Dopo aver applicato un'assegnazione dei criteri del sistema operativo a un'istanza di una macchina virtuale (VM), viene generato un report sull'assegnazione dei criteri del sistema operativo. Il report contiene lo stato di conformità di tutti i criteri del sistema operativo applicati a una VM specifica per una determinata assegnazione dei criteri del sistema operativo.
Questo documento descrive le seguenti attività:
- Visualizza il report sulla conformità ai criteri del sistema operativo per tutte le VM in un'organizzazione o una cartella.
- Visualizza i report sull'assegnazione dei criteri del sistema operativo per tutte le VM in una zona specificata. È utile per fornire una panoramica dello stato di conformità in una zona specifica. Vedi Visualizzare i report sulle assegnazioni dei criteri del sistema operativo.
- Rivedi l'assegnazione dei criteri del sistema operativo per una VM specifica. Questo è utile quando si esamina lo stato di conformità per una VM specifica. Consulta Esaminare un report sull'assegnazione dei criteri del sistema operativo.
Prima di iniziare
- Esamina le quote di configurazione del sistema operativo.
-
Se non l'hai ancora fatto, configura l'autenticazione.
L'autenticazione è il processo mediante il quale viene verificata l'identità per l'accesso ai servizi e alle API Google Cloud.
Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti in Compute Engine nel seguente modo.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init - Set a default region and zone.
-
Visualizza il riepilogo della conformità ai criteri del sistema operativo per le VM in un'organizzazione o una cartella:
-
OSPolicyAssignmentReport Viewer (
roles/osconfig.osPolicyAssignmentReportViewer) nell'organizzazione o nella cartella -
OSPolicyAssignment Viewer (
roles/osconfig.osPolicyAssignmentViewer) nell'organizzazione o nella cartella
-
OSPolicyAssignmentReport Viewer (
-
Visualizza i report sull'assegnazione dei criteri del sistema operativo per le VM in un progetto:
OSPolicyAssignmentReport Viewer (
roles/osconfig.osPolicyAssignmentReportViewer) nel progetto -
Visualizza il riepilogo della conformità ai criteri del sistema operativo per le VM in un'organizzazione o una cartella:
-
osconfig.osPolicyAssignmentReports.searchSummaries -
osconfig.osPolicyAssignments.searchPolicies -
resourcemanager.projects.get -
resourcemanager.projects.list
-
- Contiene una o più VM su cui è abilitato e in esecuzione VM Manager.
- Contiene una o più VM su cui è stato eseguito VM Manager negli ultimi 7 giorni e sono disponibili dati di conformità ai criteri del sistema operativo.
Nella console Google Cloud, vai alla pagina Compute Engine > VM Manager > Criteri del sistema operativo.
Nell'elenco a discesa del progetto nella parte superiore della console Google Cloud, seleziona l'organizzazione o la cartella per cui vuoi vedere il riepilogo della conformità ai criteri del sistema operativo.
Utilizza le seguenti opzioni per visualizzare i dati sulla conformità ai criteri del sistema operativo:
- Per visualizzare il riepilogo della conformità ai criteri del sistema operativo per progetto, fai clic sulla scheda Progetti.
- Per visualizzare un riepilogo della conformità ai criteri del sistema operativo, fai clic sulla scheda Criteri del sistema operativo.
(Facoltativo) Specifica i criteri per il calcolo del riepilogo della conformità ai criteri del sistema operativo utilizzando Query Builder.
Esamina il riepilogo della conformità ai criteri del sistema operativo per le VM. La tabella nella scheda Progetti include una riga per ogni progetto, come mostrato nella figura seguente:
La tabella elenca le seguenti informazioni che soddisfano i criteri che hai specificato in Query Builder:
- Progetto: il nome dei progetti nell'organizzazione che contengono almeno una VM e in cui è abilitato VM Manager.
- VM totali: numero totale di VM in ogni progetto.
- VM monitorate: numero di VM nel progetto con l'agente VM Manager abilitato e in fase di analisi per verificare la conformità ai criteri.
- VM con criterio: numero di VM a cui è stato assegnato almeno un criterio.
- Conforme: numero di VM con tutti i criteri assegnati segnalati come
COMPLIANT. - Non conforme: numero di VM con almeno un criterio assegnato segnalato come
NON-COMPLIANT. - Sconosciuto: numero di VM con almeno un criterio assegnato segnalato come
UNKNOWNe nessun criterio segnalato comeNON-COMPLIANT. Lo statoUNKNOWNè dovuto a uno dei seguenti motivi:- La VM non è in esecuzione.
- L'agente VM Manager non è abilitato per la VM.
- Si è verificato un errore durante la procedura.
- Nessun report: numero di VM con criteri assegnati, ma non è stato trovato alcun report di conformità dei criteri per uno dei seguenti motivi:
- L'agente VM Manager non è abilitato per la VM.
- È in corso l'analisi della conformità. Il report non è ancora pronto.
(Facoltativo) Applica filtri della tabella se vuoi visualizzare righe specifiche nella tabella di riepilogo della conformità ai criteri del sistema operativo.
Ad esempio, se vuoi vedere un riepilogo della conformità ai criteri del sistema operativo per i progetti con più di 10 VM, imposta l'opzione di filtro VM totali su
>= 10.(Facoltativo) Fai clic sul numero di VM per visualizzare ulteriori dettagli sulle VM in un determinato stato. Ad esempio, se fai clic sul numero di VM per un determinato progetto nella colonna Sconosciuto, si apre la scheda Istanze VM, contenente un elenco dei criteri del sistema operativo sconosciuti per ogni VM nel progetto.
Per ulteriori informazioni, vedi Visualizzare i report sulle assegnazioni dei criteri del sistema operativo.
Seleziona un attributo. Query Builder supporta i seguenti attributi:
- Sistema operativo: specifica i nomi brevi dei sistemi operativi, ad esempio
WindowsoDebian. - Versione del sistema operativo: specifica la versione del sistema operativo. Ad esempio,
21.04o10.0.22000. Puoi specificare un singolo asterisco (*) alla fine della stringa della versione del sistema operativo per indicare la corrispondenza parziale, ad esempio10*. - VM in esecuzione: specifica se vuoi visualizzare il riepilogo delle patch per le VM
in stato
RUNNING. - Fingerprint del criterio: specifica l'impronta digitale univoca del criterio per il criterio del sistema operativo. Quando imposti questo attributo, VM Manager calcola il riepilogo della conformità solo per i criteri del sistema operativo con il fingerprint specificato.
- Stato conformità: specifica uno degli stati di conformità per il criterio:
COMPLIANT: VM con tutti i criteri assegnati segnalati comeCOMPLIANTNON-COMPLIANT: VM con almeno un criterio assegnato segnalato comeNON-COMPLIANTUNKNOWN: VM con almeno un criterio assegnato segnalato comeUNKNOWN
- Sistema operativo: specifica i nomi brevi dei sistemi operativi, ad esempio
Scegli uno degli attributi e specifica un valore per l'attributo. Ad esempio, se vuoi visualizzare il riepilogo delle patch per le VM con un sistema operativo specifico, seleziona Sistema operativo. Si ottiene quindi un elenco di operatori di confronto tra cui scegliere.
- Seleziona un operatore, ad esempio
==. - Nel campo Valore, specifica il valore di confronto. Ad esempio
Debian.
- Seleziona un operatore, ad esempio
Per aggiungere un altro attributo, fai clic su Aggiungi condizione.
Fai clic su Cerca.
Se utilizzi Controlli di servizio VPC per proteggere i tuoi servizi, aggiungi il servizio Cloud Asset Inventory all'elenco dei servizi consentiti. Per ulteriori informazioni, consulta Servizi accessibili da VPC.
Nella console Google Cloud, vai alla pagina Criteri del sistema operativo > Istanze VM.
ZONE: la zona in cui si trova la VM- (Facoltativo) Fornisci uno dei seguenti valori:
VM_NAME: nome o ID della VM per cui vuoi visualizzare i report sull'assegnazione dei criteri del sistema operativoASSIGNMENT_ID: l'ID dell'assegnazione dei criteri del sistema operativo per cui vuoi visualizzare i report sull'assegnazione
PROJECT_ID: il tuo ID progettoZONE: la zona in cui si trovano le VM- Facoltativo. Specifica uno dei seguenti valori:
VM_NAME: il nome o l'ID della VM per cui vuoi visualizzare i report sull'assegnazione dei criteri del sistema operativo. Se non è richiesto, utilizza-per il valore.ASSIGNMENT_ID: l'ID dell'assegnazione dei criteri del sistema operativo per cui vuoi visualizzare i report sulle assegnazioni dei criteri. Se non è richiesto, utilizza-come valore.
- Per visualizzare i report per tutte le VM nel progetto
my-project-12345e nella zonaus-central1-a, utilizza il seguente URI:projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/-/report
- Per visualizzare i report per la VM
my-test-vmnel progettomy-project-12345e che si trova nella zonaus-central1-a, utilizza il seguente URI:projects/my-project-12345/locations/us-central1-a/instances/my-test-vm/osPolicyAssignments/-/report
- Per visualizzare i report per tutte le VM nel progetto
my-project-12345e nella zonaus-central1-acon l'assegnazione dei criteri del sistema operativomy-test-assignment, utilizza il seguente URI:projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/my-test-assignment/report
Se utilizzi Controlli di servizio VPC per proteggere i tuoi servizi, aggiungi il servizio Cloud Asset Inventory all'elenco dei servizi consentiti. Per ulteriori informazioni, consulta Servizi accessibili da VPC.
Nella console Google Cloud, vai alla pagina Criteri del sistema operativo > Istanze VM.
Per visualizzare il report sull'assegnazione dei criteri del sistema operativo per una VM specifica, fai clic sul nome della VM.
Esamina i campi Stato, Motivo stato e Log. Il campo Log fornisce un link alla dashboard di Cloud Logging in cui puoi accedere ai log di debug per l'agente OS Config in esecuzione sulla VM.
- Per saperne di più sugli stati di conformità restituiti, consulta la sezione
ComplianceStatenella documentazione di riferimento dell'API. - Per saperne di più sui motivi di conformità restituiti, esamina il campo
complianceStateReasonnella documentazione di riferimento dell'APIOSPolicyResourceCompliance.
Per risolvere questi problemi, puoi anche esaminare i log dei criteri del sistema operativo e apportare gli aggiornamenti richiesti. Per controllare i log, consulta Risoluzione dei problemi di VM Manager.
- Per saperne di più sugli stati di conformità restituiti, consulta la sezione
Per visualizzare il report sull'assegnazione dei criteri del sistema operativo per una VM specifica, utilizza il comando
os-config os-policy-assignment-reports describe.gcloud compute os-config os-policy-assignment-reports describe OS_POLICY_ASSIGNMENT_ID \ --instance=VM_NAME \ --location=ZONESostituisci quanto segue:
OS_POLICY_ASSIGNMENT_ID: l'ID dell'assegnazione dei criteri del sistema operativo che vuoi esaminare per la VM specificataVM_NAME: nome o ID della VM per cui vuoi visualizzare il report sull'assegnazione dei criteri del sistema operativoZONE: la zona in cui si trova la VM
Esempio
gcloud compute os-config os-policy-assignment-reports describe my-test-assignment1 \ --instance=centos7 \ --location=us-central1-aOutput
instance: centos7 lastRunId: 96a61b92-3e14-4155-a3e8-dd66520f49ae name: projects/1234578882888/locations/us-central1-a/instances/29255009728795105/osPolicyAssignments/my-test-assignment1/report osPolicyAssignment: projects/1234578882888/locations/us-central1-a/osPolicyAssignments/my-test-assignment1t@3428384d-fa61-478e-b7e2-3d5fae74bea3 osPolicyCompliances: – complianceState: UNKNOWN complianceStateReason: os-policies-not-supported-by-agent osPolicyId: setup-repo-and-install-package-policy osPolicyResourceCompliances: – complianceState: UNKNOWN complianceStateReason: os-policy-execution-attempt-failed osPolicyResourceId: setup-repo – complianceState: UNKNOWN complianceStateReason: os-policy-execution-attempt-failed osPolicyResourceId: install-pkg updateTime: '2021-11-02T19:14:34.314831Z'Esamina i
complianceStatee lecomplianceStateReason.- Per saperne di più sugli stati di conformità restituiti, consulta la sezione
ComplianceStatenella documentazione di riferimento dell'API. - Per saperne di più sui motivi di conformità restituiti, esamina il campo
complianceStateReasonnella documentazione di riferimento dell'APIOSPolicyResourceCompliance.
Per risolvere questi problemi, puoi anche esaminare i log dei criteri del sistema operativo e apportare gli aggiornamenti richiesti. Per controllare i log, consulta Risoluzione dei problemi di VM Manager.
- Per saperne di più sugli stati di conformità restituiti, consulta la sezione
Nell'API, crea una richiesta
GETper il metodoprojects.locations.osPolicyAssignments.reports.get.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
Sostituisci quanto segue:
PROJECT_ID: il tuo ID progettoZONE: la zona in cui si trova la VMVM_NAME: nome o ID della VM per cui vuoi visualizzare il report sull'assegnazione dei criteri del sistema operativoOS_POLICY_ASSIGNMENT_ID: l'ID dell'assegnazione dei criteri del sistema operativo per cui vuoi visualizzare il relativo report
Esamina i
complianceStatee lecomplianceStateReason.- Per saperne di più sugli stati di conformità restituiti, consulta la sezione
ComplianceStatenella documentazione di riferimento dell'API. - Per saperne di più sui motivi di conformità restituiti, esamina il campo
complianceStateReasonnella documentazione di riferimento dell'APIOSPolicyResourceCompliance.
Per risolvere questi problemi, puoi anche esaminare i log dei criteri del sistema operativo e apportare gli aggiornamenti richiesti. Per controllare i log, consulta Risoluzione dei problemi di VM Manager.
- Per saperne di più sugli stati di conformità restituiti, consulta la sezione
- Scopri di più sui criteri del sistema operativo.
- Gestisci i criteri del sistema operativo.
REST
Per utilizzare gli esempi dell'API REST in questa pagina in un ambiente di sviluppo locale, utilizza le credenziali fornite a gcloud CLI.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud initPer saperne di più, consulta Eseguire l'autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.
Autorizzazioni e ruoli richiesti
Per ottenere le autorizzazioni necessarie per visualizzare i dati di conformità ai criteri del sistema operativo, chiedi all'amministratore di concederti i seguenti ruoli IAM:
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per visualizzare i dati di conformità ai criteri del sistema operativo. Per visualizzare le autorizzazioni esatte necessarie, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per visualizzare i dati di conformità ai criteri del sistema operativo, sono necessarie le seguenti autorizzazioni:
Potresti anche essere in grado di ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.
Visualizza il riepilogo della conformità ai criteri del sistema operativo per tutte le VM in un'organizzazione o una cartella
Puoi visualizzare il riepilogo della conformità ai criteri del sistema operativo per tutte le VM in un'organizzazione o una cartella utilizzando la console Google Cloud.
VM Manager mostra il riepilogo della conformità ai criteri del sistema operativo solo per i progetti che soddisfano uno dei seguenti requisiti:
Per visualizzare i dati sulla conformità ai criteri del sistema operativo:
Utilizza Query Builder per filtrare i dati di conformità ai criteri del sistema operativo
In base ai criteri specificati in Query Builder, VM Manager mostra i dati di conformità ai criteri del sistema operativo per le VM nei progetti nella tua organizzazione o cartella. Puoi quindi utilizzare i filtri della tabella nella tabella di conformità dei criteri del sistema operativo per filtrare i dati visualizzati.
Ad esempio, se imposti l'attributo
OSin Query Builder suDebian, VM Manager mostra i dati di conformità ai criteri del sistema operativo per le VM con sistema operativo Debian. Se vuoi visualizzare i dati di conformità per un progetto specifico, utilizza il filtro di tabella per specificare l'ID progetto.
Per impostare una query in Query Builder nella scheda Progetti, procedi nel seguente modo:
Visualizzare i report sulle assegnazioni dei criteri del sistema operativo
Per visualizzare i report sull'assegnazione dei criteri del sistema operativo, puoi utilizzare la console Google Cloud, Google Cloud CLI o REST.
Utilizza questa procedura per visualizzare un elenco di report di assegnazione dei criteri del sistema operativo per una località specificata.
Console
gcloud
Per visualizzare un elenco di report sulle assegnazioni dei criteri del sistema operativo, utilizza il comando
os-config os-policy-assignment-reports list.Per visualizzare tutti i report sull'assegnazione dei criteri del sistema operativo relativi a una località specifica, esegui questo comando. Sostituisci
ZONEcon la zona in cui si trovano le VM.gcloud compute os-config os-policy-assignment-reports list --location=ZONE
Comando e output di esempio (tutte le VM)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY centos7 my-test-assignment1 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant centos7 my-test-assignment2 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant rhel-8 my-test-assignment1 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant rhel-8 my-test-assignment2 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliant my-centos my-test-assignment2 us-central1-a 2021-11-02T18:14:37.418883Z 0/1 policies compliant deb-10 my-test-assignment2 us-central1-a 2021-11-02T19:00:11.777748Z 0/1 policies compliant windows my-test-assignment2 us-central1-a 2021-11-02T18:24:07.935711Z 0/1 policies compliant windows my-test-assignment3 us-central1-a 2021-11-02T18:24:07.935711Z 0/1 policies compliant sles15 my-test-assignment2 us-central1-a 2021-11-02T18:38:07.335276Z 0/1 policies compliant
Puoi anche usare flag facoltativi come
--instanceo--assignment-idper filtrare i risultati.gcloud compute os-config os-policy-assignment-reports list --location=ZONE \ [--instance=VM_NAME | --assignment-id=ASSIGNMENT_ID]Sostituisci quanto segue:
Comando e output di esempio (VM specifica)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \ --instance=my-centos INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliant my-centos my-test-assignment2 us-central1-a 2021-11-02T18:14:37.418883Z 0/1 policies compliantComando e output di esempio (assegnazione specifica)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \ --assignment-id=my-test-assignment1 INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY centos7 my-test-assignment1 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant rhel-8 my-test-assignment1 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliantREST
Nell'API, crea una richiesta
GETper il metodoprojects.locations.osPolicyAssignments.reports.list.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
Sostituisci quanto segue:
Esempi:
Esaminare un report sull'assegnazione dei criteri del sistema operativo
Utilizza questa procedura per ottenere una visualizzazione dettagliata di un report sull'assegnazione dei criteri del sistema operativo associato a una VM specifica.
Console
gcloud
REST
Che cosa succede dopo?
Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2024-11-23 UTC.
-