OS Inventory Management

Questa pagina fornisce una panoramica di OS Inventory Management. Per informazioni sulla configurazione e sull'utilizzo di OS Inventory Management, consulta Visualizzare i dettagli del sistema operativo.

Utilizza la gestione dell'inventario del sistema operativo per raccogliere e visualizzare i dettagli del sistema operativo per le tue istanze di macchine virtuali (VM). Questi dettagli del sistema operativo includono informazioni come nome host, sistema operativo e versione del kernel. Puoi anche ottenere informazioni su pacchetti del sistema operativo installati, aggiornamenti dei pacchetti del sistema operativo disponibili, applicazioni Windows e vulnerabilità del sistema operativo.

Quando utilizzare OS Inventory Management

OS Inventory Management può essere utilizzato per completare le seguenti attività:

  • Identificare le VM che eseguono una versione specifica di un sistema operativo
  • Visualizza i pacchetti di sistemi operativi installati su una VM
  • Generare un elenco di aggiornamenti dei pacchetti del sistema operativo disponibili per ogni VM
  • Identifica pacchetti di sistemi operativi, aggiornamenti o patch mancanti per una VM
  • Visualizza i report sulle vulnerabilità per una VM

Come funziona OS Inventory Management

Quando la gestione dell'inventario del sistema operativo è abilitata, l'agente OS Config esegue una scansione dell'inventario per raccogliere i dati, quindi invia queste informazioni al server di metadati, all'API OS Config e a vari flussi di log. Questa scansione viene eseguita ogni 10 minuti sulla VM.

Per abilitare la gestione dell'inventario del sistema operativo, VM Manager deve essere configurato sulla VM. Consulta la sezione Configurazione di VM Manager.

Dopo aver configurato VM Manager, puoi eseguire una query sugli attributi guest o sull'API OS Config per recuperare le informazioni sul sistema operativo in esecuzione su una VM. Vedi Visualizzare i dettagli del sistema operativo.

Come vengono raccolti i dati del sistema operativo

Per le VM Linux, l'agente OS Config viene eseguito sulla VM e analizza /etc/os-release o il file equivalente per la distribuzione Linux per raccogliere i dettagli del sistema operativo. L'agente OS Config utilizza anche gestori di pacchetti come apt, yum o GooGet per raccogliere informazioni sui pacchetti installati e sugli aggiornamenti disponibili per l'istanza.

Per le VM Windows, l'agente OS Config utilizza le API di sistema Windows per raccogliere i dettagli delle informazioni sul sistema operativo. L'agente Windows Update viene utilizzato anche per trovare gli aggiornamenti installati e disponibili.

Dove vengono archiviati i dati del sistema operativo

I dati di inventario vengono archiviati nell'API OS Config. I contenuti dei pacchetti installati e degli aggiornamenti dei pacchetti vengono compressi utilizzando gzip e poi codificati in base64 per risparmiare spazio.

Logging

Durante la raccolta e l'archiviazione dei dati, l'agente OS Config scrive i log delle attività nei vari flussi di log su Compute Engine. Questi includono:

  • La porta seriale
  • Log di sistema - Log eventi di Windows e syslog Linux
  • Stream standard - stdout
  • Log di Cloud Logging: questi log sono disponibili solo se Cloud Logging è abilitato nell'istanza VM.

Informazioni fornite da OS Inventory Management

OS Inventory Management può fornire le seguenti informazioni sul sistema operativo in esecuzione sull'istanza VM:

  • Nome host
  • LongName: il nome dettagliato del sistema operativo. Ad esempio, Microsoft Windows Server 2016 Datacenter.
  • ShortName: il formato breve del nome del sistema operativo. Ad esempio, Windows.
  • Versione kernel
  • Architettura del sistema operativo
  • Versione sistema operativo
  • Versione agente OS Config
  • Ultimo aggiornamento: un timestamp dell'ultima volta in cui l'agente ha eseguito correttamente la scansione del sistema e ha aggiornato gli attributi guest con i dati di OS Inventory.

Informazioni sul pacchetto del sistema operativo installato e sulle applicazioni

La seguente tabella riassume le informazioni fornite dalla gestione dell'inventario del sistema operativo per i pacchetti del sistema operativo installati sulle VM Linux e Windows. Sono inoltre indicate le informazioni disponibili per le applicazioni in esecuzione su Windows.

Sistema operativo Gestione pacchetti Campi disponibili
Linux e Windows Server Le informazioni sui pacchetti installati sono disponibili nei seguenti gestori di pacchetti:
  • RPM per Red Hat Enterprise Linux (RHEL)
  • DEB per Debian e Ubuntu
  • GooGet per Windows Server
 Per ogni pacchetto installato vengono fornite le seguenti informazioni:
  • Nome del pacchetto
  • Architettura
  • Versione
Windows Server Agente Windows Update I seguenti campi sono elencati per gli aggiornamenti di Windows:
  • Titolo
  • Descrizione
  • Categorie
  • ID categoria1
  • ID articolo KB
  • SupportURL
  • IDAggiornamento1
  • Numero revisione1
  • LastDeploymentChangeTime
Windows Server Aggiornamenti tecnici di Windows Quick Correggi I seguenti campi sono elencati per gli aggiornamenti QuickFixEngineering
  • Didascalia
  • Descrizione
  • HotFixID
  • InstalledOn
Windows Server Windows Installer 2 I seguenti campi sono elencati per Windows Installer:
  • DisplayName
  • DisplayVersion
  • Publisher
  • InstallDate
  • HelpLink

1 Questo campo è nascosto nell'output della riga di comando predefinito gcloud compute instances os-inventory describe. Per visualizzare questo campo, devi vedere l'output in formato JSON. Per visualizzare l'output in formato JSON, aggiungi --format=JSON al comando gcloud. Per scoprire di più sulla formattazione dell'output, consulta gcloud topic formats.

2Per visualizzare le proprietà del programma di installazione per le applicazioni Windows, devi disporre dell'agente OS Config 20210811 o versione successiva. Per visualizzare la versione dell'agente, consulta Visualizzare la versione dell'agente OS Config.

Informazioni sull'aggiornamento dei pacchetti del sistema operativo disponibili

La seguente tabella riassume le informazioni di aggiornamento fornite da OS Inventory Management per i pacchetti di sistemi operativi installati.

Sistema operativo Gestione pacchetti Campi disponibili
Linux e Windows Server Le informazioni sull'aggiornamento del pacchetto sono disponibili nei seguenti gestori di pacchetti:
  • Yum per Red Hat Enterprise Linux (RHEL)
  • Apt per Debian e Ubuntu
  • GooGet per Windows Server
 Per ogni aggiornamento disponibile del pacchetto vengono fornite le seguenti informazioni:
  • Nome del pacchetto
  • Architettura
  • Versione
Windows Server Agente Windows Update I seguenti campi sono elencati per gli aggiornamenti di Windows:
  • Titolo
  • Descrizione
  • Categorie
  • ID categoria1
  • ID articolo KB
  • SupportURL
  • IDAggiornamento1
  • Numero revisione1
  • LastDeploymentChangeTime

1 Questo campo è nascosto nell'output della riga di comando predefinito gcloud compute instances os-inventory describe. Per visualizzare questo campo, devi vedere l'output in formato JSON. Per visualizzare l'output in formato JSON, aggiungi --format=JSON al comando gcloud. Per scoprire di più sulla formattazione dell'output, consulta gcloud topic formats.

Report sulle vulnerabilità

Le vulnerabilità del software sono punti deboli che possono causare un errore accidentale del sistema o generare attività dannose. Per le VM, una vulnerabilità può riguardare un problema nel codice o nella logica di funzionamento dei pacchetti del sistema operativo o delle applicazioni software.

Le vulnerabilità associate ai pacchetti del sistema operativo installati vengono generalmente archiviate in un repository di codice sorgente di vulnerabilità. Per ulteriori informazioni su queste origini di vulnerabilità, consulta Origini di vulnerabilità. Puoi utilizzare OS Inventory Management per visualizzare i report sulle vulnerabilità per i problemi relativi ai pacchetti di sistemi operativi installati.

Per ottenere dati sulle vulnerabilità di una VM, è necessario configurare VM Manager e sulla VM deve essere in esecuzione la versione dell'agente OS Config data 20201110 o successiva. Consulta la pagina Configurazione di VM Manager.

Dopo aver configurato l'agente OS Config e aver segnalato l'inventario, il servizio API OS Config analizza e verifica continuamente l'origine delle vulnerabilità del sistema operativo rispetto ai dati di inventario disponibili. Quando viene rilevata una vulnerabilità nei pacchetti del sistema operativo, il servizio genera un report sulle vulnerabilità. Questi report vengono generati come segue:

  • Per la maggior parte delle vulnerabilità presenti nel pacchetto del sistema operativo installato, l'API OS Config genera un report sulle vulnerabilità entro pochi minuti dalla modifica.
  • Per le Vulnerabilità ed esposizioni comuni (CVE), l'API OS Config genera il report sulle vulnerabilità entro 3-4 ore dalla pubblicazione della CVE nel sistema operativo.

Per visualizzare questi report sulle vulnerabilità, consulta Visualizzare i report sulle vulnerabilità.

Come vengono generati i report sulle vulnerabilità

VM Manager completa periodicamente le attività seguenti:

  1. Legge i report raccolti dai dati di inventario del sistema operativo su una VM.
  2. Scansiona i dati di classificazione dall'origine delle vulnerabilità per ciascun sistema operativo e ordina questi dati in base alla gravità (dal più alto al più basso), almeno una volta al giorno.
  3. Visualizza i dati CVE per una VM nella console Google Cloud. Puoi anche visualizzare i report sulle vulnerabilità utilizzando Security Command Center o Cloud Asset Inventory.

Origini delle vulnerabilità

La seguente tabella riassume l'origine delle vulnerabilità utilizzata per ogni sistema operativo. Per un elenco completo dei sistemi operativi supportati e delle relative versioni, consulta Dettagli del sistema operativo.

Sistema operativo Pacchetto di origine vulnerabilità
RHEL e CentOS https://access.redhat.com/security/data
Debian https://security-tracker.debian.org/tracker
Ubuntu https://launchpad.net/ubuntu-cve-tracker
SLES https://ftp.suse.com/pub/projects/security/oval/
Rocky Linux N/D

I report sulle vulnerabilità non sono supportati su Rocky Linux.
Windows Dati sulle vulnerabilità pubblicati dal Microsoft Security Response Center.

Conservazione dei dati

I dati dei report sull'inventario e sulle vulnerabilità del sistema operativo vengono archiviati finché la VM non viene eliminata. Tuttavia, se per qualche giorno l'agente OS Config smette di inviare report al servizio API OS Config per alcuni giorni, VM Manager elimina i dati del report sulle vulnerabilità e dell'inventario del sistema operativo disponibili raccolti fino a quel momento. Non saranno disponibili dati per quella VM fino a quando l'agente OS Config non viene nuovamente eseguito.

Prezzi

Per informazioni sui prezzi, consulta la pagina relativa ai prezzi di VM Manager.

Passaggi successivi