Berichte zu Betriebssystemrichtlinien ansehen

Nachdem VM Manager eine Betriebssystemrichtlinienzuweisung auf eine VM-Instanz angewendet hat, wird ein Bericht zur Betriebssystemrichtlinienzuweisung generiert. Der Bericht enthält den Compliancestatus aller Betriebssystemrichtlinien, die für eine bestimmte Betriebssystemrichtlinien-Zuweisung auf eine bestimmte VM angewendet werden.

In diesem Dokument werden die folgenden Aufgaben beschrieben:

Bericht zur Richtliniencompliance für Betriebssysteme für alle VMs in einer Organisation oder einem Ordner ansehen (Vorschau).
Anzeige der Berichte zur Betriebssystemrichtlinienzuweisung für alle VMs in einer bestimmten Zone. Dies ist hilfreich, um eine Übersicht über den Compliancestatus in einer bestimmten Zone bereitzustellen. Siehe Berichte zur Betriebssystemrichtlinienzuweisung aufrufen.
Prüfen Sie die Zuweisung von Betriebssystemrichtlinien für eine bestimmte VM. Dies ist nützlich, wenn Sie den Compliancestatus einer bestimmten VM prüfen möchten. Siehe Bericht zu Zuweisung von Betriebssystemrichtlinien prüfen.

Hinweise

Prüfen Sie die OS Config-Kontingente.
Richten Sie die Authentifizierung ein, falls Sie dies noch nicht getan haben. Bei der Authentifizierung wird Ihre Identität für den Zugriff auf Google Cloud-Dienste und APIs überprüft. Zur Ausführung von Code oder Beispielen aus einer lokalen Entwicklungsumgebung können Sie sich so bei Compute Engine authentifizieren.

Select the tab for how you plan to use the samples on this page:
Console

When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
1. Install the Google Cloud CLI, then initialize it by running the following command:
  gcloud init
  Note: If you installed the gcloud CLI previously, make sure you have the latest version by running gcloud components update.
2. Set a default region and zone.

Erforderliche Rollen und Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Aufrufen von Compliancedaten der Betriebssystemrichtlinien benötigen:

Zusammenfassung der Betriebssystemrichtlinien für VMs in einer Organisation oder einem Ordner ansehen (Vorschau):
- OSPolicyAssignmentReport-Betrachter (roles/osconfig.osPolicyAssignmentReportViewer) für die Organisation oder den Ordner
- OSPolicyAssignment-Betrachter (roles/osconfig.osPolicyAssignmentViewer) für die Organisation oder den Ordner
Berichte zur Betriebssystemrichtlinienzuweisung für VMs in einem Projekt aufrufen: OSPolicyAssignmentReport-Betrachter (roles/osconfig.osPolicyAssignmentReportViewer) für das Projekt

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Aufrufen von Compliancedaten für die Betriebssystemrichtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um Daten zur Compliance von Betriebssystemrichtlinien aufzurufen:

Zusammenfassung der Betriebssystemrichtlinien für VMs in einer Organisation oder einem Ordner ansehen (Vorschau):
- osconfig.osPolicyAssignmentReports.searchSummaries
- osconfig.osPolicyAssignments.searchPolicies
- resourcemanager.projects.get
- resourcemanager.projects.list

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Zusammenfassung der Betriebssystemrichtlinien für alle VMs in einer Organisation oder einem Ordner ansehen

Mit der Google Cloud Console können Sie die Zusammenfassung der Betriebssystemrichtlinien für alle VMs in einer Organisation oder einem Ordner aufrufen.

VM Manager zeigt die Zusammenfassung der Betriebssystemrichtlinie nur für Projekte an, die eine der folgenden Anforderungen erfüllen:

Enthält eine oder mehrere VMs, auf denen VM Manager aktiviert ist und ausgeführt wird.
Enthält eine oder mehrere VMs, auf denen VM Manager in den letzten 7 Tagen ausgeführt wurde und Daten zur Compliance der Betriebssystemrichtlinie verfügbar sind.

So rufen Sie Compliance-Daten für Betriebssystemrichtlinien auf:

Rufen Sie in der Google Cloud Console die Seite Compute Engine > VM Manager > Betriebssystemrichtlinien auf.

Zu den Betriebssystemrichtlinien
Wählen Sie in der Drop-down-Liste für Projekte oben in der Google Cloud Console die Organisation oder den Ordner aus, für den bzw. den Sie die Zusammenfassung der Betriebssystemrichtlinie aufrufen möchten.
Verwenden Sie die folgenden Optionen, um die Compliancedaten für die Betriebssystemrichtlinien aufzurufen:
1. Klicken Sie auf den Tab Projekte, um eine Zusammenfassung der projektspezifischen Compliance mit Betriebssystemrichtlinien aufzurufen.
2. Klicken Sie auf den Tab Betriebssystemrichtlinien, um eine Zusammenfassung der richtlinienspezifischen Betriebssystemrichtlinien aufzurufen.
Optional: Geben Sie mit Query Builder die Kriterien für die Berechnung der Zusammenfassung der Compliance der Betriebssystemrichtlinie an.
Zusammenfassung der Zusammenfassung der Compliance der Betriebssystemrichtlinie für VMs prüfen. Die Tabelle auf dem Tab Projekte enthält eine Zeile für jedes Projekt, wie in der folgenden Abbildung dargestellt:

Die Tabelle enthält die folgenden Informationen, die die in der Query Builder angegebenen Kriterien erfüllen:
- Projekt: Der Name der Projekte in der Organisation, die mindestens eine VM enthalten und für die VM Manager aktiviert ist.
- Gesamtzahl der VMs: Gesamtzahl der VMs in jedem Projekt.
- Überwachte VMs: Anzahl der VMs im Projekt, für die der VM Manager-Agent aktiviert ist und die auf Richtliniencompliance gescannt werden.
- VMs mit Richtlinie: Anzahl der VMs mit mindestens einer Richtlinie.
- Konform: Die Anzahl der VMs mit allen zugewiesenen Richtlinien, die als COMPLIANT gemeldet werden.
- Nicht konform: Anzahl der VMs mit mindestens einer zugewiesenen Richtlinie, die als NON-COMPLIANT gemeldet wird.
- Unbekannt: Anzahl der VMs mit mindestens einer zugewiesenen Richtlinie, die als UNKNOWN gemeldet wird, und ohne Richtlinie, die als NON-COMPLIANT gemeldet wird. Der Status UNKNOWN hat einen der folgenden Gründe:
  - Die VM wird nicht ausgeführt.
  - Der VM Manager-Agent ist für die VM nicht aktiviert.
  - Beim Prozess ist ein Fehler aufgetreten.
- Kein Bericht: Anzahl der VMs mit zugewiesenen Richtlinien, aber aus einem der folgenden Gründe wurde kein Bericht zur Richtliniencompliance gefunden:
  - Der VM Manager-Agent ist für die VM nicht aktiviert.
  - Compliancescan läuft. Der Bericht ist noch nicht fertig.
Optional: Wenden Sie Tabellenfilter an, wenn Sie bestimmte Zeilen in der Übersichtstabelle der Compliance der Betriebssystemrichtlinie ansehen möchten.

Wenn Sie beispielsweise die Zusammenfassung der Compliance der Betriebssystemrichtlinie für Projekte mit mehr als zehn VMs aufrufen möchten, setzen Sie die Filteroption Gesamt-VMs auf >= 10.
Optional: Klicken Sie auf die Anzahl der VMs, um weitere Details zu den VMs in einem bestimmten Status aufzurufen. Wenn Sie beispielsweise in der Spalte Unbekannt auf die Anzahl der VMs für ein bestimmtes Projekt klicken, wird der Tab VM-Instanzen mit einer Liste unbekannter Betriebssystemrichtlinien für jede VM in diesem Projekt geöffnet.

Weitere Informationen finden Sie unter Berichte zu Zuweisungen der Betriebssystemrichtlinien ansehen.

Mit Query Builder die Daten der Compliance der Betriebssystemrichtlinie filtern

Basierend auf den Kriterien, die Sie im Query Builder angegeben haben, zeigt VM Manager die Daten der Compliance der Betriebssystemrichtlinie für VMs in den Projekten in Ihrer Organisation oder Ihrem Ordner an. Sie können dann die Tabellenfilter in der Compliance-Tabelle der Betriebssystemrichtlinie verwenden, um die angezeigten Daten zu filtern.

Wenn Sie beispielsweise im Query Builder das Attribut OS als Debian festlegen, zeigt VM Manager Daten zur Compliance der Betriebssystemrichtlinie für VMs mit Debian-Betriebssystem an. Wenn Sie die Compliancedaten für ein bestimmtes Projekt aufrufen möchten, verwenden Sie den Tabellenfilter, um die Projekt-ID anzugeben.

Query Builder mit einem einzelnen Attribut.

So legen Sie eine Abfrage im Query Builder auf dem Tab Projekte fest:

Attribut auswählen Der Query Builder unterstützt die folgenden Attribute:
- Betriebssystem: Geben Sie die Kurznamen der Betriebssysteme an, z. B. Windows oder Debian.
- Betriebssystemversion: Geben Sie die Version des Betriebssystems an. Beispiel: 21.04 oder 10.0.22000. Sie können am Ende des Versionsstrings des Betriebssystems ein einzelnes Sternchen (*) angeben, um einen teilweisen Abgleich zu kennzeichnen, z. B. 10*.
- VM-Ausführung: Geben Sie an, ob Sie die Patchzusammenfassung für VMs im Status RUNNING aufrufen möchten.
- Richtlinien-Fingerabdruck: Geben Sie den eindeutigen Richtlinien-Fingerabdruck für die Betriebssystemrichtlinie an. Wenn Sie dieses Attribut festlegen, berechnet VM Manager die Compliancezusammenfassung nur für diese Betriebssystemrichtlinien mit dem angegebenen Fingerabdruck.
- Compliancestatus: Geben Sie einen der Compliancestatus für die Richtlinie an:
  - COMPLIANT: VMs mit allen zugewiesenen Richtlinien, die als COMPLIANT gemeldet werden
  - NON-COMPLIANT: VMs mit mindestens einer zugewiesenen Richtlinie, die als NON-COMPLIANT gemeldet wird
  - UNKNOWN: VMs mit mindestens einer zugewiesenen Richtlinie, die als UNKNOWN gemeldet wird
Wählen Sie eines der Attribute aus und geben Sie einen Wert für das Attribut an. Wenn Sie beispielsweise die Patchübersicht für VMs mit einem bestimmten Betriebssystem aufrufen möchten, wählen Sie Betriebssystem aus. Anschließend erhalten Sie eine Liste mit Vergleichsoperatoren zur Auswahl.
1. Wählen Sie einen Operator aus, z. B. ==.
2. Geben Sie im Feld Wert den Vergleichswert ein. Beispiel: Debian.
Wenn Sie ein weiteres Attribut hinzufügen möchten, klicken Sie auf Bedingung hinzufügen.
Klicken Sie auf Suchen.

Berichte zu Zuweisungen von Betriebssystemrichtlinien ansehen

Zum Aufrufen der Berichte zur Betriebssystemrichtlinienzuweisung können Sie entweder die Google Cloud Console, die Google Cloud CLI oder REST verwenden.

Mit diesem Verfahren können Sie eine Liste der Berichte für Betriebssystemrichtlinienzuweisungen für einen bestimmten Standort anzeigen.

Console

Fügen Sie den Cloud Asset Inventory-Dienst der Liste der zulässigen Dienste hinzu, wenn Sie Ihre Dienste mit VPC Service Controls schützen. Weitere Informationen finden Sie unter Über VPC zugängliche Dienste.
Rufen Sie in der Google Cloud Console die Seite Betriebssystemrichtlinien > VM-Instanzen auf.

Zur Seite „VM-Instanzen“

gcloud

Mit dem Befehl os-config os-policy-assignment-reports list können Sie eine Liste der Berichte für Betriebssystemrichtlinienzuweisungen aufrufen.

Führen Sie den folgenden Befehl aus, um alle Berichte zur Betriebssystemrichtlinie für einen bestimmten Standort aufzurufen. Ersetzen Sie ZONE durch die Zone, in der sich die VMs befinden.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE

Beispielbefehl und -ausgabe (alle VMs)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a

INSTANCE                   ASSIGNMENT_ID                   LOCATION       UPDATE_TIME                  SUMMARY
centos7                    my-test-assignment1             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
centos7                    my-test-assignment2             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                     my-test-assignment1             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
rhel-8                     my-test-assignment2             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos                  my-test-assignment1             us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos                  my-test-assignment2             us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant
deb-10                     my-test-assignment2             us-central1-a  2021-11-02T19:00:11.777748Z  0/1 policies compliant
windows                    my-test-assignment2             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
windows                    my-test-assignment3             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
sles15                     my-test-assignment2             us-central1-a  2021-11-02T18:38:07.335276Z  0/1 policies compliant

Sie können auch optionale Flags wie --instance oder --assignment-id verwenden, um die Ergebnisse zu filtern.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE \
    [--instance=VM_NAME | --assignment-id=ASSIGNMENT_ID]

Dabei gilt:

ZONE: die Zone, in der sich die VM befindet
Optional: Geben Sie eine der folgenden Optionen an:
- VM_NAME: der Name oder die ID der VM, für die Sie Berichte zur Betriebssystemrichtlinienzuweisung ansehen möchten
- ASSIGNMENT_ID: die ID der Zuweisung von Betriebssystemrichtlinien, für die Sie den Bericht zur Betriebssystemrichtlinienzuweisung ansehen möchten

Beispielbefehl und -ausgabe (bestimmte VM)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --instance=my-centos

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos               my-test-assignment2         us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant

Beispielbefehl und -ausgabe (bestimmte Zuweisung)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --assignment-id=my-test-assignment1

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
centos7                 my-test-assignment1         us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                  my-test-assignment1         us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant

REST

Erstellen Sie in der API eine GET-Anfrage an die Methode projects.locations.osPolicyAssignments.reports.list.

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report

Dabei gilt:

PROJECT_ID: Ihre Projekt-ID
ZONE: die Zone, in der sich die VMs befinden
Optional. Geben Sie eine der folgenden Optionen an:
- VM_NAME: der Name oder die ID der VM, für die Sie Berichte zur Betriebssystemrichtlinienzuweisung ansehen möchten Wenn dies nicht erforderlich ist, verwenden Sie für den Wert einen -.
- ASSIGNMENT_ID: die ID der Zuweisung von Betriebssystemrichtlinien, für die Sie den Bericht zur Betriebssystemrichtlinienzuweisung ansehen möchten. Verwenden Sie für den Wert einen -, wenn dies nicht erforderlich ist.

Beispiele:

Verwenden Sie den folgenden URI, um Berichte für alle VMs im Projekt my-project-12345 und Zone us-central1-a aufzurufen:
```
projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/-/report
```
Verwenden Sie den folgenden URI, um Berichte für die VM my-test-vm im Projekt my-project-12345 und in der Zone us-central1-a aufzurufen:
```
projects/my-project-12345/locations/us-central1-a/instances/my-test-vm/osPolicyAssignments/-/report
```
Verwenden Sie den folgenden URI, um Berichte für alle VMs im Projekt my-project-12345 und Zone us-central1-a anzuzeigen, die die Betriebssystemrichtlinienzuweisung my-test-assignment haben:
```
projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/my-test-assignment/report
```

Bericht zu Zuweisungen von Betriebssystemrichtlinien prüfen

Mit diesem Verfahren können Sie eine detaillierte Ansicht eines Berichts zu Betriebssystemrichtlinienzuweisung aufrufen, der einer bestimmten VM zugeordnet ist.

Console

Fügen Sie den Cloud Asset Inventory-Dienst der Liste der zulässigen Dienste hinzu, wenn Sie Ihre Dienste mit VPC Service Controls schützen. Weitere Informationen finden Sie unter Über VPC zugängliche Dienste.
Rufen Sie in der Google Cloud Console die Seite Betriebssystemrichtlinien > VM-Instanzen auf.

Zur Google Cloud Console
Klicken Sie auf den Namen der VM, um den Bericht zur Betriebssystemrichtlinienzuweisung für eine bestimmte VM aufzurufen.
Prüfen Sie die Felder Status, Statusgrund und Logs. Das Feld Logs enthält einen Link zum Cloud Logging-Dashboard, in dem Sie auf Debug-Logs für den OS Config-Agent zugreifen können, der auf der VM ausgeführt wird.
- Weitere Informationen zu den zurückgegebenen Compliancestatus finden Sie im Abschnitt ComplianceState in der API-Referenzdokumentation.
- Weitere Informationen zu den zurückgegebenen Compliance-Gründen finden Sie im Feld complianceStateReason in der OSPolicyResourceCompliance API-Referenzdokumentation .
Um diese Probleme zu beheben, können Sie auch die Logs für die Betriebssystemrichtlinie prüfen und die erforderlichen Aktualisierungen vornehmen. Informationen zur Prüfung der Logs finden Sie unter Fehlerbehebung bei VM Manager.

gcloud

Mit dem Befehl os-config os-policy-assignment-reports describe können Sie den Bericht zur Betriebssystemrichtlinienzuweisung für eine bestimmte VM aufrufen.

gcloud compute os-config os-policy-assignment-reports describe OS_POLICY_ASSIGNMENT_ID \
    --instance=VM_NAME \
    --location=ZONE

Dabei gilt:

OS_POLICY_ASSIGNMENT_ID: die ID der Zuweisung der Betriebssystemrichtlinie, die Sie für die angegebene VM prüfen möchten
VM_NAME: der Name oder die ID der VM, für die Sie Bericht zur Betriebssystemrichtlinienzuweisung ansehen möchten
ZONE: die Zone, in der sich die VM befindet

Beispiel

gcloud compute os-config os-policy-assignment-reports describe my-test-assignment1 \
    --instance=centos7 \
    --location=us-central1-a

Ausgabe

instance: centos7
lastRunId: 96a61b92-3e14-4155-a3e8-dd66520f49ae
name: projects/1234578882888/locations/us-central1-a/instances/29255009728795105/osPolicyAssignments/my-test-assignment1/report
osPolicyAssignment: projects/1234578882888/locations/us-central1-a/osPolicyAssignments/my-test-assignment1t@3428384d-fa61-478e-b7e2-3d5fae74bea3
osPolicyCompliances:
– complianceState: UNKNOWN
  complianceStateReason: os-policies-not-supported-by-agent
  osPolicyId: setup-repo-and-install-package-policy
  osPolicyResourceCompliances:
  – complianceState: UNKNOWN
    complianceStateReason: os-policy-execution-attempt-failed
    osPolicyResourceId: setup-repo
  – complianceState: UNKNOWN
    complianceStateReason: os-policy-execution-attempt-failed
    osPolicyResourceId: install-pkg
updateTime: '2021-11-02T19:14:34.314831Z'

Prüfen Sie complianceState und complianceStateReason.
- Weitere Informationen zu den zurückgegebenen Compliancestatus finden Sie im Abschnitt ComplianceState in der API-Referenzdokumentation.
- Weitere Informationen zu den zurückgegebenen Compliance-Gründen finden Sie im Feld complianceStateReason in der OSPolicyResourceCompliance API-Referenzdokumentation .
Um diese Probleme zu beheben, können Sie auch die Logs für die Betriebssystemrichtlinie prüfen und die erforderlichen Aktualisierungen vornehmen. Informationen zur Prüfung der Logs finden Sie unter Fehlerbehebung bei VM Manager.

REST

Erstellen Sie in der API eine GET-Anfrage an die Methode projects.locations.osPolicyAssignments.reports.get.
```
GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
```
Dabei gilt:
- PROJECT_ID: Ihre Projekt-ID
- ZONE: die Zone, in der sich die VM befindet
- VM_NAME: der Name oder die ID der VM, für die Sie Bericht zur Betriebssystemrichtlinienzuweisung ansehen möchten
- OS_POLICY_ASSIGNMENT_ID: Die ID der Betriebssystemrichtlinienzuweisung, für die Sie den Bericht zur Betriebssystemrichtlinienzuweisung ansehen möchten
Prüfen Sie complianceState und complianceStateReason.
- Weitere Informationen zu den zurückgegebenen Compliancestatus finden Sie im Abschnitt ComplianceState in der API-Referenzdokumentation.
- Weitere Informationen zu den zurückgegebenen Compliance-Gründen finden Sie im Feld complianceStateReason in der OSPolicyResourceCompliance API-Referenzdokumentation .
Um diese Probleme zu beheben, können Sie auch die Logs für die Betriebssystemrichtlinie prüfen und die erforderlichen Aktualisierungen vornehmen. Informationen zur Prüfung der Logs finden Sie unter Fehlerbehebung bei VM Manager.

Nächste Schritte

Weitere Informationen zu Betriebssystemrichtlinien
Betriebssystemrichtlinien verwalten.