Afficher les rapports sur les règles d'OS

Une fois que VM Manager a appliqué une attribution de règles d'OS à une instance de machine virtuelle (VM), un rapport d'attribution de règles d'OS est généré. Le rapport contient l'état de conformité de toutes les règles d'OS appliquées à une VM spécifique pour une attribution de règle d'OS donnée.

Ce document décrit les tâches suivantes:

Avant de commencer

  • Consultez les quotas d'OS Config.
  • Si ce n'est pas déjà fait, configurez l'authentification. L'authentification est le processus permettant de valider votre identité pour accéder aux services et aux API Google Cloud. Pour exécuter du code ou des exemples depuis un environnement de développement local, vous pouvez vous authentifier auprès de Compute Engine comme suit :

    Sélectionnez l'onglet correspondant à la façon dont vous prévoyez d'utiliser les exemples de cette page :

    Console

    Lorsque vous utilisez la console Google Cloud pour accéder aux services et aux API Google Cloud, vous n'avez pas besoin de configurer l'authentification.

    gcloud

    1. Installez Google Cloud CLI, puis initialisez-la en exécutant la commande suivante : 

      gcloud init
    2. Définissez une région et une zone par défaut.

    REST

    Pour utiliser les exemples d'API REST de cette page dans un environnement de développement local, vous devez utiliser les identifiants que vous fournissez à gcloud CLI.

      Installez Google Cloud CLI, puis initialisez-la en exécutant la commande suivante : 

      gcloud init

Rôles et autorisations requis

Pour obtenir les autorisations nécessaires pour afficher les données de conformité des règles du système d'exploitation, demandez à votre administrateur de vous accorder les rôles IAM suivants:

Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Ces rôles prédéfinis contiennent les autorisations requises pour afficher les données de conformité des règles du système d'exploitation. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Vous devez disposer des autorisations suivantes pour afficher les données de conformité des règles du système d'exploitation:

  • Affichez le résumé de la conformité des règles d'OS pour les VM d'une organisation ou d'un dossier (Bêta) :
    • osconfig.osPolicyAssignmentReports.searchSummaries
    • osconfig.osPolicyAssignments.searchPolicies
    • resourcemanager.projects.get
    • resourcemanager.projects.list

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Afficher le résumé de la conformité des règles d'OS pour toutes les VM d'une organisation ou d'un dossier

Vous pouvez afficher le résumé de la conformité des règles d'OS pour toutes les VM d'une organisation ou d'un dossier à l'aide de la console Google Cloud.

VM Manager n'affiche le résumé de la conformité aux règles du système d'exploitation que pour les projets qui répondent à l'une des exigences suivantes:

  • Contient une ou plusieurs VM sur lesquelles VM Manager est activé et en cours d'exécution.
  • Contient une ou plusieurs VM sur lesquelles VM Manager s'est exécuté au cours des sept derniers jours, et des données de conformité aux règles du système d'exploitation sont disponibles.

Pour afficher les données de conformité aux règles du système d'exploitation, procédez comme suit:

  1. Dans la console Google Cloud, accédez à la page Compute Engine > VM Manager > Règles d'OS.

    Accéder aux règles d'OS

  2. Dans la liste déroulante des projets en haut de la console Google Cloud, sélectionnez l'organisation ou le dossier pour lequel vous souhaitez afficher le résumé de la conformité aux règles du système d'exploitation.

  3. Utilisez les options suivantes pour afficher les données de conformité aux règles du système d'exploitation:

    1. Pour afficher le récapitulatif de conformité des règles du système d'exploitation par projet, cliquez sur l'onglet Projets.
    2. Pour afficher le résumé de la conformité aux règles du système d'exploitation par règle, cliquez sur l'onglet Règles d'OS.

  4. Facultatif : Spécifiez les critères permettant de calculer le récapitulatif de conformité avec les règles d'OS en utilisant le générateur de requêtes.

  5. Consultez le résumé de la conformité des règles d'OS pour les VM. Le tableau de l'onglet Projets comprend une ligne pour chaque projet, comme illustré dans la figure suivante:

    Résumé des règles d'OS pour tous les projets.

    Le tableau répertorie les informations suivantes qui répondent aux critères que vous avez spécifiés dans le générateur de requêtes :

    • Projet : nom des projets de l'organisation qui contiennent au moins une VM et sur lesquels VM Manager est activé.
    • Nombre total de VM : nombre total de VM dans chaque projet.
    • VM surveillées : Nombre de VM du projet sur lesquelles l'agent VM Manager est activé et pour lesquelles la conformité vis-à-vis des règles est en cours d'analyse.
    • VM avec stratégie: nombre de VM avec au moins une règle attribuée.
    • Conforme: nombre de VM avec toutes les règles attribuées qui sont signalées comme COMPLIANT.
    • Non conforme: nombre de VM avec au moins une stratégie attribuée signalée comme NON-COMPLIANT.
    • Inconnu: nombre de VM avec au moins une règle attribuée signalée comme UNKNOWN, et aucune stratégie signalée comme NON-COMPLIANT. L'état UNKNOWN est dû à l'une des raisons suivantes :
      • La VM n'est pas en cours d'exécution.
      • L'agent VM Manager n'est pas activé pour la VM.
      • Une erreur s'est produite pendant le processus.
    • Aucun rapport: nombre de VM avec des règles attribuées, mais aucun rapport de conformité avec les règles n'a été trouvé pour l'une des raisons suivantes :
      • L'agent VM Manager n'est pas activé pour la VM.
      • L'analyse de conformité est en cours. Le rapport n'est pas encore prêt.

  6. Facultatif : Appliquez des filtres de table si vous souhaitez afficher des lignes spécifiques dans le tableau récapitulatif de conformité aux règles du système d'exploitation.

    Filtre de tableau dans le tableau récapitulatif des règles.

    Par exemple, si vous souhaitez afficher un résumé de la conformité aux règles du système d'exploitation pour les projets comportant plus de 10 VM, définissez l'option de filtre Nombre total de VM sur >= 10.

  7. Facultatif : Cliquez sur le nombre de VM pour afficher plus de détails sur les VM d'un état particulier. Par exemple, lorsque vous cliquez sur le nombre de VM pour un projet donné dans la colonne Inconnu, vous ouvrez l'onglet Instances de VM avec la liste des règles d'OS inconnues pour chaque VM du projet.

    Onglet "Instances de VM" avec des règles d'OS inconnues.

    Pour en savoir plus, consultez la page Afficher les rapports d'attribution de règles d'OS.

Utiliser le générateur de requêtes pour filtrer les données de conformité aux règles du système d'exploitation

Selon les critères que vous avez spécifiés dans le générateur de requêtes, VM Manager affiche les données de conformité des règles du système d'exploitation pour les VM des projets de votre organisation ou de votre dossier. Vous pouvez ensuite utiliser les filtres de table de la table de conformité des règles de système d'exploitation pour filtrer les données affichées.

Par exemple, lorsque vous définissez l'attribut OS dans le générateur de requêtes en tant que Debian, VM Manager affiche les données de conformité des règles du système d'exploitation pour les VM avec le système d'exploitation Debian. Si vous souhaitez afficher les données de conformité d'un projet spécifique, spécifiez l'ID du projet à l'aide du filtre de table.

Générateur de requêtes avec un attribut.

Pour définir une requête dans le générateur de requêtes de l'onglet Projets, procédez comme suit:

  1. Sélectionnez un attribut. Le générateur de requêtes accepte les attributs suivants :

    • OS : spécifiez les noms courts des systèmes d'exploitation, tels que Windows ou Debian.
    • Version d'OS : spécifiez la version du système d'exploitation. Par exemple, 21.04 ou 10.0.22000. Vous pouvez spécifier un seul astérisque (*) à la fin de la chaîne de version du système d'exploitation afin d'indiquer une correspondance partielle, par exemple 10*.
    • VM en cours d'exécution : indiquez si vous souhaitez afficher le récapitulatif des correctifs pour les VM à l'état RUNNING.
    • Empreinte numérique de la règle: spécifiez l'empreinte unique de la règle pour la règle d'OS. Lorsque vous définissez cet attribut, VM Manager ne calcule le résumé de la conformité que pour ces règles d'OS avec l'empreinte spécifiée.
    • État de conformité: spécifiez l'un des états de conformité de la stratégie :
      • COMPLIANT: VM dont toutes les règles attribuées sont signalées comme COMPLIANT
      • NON-COMPLIANT: VM avec au moins une règle attribuée signalée comme NON-COMPLIANT
      • UNKNOWN: VM avec au moins une règle attribuée signalée comme UNKNOWN

  2. Choisissez l'un des attributs et spécifiez une valeur pour l'attribut. Par exemple, si vous souhaitez afficher le récapitulatif des correctifs pour les VM avec un système d'exploitation spécifique, sélectionnez OS. Vous obtenez ensuite une liste d'opérateurs de comparaison parmi lesquels effectuer un choix.

    1. Sélectionnez un opérateur (par exemple, ==).
    2. Dans le champ Valeur, spécifiez la valeur de comparaison. Par exemple, Debian.

  3. Pour ajouter un autre attribut, cliquez sur Ajouter une condition.

  4. Cliquez sur Rechercher.

Afficher les rapports d'attribution des règles d'OS

Pour afficher les rapports d'attribution de règles d'OS, vous pouvez utiliser la console Google Cloud, Google Cloud CLI ou REST.

Cette procédure vous permet d'afficher la liste des rapports d'attribution de règles d'OS pour un emplacement spécifié.

Console

  1. Si vous utilisez VPC Service Controls pour protéger vos services, ajoutez le service Cloud Asset Inventory à votre liste de services autorisés. Pour en savoir plus, consultez la page Services accessibles par VPC.

  2. Dans la console Google Cloud, accédez à la page Règles d'OS > Instances de VM.

    Accéder à la page "Instances de VM"

    Affichez la conformité des VM.

gcloud

Pour afficher la liste des rapports d'attribution de règles d'OS, utilisez la commande os-config os-policy-assignment-reports list.

Pour afficher tous les rapports d'attribution de règles d'OS pour un emplacement spécifique, exécutez la commande suivante. Remplacez ZONE par la zone où se trouvent les VM.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE

Exemple de commande et de résultat (toutes les VM)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a

INSTANCE                   ASSIGNMENT_ID                   LOCATION       UPDATE_TIME                  SUMMARY
centos7                    my-test-assignment1             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
centos7                    my-test-assignment2             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                     my-test-assignment1             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
rhel-8                     my-test-assignment2             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos                  my-test-assignment1             us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos                  my-test-assignment2             us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant
deb-10                     my-test-assignment2             us-central1-a  2021-11-02T19:00:11.777748Z  0/1 policies compliant
windows                    my-test-assignment2             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
windows                    my-test-assignment3             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
sles15                     my-test-assignment2             us-central1-a  2021-11-02T18:38:07.335276Z  0/1 policies compliant

Vous pouvez également filtrer les résultats à l'aide des options facultatives, telles que --instance ou --assignment-id.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE \
    [--instance=VM_NAME | --assignment-id=ASSIGNMENT_ID]

Remplacez les éléments suivants :

  • ZONE : zone où se trouve la VM
  • Facultatif : Indiquez l'un des éléments suivants :
    • VM_NAME : nom ou ID de la VM pour laquelle vous souhaitez afficher les rapports d'attribution de règles d'OS
    • ASSIGNMENT_ID : ID de l'attribution de règle d'OS pour laquelle vous souhaitez afficher les rapports d'attribution de règles d'OS

Exemple de commande et de résultat (VM spécifique)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --instance=my-centos

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos               my-test-assignment2         us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant

Exemple de commande et de résultat (attribution spécifique)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --assignment-id=my-test-assignment1

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
centos7                 my-test-assignment1         us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                  my-test-assignment1         us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant

REST

Dans l'API, envoyez une requête GET à la méthode projects.locations.osPolicyAssignments.reports.list.

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report

Remplacez l'élément suivant :

  • PROJECT_ID : ID de votre projet.
  • ZONE : zone où se trouvent les VM.
  • Facultatif. Indiquez l'une des options suivantes :
    • VM_NAME : nom ou ID de la VM pour laquelle vous souhaitez afficher les rapports d'attribution de règles d'OS Si ce paramètre n'est pas requis, utilisez un - pour la valeur.
    • ASSIGNMENT_ID : ID de l'attribution de règle d'OS pour laquelle vous souhaitez afficher les rapports d'attribution de règles d'OS Si ce paramètre n'est pas requis, utilisez un - pour la valeur.

Exemples :

  • Pour afficher les rapports de toutes les VM dans le projet my-project-12345 et la zone us-central1-a, utilisez l'URI suivant : 
    projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/-/report
  • Pour afficher les rapports de la VM my-test-vm dans le projet my-project-12345 et située dans la zone us-central1-a, utilisez l'URI suivant : 
    projects/my-project-12345/locations/us-central1-a/instances/my-test-vm/osPolicyAssignments/-/report
  • Pour afficher les rapports de toutes les VM dans le projet my-project-12345 et la zone us-central1-a ayant l'attribution de règle d'OS my-test-assignment, utilisez l'URI suivant : 
    projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/my-test-assignment/report

Examiner un rapport d'attribution de règles d'OS

Utilisez cette procédure pour obtenir une vue détaillée d'un rapport d'attribution de règles d'OS associé à une VM spécifique.

Console

  1. Si vous utilisez VPC Service Controls pour protéger vos services, ajoutez le service Cloud Asset Inventory à votre liste de services autorisés. Pour en savoir plus, consultez la page Services accessibles par VPC.

  2. Dans la console Google Cloud, accédez à la page Règles d'OS > Instances de VM.

    Accéder à Google Cloud Console

  3. Pour afficher le rapport d'attribution de règle d'OS pour une VM spécifique, cliquez sur le nom de la VM.

    Affichez la conformité des VM.

  4. Examinez les champs État, Motif de l'état et Journaux. Le champ Journaux fournit un lien vers le tableau de bord Cloud Logging où vous pouvez accéder aux journaux de débogage pour l'agent OS Config s'exécutant sur la VM.

    Pour résoudre ces problèmes, vous pouvez également consulter les journaux associés aux règles d'OS et effectuer les modifications requises. Pour vérifier les journaux, consultez la page Dépannage de VM Manager.

gcloud

  1. Pour afficher le rapport d'attribution de règles d'OS pour une VM spécifique, utilisez la commande os-config os-policy-assignment-reports describe.

    gcloud compute os-config os-policy-assignment-reports describe OS_POLICY_ASSIGNMENT_ID \
    --instance=VM_NAME \
    --location=ZONE

    Remplacez les éléments suivants :

    • OS_POLICY_ASSIGNMENT_ID : ID de l'attribution de règles d'OS que vous souhaitez examiner pour la VM spécifiée
    • VM_NAME : nom ou ID de la VM pour laquelle vous souhaitez afficher les rapports d'attribution de règles d'OS
    • ZONE : zone où se trouve la VM

    Exemple

    gcloud compute os-config os-policy-assignment-reports describe my-test-assignment1 \
    --instance=centos7 \
    --location=us-central1-a

    Résultat

    instance: centos7
lastRunId: 96a61b92-3e14-4155-a3e8-dd66520f49ae
name: projects/1234578882888/locations/us-central1-a/instances/29255009728795105/osPolicyAssignments/my-test-assignment1/report
osPolicyAssignment: projects/1234578882888/locations/us-central1-a/osPolicyAssignments/my-test-assignment1t@3428384d-fa61-478e-b7e2-3d5fae74bea3
osPolicyCompliances:
– complianceState: UNKNOWN
  complianceStateReason: os-policies-not-supported-by-agent
  osPolicyId: setup-repo-and-install-package-policy
  osPolicyResourceCompliances:
  – complianceState: UNKNOWN
    complianceStateReason: os-policy-execution-attempt-failed
    osPolicyResourceId: setup-repo
  – complianceState: UNKNOWN
    complianceStateReason: os-policy-execution-attempt-failed
    osPolicyResourceId: install-pkg
updateTime: '2021-11-02T19:14:34.314831Z'

  2. Examinez les éléments complianceState et complianceStateReason.

    Pour résoudre ces problèmes, vous pouvez également consulter les journaux associés aux règles d'OS et effectuer les modifications requises. Pour vérifier les journaux, consultez la page Dépannage de VM Manager.

REST

  1. Dans l'API, envoyez une requête GET à la méthode projects.locations.osPolicyAssignments.reports.get.

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report

    Remplacez l'élément suivant :

    • PROJECT_ID : ID de votre projet.
    • ZONE : zone où se trouve la VM
    • VM_NAME : nom ou ID de la VM pour laquelle vous souhaitez afficher les rapports d'attribution de règles d'OS
    • OS_POLICY_ASSIGNMENT_ID : ID de l'attribution de règle d'OS pour laquelle vous souhaitez afficher les rapports d'attribution de règles d'OS

  2. Examinez les éléments complianceState et complianceStateReason.

    Pour résoudre ces problèmes, vous pouvez également consulter les journaux associés aux règles d'OS et effectuer les modifications requises. Pour vérifier les journaux, consultez la page Dépannage de VM Manager.

Étape suivante