Diese Seite bietet einen Überblick über OS Inventory Management. Informationen zum Einrichten und Anwenden von OS Inventory Management finden Sie unter Details zu Betriebssystemen ansehen.
Verwenden Sie OS Inventory Management, um Betriebssystemdetails für Ihre VM-Instanzen zu erfassen und aufzurufen. Zu diesen Details des Betriebssystems gehören Informationen wie Hostname, Betriebssystem und Kernel-Version. Sie können auch Informationen zu installierten Betriebssystempaketen, verfügbaren Betriebssystempaketupdates, Windows-Anwendungen und Betriebssystemsicherheitslücken abrufen.
OS Inventory Management-Versionen
Es stehen zwei Versionen von OS Inventory Management zur Verfügung:
- OS Inventory Management: die Berichtsdaten zu Inventar und Sicherheitslücken aus der OS Config API liest. Informationen zur Verwendung dieser Version finden Sie unter Betriebssystemdetails ansehen.
- OS Inventory Management (ältere Version): liest die Inventardaten aus Gastattributen Informationen zur Verwendung dieser Version finden Sie unter OS Inventory Management (ältere Version).
In der folgenden Tabelle werden die beiden Optionen verglichen:
| OS Inventory Management (ältere Version) | OS Inventory Management | |
|---|---|---|
| VM Manager muss eingerichtet sein | ||
| Version des OS Config-Agents | Alle | Version vom 20201110 oder später1 |
| Gastattribut muss auf VM oder im Projekt aktiviert sein | ||
| Ressourcentyp2 | Global | Zonal |
| Berichte zu Sicherheitslücken | ||
| Integration von Cloud Asset Inventory | ||
| Integration von Security Command Center (Vorschau) | ||
| Startphase | AV | AV |
1Informationen zum Aufrufen der Agent-Version finden Sie unter Version des OS Config-Agents aufrufen.
2Informationen zu Ressourcentypen erhalten Sie unter Globale, regionale und zonale Ressourcen.
Wann sollte OS Inventory Management verwendet werden?
Mit OS Inventory Management können Sie folgende Aufgaben ausführen:
- VMs ermitteln, auf denen eine bestimmte Version eines Betriebssystems ausgeführt wird
- Betriebssystempakete aufrufen, die auf einer VM installiert sind
- Liste der Updates für Betriebssystempakete erstellen, die für jede VM verfügbar sind
- Fehlende Betriebssystempakete, Updates oder Patches für eine VM ermitteln
- Berichte zu Sicherheitslücken für eine VM aufrufen
Funktionsweise von OS Inventory Management
Wenn OS Inventory Management aktiviert ist, scannt der OS Config-Agent das Inventar, um Daten zu erfassen. Anschließend sendet er diese Informationen an den Metadatenserver, an die OS Config API und an verschiedene Logstreams. Dieser Scan wird alle zehn Minuten auf der VM-Instanz ausgeführt.
Damit OS Inventory Management aktiviert werden kann, muss VM Manager auf der VM eingerichtet sein. Weitere Informationen finden Sie unter VM-Manager einrichten.
Nachdem Sie VM Manager eingerichtet haben, können Sie entweder die Gastattribute oder die OS Config API abfragen, um Informationen zum Betriebssystem abzurufen, das auf einer VM ausgeführt wird. Weitere Informationen finden Sie unter Betriebssystemdetails ansehen.
Wie Betriebssystemdaten erfasst werden
Bei Linux-VMs wird der OS Config-Agent auf der VM ausgeführt. Er parst die Datei /etc/os-release oder die entsprechende Datei für die jeweilige Linux-Distribution, um Betriebssystemdetails zu erfassen. Der OS Config-Agent nutzt auch Paketmanager wie apt, yum oder GooGet, um Informationen zu installierten Paketen und zu verfügbaren Updates für die Instanz zu erfassen.
Bei Windows-VMs verwendet der OS Config-Agent die Windows-System-APIs, um die Betriebssystemdetails zu erfassen. Der Windows Update-Agent wird auch verwendet, um die installierten und verfügbaren Updates zu finden.
Speicherort der Betriebssystemdaten
Inventardaten werden entweder als Gastattribute unter dem Namespace guestInventory oder in der OS Config API gespeichert. Die Inhalte der installierten Pakete und Paketupdates werden mit gzip komprimiert und anschließend base64-codiert, um Speicherplatz zu sparen.
Logging
Während der OS Config-Agent Daten erfasst und speichert, schreibt er Aktivitätslogs in die verschiedenen Logstreams in Compute Engine. Dazu gehören:
- Der serielle Port
- Systemlogs – Windows-Ereignislog und Linux-Syslog
- Standardstreams – stdout
- Cloud Logging-Logs – Diese Logs sind nur verfügbar, wenn Cloud Logging auf der VM-Instanz aktiviert ist.
Von OS Inventory Management bereitgestellte Informationen
OS Inventory Management kann die folgenden Informationen zu dem Betriebssystem bereitstellen, das auf der VM-Instanz ausgeführt wird:
- Hostname
- LongName – der genaue Name des Betriebssystems, Beispiel:
Microsoft Windows Server 2016 Datacenter - ShortName – die Kurzform des Betriebssystemnamens, z. B.
Windows - Kernel-Version
- Betriebssystemarchitektur
- Betriebssystemversion
- Version des OS Config-Agent
- Letzte Aktualisierung – Ein Zeitstempel, der angibt, wann der Agent das System das letzte Mal erfolgreich gescannt und die Gastattribute mit Betriebssystem-Bestandsdaten aktualisiert hat
Installiertes Betriebssystempaket- und Anwendungsinformationen
In der folgenden Tabelle sind die Informationen zusammengefasst, die OS Inventory Management für installierte Betriebssystempakete auf Linux- und Windows-VMs bereitstellt. Außerdem werden Informationen beschrieben, die für Anwendungen zur Verfügung stehen, die unter Windows ausgeführt werden.
| Betriebssystem | Paketmanager | Verfügbare Felder |
|---|---|---|
| Linux und Windows Server | Informationen zu installierten Paketen werden von den folgenden Paketmanagern zur Verfügung gestellt:
|
Für jedes installierte Paket werden die folgenden Informationen bereitgestellt:
|
| Windows Server | Windows Update-Agent | Die folgenden Felder werden für die Windows-Updates aufgeführt:
|
| Windows Server | Windows Quick Fix Engineering-Updates | Die folgenden Felder werden für die QuickFixEngineering-Updates aufgeführt:
|
| Windows Server | Windows-Installationsprogramm 2 | Die folgenden Felder werden für das Windows-Installationsprogramm aufgeführt:
|
1Dieses Feld wird in der standardmäßigen Befehlszeilenausgabe von gcloud compute instances os-inventory describe nicht angezeigt.
Damit Sie dieses Feld sehen, müssen Sie die Ausgabe im JSON-Format ansehen. Dafür fügen Sie --format=JSON an den gcloud-Befehl an. Weitere Informationen zur Ausgabeformatierung finden Sie in den gcloud topic formats.
2Zum Aufrufen der Installationsoptionen für Ihre Windows-Anwendungen benötigen Sie die OS Config-Agent-Version 20210811 oder höher. Informationen zum Aufrufen der Agent-Version finden Sie unter Version des OS Config-Agents aufrufen.
Verfügbare Updateinformationen zu Betriebssystempaketen
In der folgenden Tabelle sind die Updateinformationen aufgeführt, die von OS Inventory Management für installierte Betriebssystempakete bereitgestellt werden.
| Betriebssystem | Paketmanager | Verfügbare Felder |
|---|---|---|
| Linux und Windows Server | Informationen zu Paketupdates werden von den folgenden Paketmanagern zur Verfügung gestellt:
|
Für jedes verfügbare Paketupdate werden die folgenden Informationen bereitgestellt:
|
| Windows Server | Windows Update-Agent | Die folgenden Felder werden für die Windows-Updates aufgeführt:
|
1Dieses Feld wird in der standardmäßigen Befehlszeilenausgabe von gcloud compute instances os-inventory describe nicht angezeigt.
Damit Sie dieses Feld sehen, müssen Sie die Ausgabe im JSON-Format ansehen. Dafür fügen Sie --format=JSON an den gcloud-Befehl an. Weitere Informationen zur Ausgabeformatierung finden Sie in den gcloud topic formats.
Berichte zu Sicherheitslücken
Sicherheitslücken in Software sind Schwachstellen, die entweder zu einem Systemausfall oder zu böswilligen Aktivitäten führen können. Bei VMs kann eine Sicherheitslücke ein Problem im Code oder in der Logik der Ausführung von Betriebssystempaketen oder Softwareanwendungen sein.
Sicherheitslücken, die mit installierten Betriebssystempaketen verbunden sind, werden normalerweise in einem Quell-Repository für Sicherheitslücken gespeichert. Weitere Informationen finden Sie unter Sicherheitslückenquellen. Mithilfe von OS Inventory Management können Sie Berichte zu Sicherheitslücken für Probleme mit installierten Betriebssystempaketen aufrufen.
Zum Abrufen von Daten zu Sicherheitslücken für eine VM muss VM Manager eingerichtet sein und die OS Config-Agent-Version von 20201110 oder später muss auf der VM ausgeführt werden. Weitere Informationen finden Sie unter VM-Manager einrichten.
Nachdem der OS Config-Agent eingerichtet wurde und das Inventar erfasst wird, scannt und prüft der OS Config API-Dienst die Sicherheitslückenquelle des Betriebssystems kontinuierlich auf die verfügbaren Inventardaten. Wenn in den Betriebssystempaketen eine Sicherheitslücke ermittelt wird, erstellt der Dienst einen Sicherheitslückenbericht. Ein solcher Bericht wird folgendermaßen erstellt:
- Für die meisten Sicherheitslücken im installierten Betriebssystempaket generiert die OS Config API innerhalb weniger Minuten nach der Änderung einen Bericht zu Sicherheitslücken.
- Für Common Vulnerabilities and Exposures (CVEs) generiert die OS Config API den Sicherheitslückenbericht innerhalb von drei bis vier Stunden, nachdem die CVE-Datei im Betriebssystem veröffentlicht wurde.
Weitere Informationen finden Sie unter Berichte zu Sicherheitslücken aufrufen.
Datenaufbewahrung
OS Inventory- und Sicherheitslückenberichtsdaten werden gespeichert, bis die VM gelöscht wird. Wenn der OS Config-Agent jedoch aus irgendeinem Grund einige Tage lang keine Berichte mehr an den OS Config API-Dienst sendet, löscht VM Manager das verfügbare Betriebssystem-Inventar und die Sicherheitslückenberichtsdaten, die bis zu diesem Zeitpunkt erfasst wurden. Für diese VM sind keine Daten mehr verfügbar, bis der OS Config-Agent wieder ausgeführt wird.
Preise
Informationen zu Preisen finden Sie unter Preise für VM Manager.