die geschrieben werden soll.

Organisationen 

gcloud asset export \
    --organization=ORGANIZATION_ID \
    --billing-project=BILLING_PROJECT_ID \
    --asset-types=osconfig.googleapis.com/VulnerabilityReport \
    --content-type=resource \
    --output-path="gs://BUCKET_NAME/FILENAME"

Geben Sie folgende Werte an:

  • ORGANIZATION_ID: Die ID der Organisation, deren Metadaten exportiert werden.

    Google Cloud-Organisations-ID ermitteln

    Console

    Führen Sie die folgenden Schritte aus, um eine Google Cloud-Organisations-ID zu ermitteln:

    1. Öffnen Sie die Google Cloud Console.

      Zur Google Cloud Console

    2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
    3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
    4. Klicken Sie auf den Tab Alle. Die Organisations-ID wird neben dem Namen der Organisation angezeigt.

    gcloud-CLI

    Mit dem folgenden Befehl können Sie eine Google Cloud-Organisations-ID abrufen:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

  • BILLING_PROJECT_ID: Optional. Die Projekt-ID, in der sich der standardmäßige Dienst-Agent von Cloud Asset Inventory befindet und die Berechtigung zum Schreiben in Ihren Cloud Storage-Bucket hat. Nicht erforderlich, wenn Sie bereits mit gcloud config set project zum Abrechnungsprojekt gewechselt haben. Weitere Informationen zu Abrechnungsprojekten

  • BUCKET_NAME: Der Name des Cloud Storage-Bucket, in den geschrieben werden soll.

  • FILENAME: Die Datei in Ihrem Cloud Storage-Bucket, in die geschrieben werden soll.

REST 

curl -X POST \
     -H "X-Goog-User-Project: BILLING_PROJECT_ID" \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json" \
     -d '{
          "assetTypes": ["osconfig.googleapis.com/VulnerabilityReport"],
          "contentType": "RESOURCE",
          "outputConfig": {
            "gcsDestination": {
              "uri": "gs://BUCKET_NAME/FILENAME"
            }
          }
         }' \
     https://cloudasset.googleapis.com/v1/SCOPE:exportAssets

Geben Sie folgende Werte an:

  • BILLING_PROJECT_ID: Optional. Die Projekt-ID, in der sich der standardmäßige Cloud Asset Inventory-Dienst-Agent befindet und die Berechtigung zum Schreiben in Ihren Cloud Storage-Bucket hat. Nicht erforderlich, wenn Sie bereits auf das Abrechnungsprojekt mit gcloud config set project umgestellt haben. Weitere Informationen zu Abrechnungsprojekten

  • BUCKET_NAME: Der Name des Cloud Storage-Bucket, in den geschrieben werden soll.

  • FILENAME: Die Datei in Ihrem Cloud Storage-Bucket, in die geschrieben werden soll.

  • SCOPE: Ein Bereich kann ein Projekt, ein Ordner oder eine Organisation sein.

    Zulässige Werte:

    • projects/PROJECT_ID

    • projects/PROJECT_NUMBER

      Google Cloud-Projektnummer ermitteln

      Console

      Führen Sie die folgenden Schritte aus, um eine Google Cloud-Projektnummer zu ermitteln:

      1. Rufen Sie in der Google Cloud Console die Seite Dashboard auf.

        Zu Google Dashboard

      2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
      3. Wählen Sie Ihre Organisation im Feld Auswählen aus aus und suchen Sie dann nach dem Namen Ihres Projekts.
      4. Klicken Sie auf den Projektnamen, um zu diesem Projekt zu wechseln. Die Projektnummer wird auf der Karte Projektinformationen angezeigt.

      gcloud-CLI

      Mit dem folgenden Befehl können Sie eine Google Cloud-Projektnummer abrufen:

      gcloud projects describe PROJECT_ID --format="value(projectNumber)"

    • folders/FOLDER_ID

      Google Cloud-Ordner-ID ermitteln

      Console

      Führen Sie die folgenden Schritte aus, um eine Google Cloud-Ordner-ID zu ermitteln:

      1. Öffnen Sie die Google Cloud Console.

        Zur Google Cloud Console

      2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
      3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
      4. Suchen Sie nach dem Namen Ihres Ordners. Die Ordner-ID wird neben dem Ordnernamen angezeigt.

      gcloud-CLI

      Mit dem folgenden Befehl können Sie eine Google Cloud-Ordner-ID auf Organisationsebene abrufen:

      gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

      Dabei kann TOP_LEVEL_FOLDER_NAME eine vollständige oder teilweise Stringübereinstimmung sein. Entfernen Sie die Option --format, um weitere Informationen zu den gefundenen Ordnern zu sehen.

      Um die ID eines Ordners in einem anderen Ordner abzurufen, listen Sie die Unterordner auf:

      gcloud resource-manager folders list --folder=FOLDER_ID

    • organizations/ORGANIZATION_ID

      Google Cloud-Organisations-ID ermitteln

      Console

      Führen Sie die folgenden Schritte aus, um eine Google Cloud-Organisations-ID zu ermitteln:

      1. Öffnen Sie die Google Cloud Console.

        Zur Google Cloud Console

      2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
      3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
      4. Klicken Sie auf den Tab Alle. Die Organisations-ID wird neben dem Namen der Organisation angezeigt.

      gcloud-CLI

      Mit dem folgenden Befehl können Sie eine Google Cloud-Organisations-ID abrufen:

      gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Vorhandene Dateien

Wenn die Ausgabedatei verwendet wird, wenn Sie versuchen, in einen Storage-Bucket zu schreiben, wird die Antwort 400 mit der Nachricht Request contains an invalid argument zurückgegeben.

VM Manager-Datenverlauf abrufen

Führen Sie die folgenden Befehle aus, um den Verlauf aller Betriebssystem-Inventar-Assets für eine bestimmte VM-Instanz in einem Projekt, einem Ordner oder einer Organisation abzurufen.

gcloud

Projekte 

gcloud asset get-history \
    --project=PROJECT_ID \
    --asset-names=//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/VM_INSTANCE_NAME \
    --content-type=os-inventory \
    --start-time="START_TIME" \
    --end-time="END_TIME"

Geben Sie folgende Werte an:

  • PROJECT_ID: Die ID des Projekts, in dem sich die VM-Instanz befindet.

  • ZONE: Die Zone, in der sich Ihre VM-Instanz befindet. Beispiel: us-central1-a

  • VM_INSTANCE_NAME: Der Name Ihrer VM-Instanz.

  • START_TIME: Optional. Anfang des Zeitraums. Der maximale Zeitraum beträgt 7 Tage. Der Wert muss die aktuelle Zeit oder ein Zeitpunkt sein, der nicht mehr als 35 Tage in der Vergangenheit liegt. Informationen zu Zeitformaten finden Sie unter gcloud topic datetimes.

  • END_TIME: Optional. Der Endpunkt des Zeitraums. Der maximale Zeitraum beträgt 7 Tage. Der Wert muss die aktuelle Zeit oder ein Zeitpunkt sein, der nicht mehr als 35 Tage in der Vergangenheit liegt. Wenn nicht angegeben, wird angenommen, dass die Endzeit die aktuelle Zeit ist. Informationen zu Zeitformaten finden Sie unter gcloud topic datetimes.

Führen Sie den folgenden Befehl aus, um den Verlauf der VM Manager-Sicherheitslücken für eine bestimmte VM in einem Projekt abzurufen:

gcloud asset get-history \
    --project=PROJECT_ID \
    --asset-names=//osconfig.googleapis.com/projects/PROJECT_NUMBER/locations/ZONE/instances/VM_INSTANCE_ID/vulnerabilityReport \
    --content-type=resource \
    --start-time="START_TIME" \
    --end-time="END_TIME"

Ordner 

gcloud asset get-history \
    --folder=FOLDER_ID \
    --asset-names=//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/VM_INSTANCE_NAME \
    --content-type=os-inventory \
    --start-time="START_TIME" \
    --end-time="END_TIME"

Geben Sie folgende Werte an:

  • FOLDER_ID: Die ID des Ordners, in dem sich die VM-Instanz befindet.

    Google Cloud-Ordner-ID ermitteln

    Console

    Führen Sie die folgenden Schritte aus, um eine Google Cloud-Ordner-ID zu ermitteln:

    1. Öffnen Sie die Google Cloud Console.

      Zur Google Cloud Console

    2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
    3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
    4. Suchen Sie nach dem Namen Ihres Ordners. Die Ordner-ID wird neben dem Ordnernamen angezeigt.

    gcloud-CLI

    Mit dem folgenden Befehl können Sie eine Google Cloud-Ordner-ID auf Organisationsebene abrufen:

    gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

    Dabei kann TOP_LEVEL_FOLDER_NAME eine vollständige oder teilweise Stringübereinstimmung sein. Entfernen Sie die Option --format, um weitere Informationen zu den gefundenen Ordnern zu sehen.

    Um die ID eines Ordners in einem anderen Ordner abzurufen, listen Sie die Unterordner auf:

    gcloud resource-manager folders list --folder=FOLDER_ID

  • ZONE: Die Zone, in der sich Ihre VM-Instanz befindet. Beispiel: us-central1-a

  • VM_INSTANCE_NAME: Der Name Ihrer VM-Instanz.

  • START_TIME: Optional. Anfang des Zeitraums. Der maximale Zeitraum beträgt 7 Tage. Der Wert muss die aktuelle Zeit oder ein Zeitpunkt sein, der nicht mehr als 35 Tage in der Vergangenheit liegt. Informationen zu Zeitformaten finden Sie unter gcloud topic datetimes.

  • END_TIME: Optional. Der Endpunkt des Zeitraums. Der maximale Zeitraum beträgt 7 Tage. Der Wert muss die aktuelle Zeit oder ein Zeitpunkt sein, der nicht mehr als 35 Tage in der Vergangenheit liegt. Wenn nicht angegeben, wird angenommen, dass die Endzeit die aktuelle Zeit ist. Informationen zu Zeitformaten finden Sie unter gcloud topic datetimes.

Führen Sie den folgenden Befehl aus, um den Verlauf der VM Manager-Sicherheitslücken für eine bestimmte VM in einem Projekt abzurufen:

gcloud asset get-history \
    --folder=FOLDER_ID \
    --asset-names=//osconfig.googleapis.com/projects/PROJECT_NUMBER/locations/ZONE/instances/VM_INSTANCE_ID/vulnerabilityReport \
    --content-type=resource \
    --start-time="START_TIME" \
    --end-time="END_TIME"

Organisationen 

gcloud asset get-history \
    --organization=ORGANIZATION_ID \
    --asset-names=//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/VM_INSTANCE_NAME \
    --content-type=os-inventory \
    --start-time="START_TIME" \
    --end-time="END_TIME"

Geben Sie folgende Werte an:

  • ORGANIZATION_ID: Die ID der Organisation, in der sich die VM-Instanz befindet.

    Google Cloud-Organisations-ID ermitteln

    Console

    Führen Sie die folgenden Schritte aus, um eine Google Cloud-Organisations-ID zu ermitteln:

    1. Öffnen Sie die Google Cloud Console.

      Zur Google Cloud Console

    2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
    3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
    4. Klicken Sie auf den Tab Alle. Die Organisations-ID wird neben dem Namen der Organisation angezeigt.

    gcloud-CLI

    Mit dem folgenden Befehl können Sie eine Google Cloud-Organisations-ID abrufen:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

  • ZONE: Die Zone, in der sich Ihre VM-Instanz befindet. Beispiel: us-central1-a

  • VM_INSTANCE_NAME: Der Name Ihrer VM-Instanz.

  • START_TIME: Optional. Anfang des Zeitraums. Der maximale Zeitraum beträgt 7 Tage. Der Wert muss die aktuelle Zeit oder ein Zeitpunkt sein, der nicht mehr als 35 Tage in der Vergangenheit liegt. Informationen zu Zeitformaten finden Sie unter gcloud topic datetimes.

  • END_TIME: Optional. Der Endpunkt des Zeitraums. Der maximale Zeitraum beträgt 7 Tage. Der Wert muss die aktuelle Zeit oder ein Zeitpunkt sein, der nicht mehr als 35 Tage in der Vergangenheit liegt. Wenn nicht angegeben, wird angenommen, dass die Endzeit die aktuelle Zeit ist. Informationen zu Zeitformaten finden Sie unter gcloud topic datetimes.

Führen Sie den folgenden Befehl aus, um den Verlauf der VM Manager-Sicherheitslücken für eine bestimmte VM in einem Projekt abzurufen:

gcloud asset get-history \
    --organization=ORGANIZATION_ID \
    --asset-names=//osconfig.googleapis.com/projects/PROJECT_NUMBER/locations/ZONE/instances/VM_INSTANCE_ID/vulnerabilityReport \
    --content-type=resource \
    --start-time="START_TIME" \
    --end-time="END_TIME"

REST

Führen Sie den folgenden Befehl aus, um den Verlauf aller Betriebssystem-Inventar-Assets für eine bestimmte VM-Instanz in einem Projekt abzurufen:

curl -X POST \
     -H "X-HTTP-Method-Override: GET" \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json" \
     -d '{
          "assetNames": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/VM_INSTANCE_NAME",
          "contentType": "OS_INVENTORY",
          "readTimeWindow": {
            "startTime": "START_TIME",
            "endTime": "END_TIME"
          }
         }' \
     https://cloudasset.googleapis.com/v1/SCOPE:batchGetAssetsHistory

Geben Sie folgende Werte an:

  • PROJECT_ID: Die ID des Projekts, in dem sich die VM-Instanz befindet.

  • ZONE: Die Zone, in der sich Ihre VM-Instanz befindet. Beispiel: us-central1-a

  • VM_INSTANCE_NAME: Der Name Ihrer VM-Instanz.

  • START_TIME: Optional. Anfang des Zeitraums. Der maximale Zeitraum beträgt 7 Tage. Der Wert muss die aktuelle Zeit oder ein Zeitpunkt sein, der nicht mehr als 35 Tage in der Vergangenheit liegt. Informationen zu Zeitformaten finden Sie unter gcloud topic datetimes.

  • END_TIME: Optional. Der Endpunkt des Zeitraums. Der maximale Zeitraum beträgt 7 Tage. Der Wert muss die aktuelle Zeit oder ein Zeitpunkt sein, der nicht mehr als 35 Tage in der Vergangenheit liegt. Wenn nicht angegeben, wird angenommen, dass die Endzeit die aktuelle Zeit ist. Informationen zu Zeitformaten finden Sie unter gcloud topic datetimes.

  • SCOPE: Ein Bereich kann ein Projekt, ein Ordner oder eine Organisation sein.

    Zulässige Werte:

    • projects/PROJECT_ID

    • projects/PROJECT_NUMBER

      Google Cloud-Projektnummer ermitteln

      Console

      Führen Sie die folgenden Schritte aus, um eine Google Cloud-Projektnummer zu ermitteln:

      1. Rufen Sie in der Google Cloud Console die Seite Dashboard auf.

        Zu Google Dashboard

      2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
      3. Wählen Sie Ihre Organisation im Feld Auswählen aus aus und suchen Sie dann nach dem Namen Ihres Projekts.
      4. Klicken Sie auf den Projektnamen, um zu diesem Projekt zu wechseln. Die Projektnummer wird auf der Karte Projektinformationen angezeigt.

      gcloud-CLI

      Mit dem folgenden Befehl können Sie eine Google Cloud-Projektnummer abrufen:

      gcloud projects describe PROJECT_ID --format="value(projectNumber)"

    • folders/FOLDER_ID

      Google Cloud-Ordner-ID ermitteln

      Console

      Führen Sie die folgenden Schritte aus, um eine Google Cloud-Ordner-ID zu ermitteln:

      1. Öffnen Sie die Google Cloud Console.

        Zur Google Cloud Console

      2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
      3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
      4. Suchen Sie nach dem Namen Ihres Ordners. Die Ordner-ID wird neben dem Ordnernamen angezeigt.

      gcloud-CLI

      Mit dem folgenden Befehl können Sie eine Google Cloud-Ordner-ID auf Organisationsebene abrufen:

      gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

      Dabei kann TOP_LEVEL_FOLDER_NAME eine vollständige oder teilweise Stringübereinstimmung sein. Entfernen Sie die Option --format, um weitere Informationen zu den gefundenen Ordnern zu sehen.

      Um die ID eines Ordners in einem anderen Ordner abzurufen, listen Sie die Unterordner auf:

      gcloud resource-manager folders list --folder=FOLDER_ID

    • organizations/ORGANIZATION_ID

      Google Cloud-Organisations-ID ermitteln

      Console

      Führen Sie die folgenden Schritte aus, um eine Google Cloud-Organisations-ID zu ermitteln:

      1. Öffnen Sie die Google Cloud Console.

        Zur Google Cloud Console

      2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
      3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
      4. Klicken Sie auf den Tab Alle. Die Organisations-ID wird neben dem Namen der Organisation angezeigt.

      gcloud-CLI

      Mit dem folgenden Befehl können Sie eine Google Cloud-Organisations-ID abrufen:

      gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Führen Sie den folgenden Befehl aus, um den Verlauf der VM Manager-Sicherheitslücken für eine bestimmte VM in einem Projekt abzurufen:

curl -X POST \
     -H "X-HTTP-Method-Override: GET" \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json" \
     -d '{
          "assetNames": "//osconfig.googleapis.com/projects/PROJECT_ID/locations/ZONE/instances/VM_INSTANCE_NAME/vulnerabilityReport",
          "contentType": "RESOURCE",
          "readTimeWindow": {
            "startTime": "START_TIME",
            "endTime": "END_TIME"
          }
         }' \
     https://cloudasset.googleapis.com/v1/SCOPE:batchGetAssetsHistory

VM Manager-Datenänderungen mit Pub/Sub überwachen

Führen Sie nach dem Erstellen eines Pub/Sub-Themas die folgenden Befehle aus, um VM Manager-Änderungen zu überwachen.

gcloud

Projekte

Führen Sie den folgenden Befehl aus, um einen Feed für das Monitoring von VMs mit installiertem Windows-Betriebssystem zu erstellen:

gcloud asset feeds create FEED_ID \
    --project=PROJECT_ID \
    --billing-project=BILLING_PROJECT_ID \
    --asset-types=compute.googleapis.com/Instance \
    --content-type=os-inventory \
    --pubsub-topic="projects/PROJECT_ID/topics/TOPIC_ID" \
    --condition-title="CONDITION_TITLE" \
    --condition-description="CONDITION_DESCRIPTION" \
    --condition-expression="temporal_asset.asset.os_inventory.os_info.short_name == \"windows\""

Geben Sie folgende Werte an:

  • FEED_ID: Eine eindeutige Asset-Feed-ID.

  • PROJECT_ID: Die ID des Projekts, dessen Metadaten an den Feed gesendet werden.

  • BILLING_PROJECT_ID: Optional. Die Projekt-ID, in der sich der standardmäßige Cloud Asset Inventory-Dienst-Agent befindet und die Berechtigungen zum Verwalten Ihres Pub/Sub-Themas hat. Weitere Informationen zu Abrechnungsprojekten

  • TOPIC_ID: Die ID des Pub/Sub-Themas, in dem Benachrichtigungen veröffentlicht werden sollen.

  • CONDITION_TITLE: Optional. Der Titel der Bedingung, die auf den Feed angewendet werden soll.

  • CONDITION_DESCRIPTION: Optional. Die Beschreibung der Bedingung, die auf den Feed angewendet werden soll.

Führen Sie den folgenden Befehl aus, um einen Feed zum Überwachen der VM-Sicherheitslückendaten in einem Projekt zu erstellen:

gcloud asset feeds create FEED_ID \
    --project=PROJECT_ID \
    --billing-project=BILLING_PROJECT_ID \
    --asset-types=osconfig.googleapis.com/VulnerabilityReport \
    --content-type=resource \
    --pubsub-topic="projects/PROJECT_ID/topics/TOPIC_ID"

Ordner

Führen Sie den folgenden Befehl aus, um einen Feed für das Monitoring von VMs mit installiertem Windows-Betriebssystem zu erstellen:

gcloud asset feeds create FEED_ID \
    --folder=FOLDER_ID \
    --billing-project=BILLING_PROJECT_ID \
    --asset-types=compute.googleapis.com/Instance \
    --content-type=os-inventory \
    --pubsub-topic="projects/PROJECT_ID/topics/TOPIC_ID" \
    --condition-title="CONDITION_TITLE" \
    --condition-description="CONDITION_DESCRIPTION" \
    --condition-expression="temporal_asset.asset.os_inventory.os_info.short_name == \"windows\""

Geben Sie folgende Werte an:

  • FEED_ID: Eine eindeutige Asset-Feed-ID.

  • FOLDER_ID: Die ID des Ordners, dessen Metadaten an den Feed gesendet werden.

    Google Cloud-Ordner-ID ermitteln

    Console

    Führen Sie die folgenden Schritte aus, um eine Google Cloud-Ordner-ID zu ermitteln:

    1. Öffnen Sie die Google Cloud Console.

      Zur Google Cloud Console

    2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
    3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
    4. Suchen Sie nach dem Namen Ihres Ordners. Die Ordner-ID wird neben dem Ordnernamen angezeigt.

    gcloud-CLI

    Mit dem folgenden Befehl können Sie eine Google Cloud-Ordner-ID auf Organisationsebene abrufen:

    gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

    Dabei kann TOP_LEVEL_FOLDER_NAME eine vollständige oder teilweise Stringübereinstimmung sein. Entfernen Sie die Option --format, um weitere Informationen zu den gefundenen Ordnern zu sehen.

    Um die ID eines Ordners in einem anderen Ordner abzurufen, listen Sie die Unterordner auf:

    gcloud resource-manager folders list --folder=FOLDER_ID

  • BILLING_PROJECT_ID: Optional. Die Projekt-ID, in der sich der standardmäßige Cloud Asset Inventory-Dienst-Agent befindet und die Berechtigungen zum Verwalten Ihres Pub/Sub-Themas hat. Weitere Informationen zu Abrechnungsprojekten

  • TOPIC_ID: Die ID des Pub/Sub-Themas, in dem Benachrichtigungen veröffentlicht werden sollen.

  • CONDITION_TITLE: Optional. Der Titel der Bedingung, die auf den Feed angewendet werden soll.

  • CONDITION_DESCRIPTION: Optional. Die Beschreibung der Bedingung, die auf den Feed angewendet werden soll.

Führen Sie den folgenden Befehl aus, um einen Feed zum Überwachen der VM-Sicherheitslückendaten in einem Projekt zu erstellen:

gcloud asset feeds create FEED_ID \
    --folder=FOLDER_ID \
    --billing-project=BILLING_PROJECT_ID \
    --asset-types=osconfig.googleapis.com/VulnerabilityReport \
    --content-type=resource \
    --pubsub-topic="projects/PROJECT_ID/topics/TOPIC_ID"

Organisationen

Führen Sie den folgenden Befehl aus, um einen Feed für das Monitoring von VMs mit installiertem Windows-Betriebssystem zu erstellen:

gcloud asset feeds create FEED_ID \
    --organization=ORGANIZATION_ID \
    --billing-project=BILLING_PROJECT_ID \
    --asset-types=compute.googleapis.com/Instance \
    --content-type=os-inventory \
    --pubsub-topic="projects/PROJECT_ID/topics/TOPIC_ID" \
    --condition-title="CONDITION_TITLE" \
    --condition-description="CONDITION_DESCRIPTION" \
    --condition-expression="temporal_asset.asset.os_inventory.os_info.short_name == \"windows\""

Geben Sie folgende Werte an:

  • FEED_ID: Eine eindeutige Asset-Feed-ID.

  • ORGANIZATION_ID: Die ID der Organisation, deren Metadaten an den Feed gesendet werden.

    Google Cloud-Organisations-ID ermitteln

    Console

    Führen Sie die folgenden Schritte aus, um eine Google Cloud-Organisations-ID zu ermitteln:

    1. Öffnen Sie die Google Cloud Console.

      Zur Google Cloud Console

    2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
    3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
    4. Klicken Sie auf den Tab Alle. Die Organisations-ID wird neben dem Namen der Organisation angezeigt.

    gcloud-CLI

    Mit dem folgenden Befehl können Sie eine Google Cloud-Organisations-ID abrufen:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

  • BILLING_PROJECT_ID: Optional. Die Projekt-ID, in der sich der standardmäßige Cloud Asset Inventory-Dienst-Agent befindet und die Berechtigungen zum Verwalten Ihres Pub/Sub-Themas hat. Weitere Informationen zu Abrechnungsprojekten

  • TOPIC_ID: Die ID des Pub/Sub-Themas, in dem Benachrichtigungen veröffentlicht werden sollen.

  • CONDITION_TITLE: Optional. Der Titel der Bedingung, die auf den Feed angewendet werden soll.

  • CONDITION_DESCRIPTION: Optional. Die Beschreibung der Bedingung, die auf den Feed angewendet werden soll.

Führen Sie den folgenden Befehl aus, um einen Feed zum Überwachen der VM-Sicherheitslückendaten in einem Projekt zu erstellen:

gcloud asset feeds create FEED_ID \
    --organization=ORGANIZATION_ID \
    --billing-project=BILLING_PROJECT_ID \
    --asset-types=osconfig.googleapis.com/VulnerabilityReport \
    --content-type=resource \
    --pubsub-topic="projects/PROJECT_ID/topics/TOPIC_ID"

REST

Führen Sie den folgenden Befehl aus, um einen Feed für das Monitoring von VMs mit installiertem Windows-Betriebssystem zu erstellen:

curl -X POST \
     -H "X-Goog-User-Project: BILLING_PROJECT_ID" \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json" \
     -d '{
          "feedId": "FEED_ID",
          "feed": {
            "assetTypes": ["compute.googleapis.com/Instance"],
            "contentType": "OS_INVENTORY",
            "feedOutputConfig": {
              "pubsubDestination": {
                "topic": "projects/PROJECT_ID/topics/TOPIC_ID"
              }
            },
            "condition": {
              "title": "CONDITION_TITLE",
              "description": "CONDITION_DESCRIPTION",
              "expression": "temporal_asset.asset.os_inventory.os_info.short_name == \"windows\""
            }
          }
         }' \
     https://cloudasset.googleapis.com/v1/SCOPE/feeds

Geben Sie folgende Werte an:

  • BILLING_PROJECT_ID: Optional. Die Projekt-ID, in der sich der standardmäßige Cloud Asset Inventory-Dienst-Agent befindet und die Berechtigungen zum Verwalten Ihres Pub/Sub-Themas hat. Weitere Informationen zu Abrechnungsprojekten

  • FEED_ID: Eine eindeutige Asset-Feed-ID.

  • PROJECT_ID: Die ID des Projekts, in dem sich das Pub/Sub-Thema befindet.

  • TOPIC_ID: Die ID des Pub/Sub-Themas, in dem Benachrichtigungen veröffentlicht werden sollen.

  • CONDITION_TITLE: Optional. Der Titel der Bedingung, die auf den Feed angewendet werden soll.

  • CONDITION_DESCRIPTION: Optional. Die Beschreibung der condition, die auf den Feed angewendet werden soll.

  • SCOPE: Ein Bereich kann ein Projekt, ein Ordner oder eine Organisation sein.

    Zulässige Werte:

    • projects/PROJECT_ID

    • projects/PROJECT_NUMBER

      Google Cloud-Projektnummer ermitteln

      Console

      Führen Sie die folgenden Schritte aus, um eine Google Cloud-Projektnummer zu ermitteln:

      1. Rufen Sie in der Google Cloud Console die Seite Dashboard auf.

        Zu Google Dashboard

      2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
      3. Wählen Sie Ihre Organisation im Feld Auswählen aus aus und suchen Sie dann nach dem Namen Ihres Projekts.
      4. Klicken Sie auf den Projektnamen, um zu diesem Projekt zu wechseln. Die Projektnummer wird auf der Karte Projektinformationen angezeigt.

      gcloud-CLI

      Mit dem folgenden Befehl können Sie eine Google Cloud-Projektnummer abrufen:

      gcloud projects describe PROJECT_ID --format="value(projectNumber)"

    • folders/FOLDER_ID

      Google Cloud-Ordner-ID ermitteln

      Console

      Führen Sie die folgenden Schritte aus, um eine Google Cloud-Ordner-ID zu ermitteln:

      1. Öffnen Sie die Google Cloud Console.

        Zur Google Cloud Console

      2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
      3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
      4. Suchen Sie nach dem Namen Ihres Ordners. Die Ordner-ID wird neben dem Ordnernamen angezeigt.

      gcloud-CLI

      Mit dem folgenden Befehl können Sie eine Google Cloud-Ordner-ID auf Organisationsebene abrufen:

      gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

      Dabei kann TOP_LEVEL_FOLDER_NAME eine vollständige oder teilweise Stringübereinstimmung sein. Entfernen Sie die Option --format, um weitere Informationen zu den gefundenen Ordnern zu sehen.

      Um die ID eines Ordners in einem anderen Ordner abzurufen, listen Sie die Unterordner auf:

      gcloud resource-manager folders list --folder=FOLDER_ID

    • organizations/ORGANIZATION_ID

      Google Cloud-Organisations-ID ermitteln

      Console

      Führen Sie die folgenden Schritte aus, um eine Google Cloud-Organisations-ID zu ermitteln:

      1. Öffnen Sie die Google Cloud Console.

        Zur Google Cloud Console

      2. Klicken Sie in der Menüleiste auf das Wechsler-Feld.
      3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
      4. Klicken Sie auf den Tab Alle. Die Organisations-ID wird neben dem Namen der Organisation angezeigt.

      gcloud-CLI

      Mit dem folgenden Befehl können Sie eine Google Cloud-Organisations-ID abrufen:

      gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Führen Sie den folgenden Befehl aus, um einen Feed zum Überwachen der VM-Sicherheitslückendaten zu erstellen:

curl -X POST \
     -H "X-Goog-User-Project: BILLING_PROJECT_ID" \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json" \
     -d '{
          "feedId": "FEED_ID",
          "feed": {
            "assetTypes": ["osconfig.googleapis.com/VulnerabilityReport"],
            "contentType": "RESOURCE",
            "feedOutputConfig": {
              "pubsubDestination": {
                "topic": "projects/PROJECT_ID/topics/TOPIC_ID"
              }
            }
          }
         }' \
     https://cloudasset.googleapis.com/v1/SCOPE/feeds

Weitere Informationen finden Sie unter Assetänderungen überwachen.