OS Inventory Management


本页面概述了 OS Inventory Management。 如需了解如何设置和使用 OS Inventory Management,请参阅查看操作系统详细信息

您可以使用 OS Inventory Management 来收集和查看虚拟机实例的操作系统详细信息。这些操作系统详细信息包括主机名、操作系统和内核版本等信息。您还可以获得有关已安装的操作系统软件包、可用的操作系统软件包更新、Windows 应用和操作系统漏洞的信息。

OS Inventory Management 版本

OS Inventory Management 有两个版本:

下表比较了这两个选项

OS Inventory Management(早期版本) OS Inventory Management
必须设置虚拟机管理器。
OS Config 代理版本 不限 20201110 或更晚日期的版本1
必须在虚拟机或项目中启用客机特性
资源类型2 全球 可用区
漏洞报告
Cloud Asset Inventory 集成
Security Command Center 集成(预览版)
发布阶段 GA GA

1如需查看代理版本,请参阅查看 OS Config 代理版本

2如需了解资源类型,请参阅全球资源、区域资源和可用区资源

何时使用 OS Inventory Management

OS Inventory Management 可用来完成以下任务:

  • 识别运行特定操作系统版本的虚拟机。
  • 查看虚拟机上安装的操作系统软件包
  • 生成每个虚拟机可用的操作系统软件包更新列表
  • 识别虚拟机缺失的操作系统软件包、更新或补丁程序
  • 查看虚拟机的漏洞报告

OS Inventory Management 工作原理

启用 OS Inventory Management 后,OS Config 代理会运行清点扫描来收集数据,然后将此信息发送到元数据服务器、OS Config API 和各种日志流。系统会每 10 分钟对虚拟机运行一次清点扫描。

要启用 OS Inventory Management,必须在虚拟机上设置虚拟机管理器。请参阅设置虚拟机管理器

设置虚拟机管理器后,您可以查询客机特性或 OS Config API 来检索有关虚拟机上运行的操作系统的信息。请参阅查看操作系统详细信息

操作系统数据的收集方式

对于 Linux 虚拟机,OS Config 代理会在虚拟机上运行,并解析 /etc/os-release(或 Linux 发行版的等效文件)以收集操作系统详细信息。OS Config 代理还会使用软件包管理系统(例如 aptyumGooGet)收集有关实例的已安装软件包和可用更新的信息。

对于 Windows 虚拟机,OS Config 代理使用 Windows 系统 API 来收集操作系统详细信息。Windows 更新代理还可用于查找已安装的更新和可用的更新。

操作系统数据的存储位置

清点数据以客机特性的形式存储在 guestInventory 命名空间下或存储在 OS Config API 中。为了节省空间,已安装软件包和软件包更新的内容会先通过 gzip 进行压缩,然后再进行 base64 编码。

日志记录

在收集和存储数据期间,OS Config 代理会将活动日志写入 Compute Engine 上的各种日志流。其中包括:

  • 串行端口
  • 系统日志 - Windows 事件日志和 Linux 系统日志
  • 标准流 - stdout
  • Cloud Logging 日志 - 只有在虚拟机实例启用了 Cloud Logging 时,才能使用这些日志。

OS Inventory Management 提供的信息

OS Inventory Management 可以提供有关虚拟机实例上运行的操作系统的以下信息:

  • 主机名
  • 全称 - 详细的操作系统名称,例如 Microsoft Windows Server 2016 Datacenter
  • 简称 - 简写形式的操作系统名称,例如 Windows
  • 内核版本
  • 操作系统架构
  • 操作系统版本
  • OS Config 代理版本
  • 上次更新时间 - 代理上次成功扫描系统并使用操作系统清点数据更新客机特性时所对应的时间戳。

已安装的操作系统软件包和应用信息

下表总结了 OS Inventory Management 针对 Linux 和 Windows 虚拟机上已安装的操作系统软件包提供的信息。其中还概述了在 Windows 上运行的应用可用的信息。

操作系统 软件包管理器 可用字段
Linux 和 Windows Server 已安装软件包的信息可从以下软件包管理器中获得:
  • RPM for Red Hat Enterprise Linux (RHEL)
  • DEB for Debian and Ubuntu
  • GooGet for Windows Server
对于每个已安装软件包,系统会提供以下信息:
  • 该软件包的名称
  • 架构
  • 版本
Windows Server Windows 更新代理 对于 Windows 更新,系统会列出以下字段:
  • 标题
  • Description
  • Categories
  • CategoryIDs1
  • KBArticleIDs
  • SupportURL
  • UpdateID1
  • RevisionNumber1
  • LastDeploymentChangeTime
Windows Server Windows Quick Fix Engineering 更新 对于 QuickFixEngineering 更新,系统会列出以下字段:
  • 名称
  • Description
  • HotFixID
  • 安装时间
Windows Server 映像 Windows 安装程序 2 针对 Windows 安装程序,系统会列出以下字段:
  • DisplayName
  • DisplayVersion
  • 发布商
  • InstallDate
  • HelpLink

1默认情况下 gcloud compute instances os-inventory describe 命令行输出中会隐藏此字段。要查看此字段,您必须以 JSON 格式查看输出。要以 JSON 格式查看输出,请向 gcloud 命令附加 --format=JSON。如需了解输出格式的详情,请查看 gcloud topic formats

2如需查看您的 Windows 应用的安装程序属性,您需要 OS Config 代理版本 20210811 或更高版本。如需查看代理版本,请参阅查看 OS Config 代理版本

可用的操作系统软件包更新信息

下表汇总了 OS Inventory Management 为已安装的操作系统软件包提供的更新信息。

操作系统 软件包管理器 可用字段
Linux 和 Windows Server 软件包更新信息可从以下软件包管理器中获得:
  • Yum for Red Hat Enterprise Linux (RHEL)
  • Apt for Debian and Ubuntu
  • GooGet for Windows Server
对于每个可用的软件包更新,系统会提供以下信息:
  • 该软件包的名称
  • 架构
  • 版本
Windows Server Windows 更新代理 对于 Windows 更新,系统会列出以下字段:
  • 标题
  • Description
  • Categories
  • CategoryIDs1
  • KBArticleIDs
  • SupportURL
  • UpdateID1
  • RevisionNumber1
  • 上次部署更改时间

1默认情况下 gcloud compute instances os-inventory describe 命令行输出中会隐藏此字段。要查看此字段,您必须以 JSON 格式查看输出。要以 JSON 格式查看输出,请向 gcloud 命令附加 --format=JSON。如需了解输出格式的详情,请查看 gcloud topic formats

漏洞报告

软件漏洞可能会导致意外的系统故障或恶意活动。对于虚拟机而言,漏洞可能是操作系统软件包或软件应用的代码或操作逻辑中的问题。

与已安装的操作系统软件包关联的漏洞通常存储在漏洞源代码库中。如需详细了解这些漏洞来源,请参阅漏洞来源。您可以使用 OS Inventory Management 查看已安装操作系统软件包的问题的漏洞报告。

要获取虚拟机的漏洞数据,虚拟机上必须设置虚拟机管理器并且运行 20201110 或更晚日期的 OS Config 代理版本。请参阅设置虚拟机管理器

在 OS Config 代理设置完成并报告清点数据后,OS Config API 服务会根据可用的清点数据持续扫描并检查操作系统的漏洞来源。当在操作系统软件包中检测到漏洞时,服务会生成漏洞报告。这些报告的生成方式如下:

  • 对于已安装的操作系统软件包中的大多数漏洞,OS Config API 会在更改后的几分钟内生成漏洞报告。
  • 对于常见漏洞和威胁 (CVE),OS Config API 会在 CVE 发布到操作系统后的 3-4 小时内生成漏洞报告。

如需查看这些漏洞报告,请参阅查看漏洞报告

数据保留

操作系统清点和漏洞报告数据会一直存储,直到虚拟机被删除为止。但是,如果由于任何原因 OS Config 代理停止向 OS Config API 服务报告几天,则虚拟机管理器会删除在此之前收集的可用操作系统清点和漏洞报告数据。在 OS Config 代理再次运行之前,该虚拟机没有可用的数据。

价格

如需了解价格,请参阅 VM 管理器价格

后续步骤