Nachdem VM Manager eine Betriebssystemrichtlinienzuweisung auf eine VM-Instanz angewendet hat, wird ein Bericht zur Betriebssystemrichtlinienzuweisung generiert. Der Bericht enthält den Compliancestatus aller Betriebssystemrichtlinien, die für eine bestimmte Betriebssystemrichtlinien-Zuweisung auf eine bestimmte VM angewendet werden.
In diesem Dokument werden die folgenden Aufgaben beschrieben:
- Bericht zur Richtliniencompliance für Betriebssysteme für alle VMs in einer Organisation oder einem Ordner ansehen (Vorschau).
- Anzeige der Berichte zur Betriebssystemrichtlinienzuweisung für alle VMs in einer bestimmten Zone. Dies ist hilfreich, um eine Übersicht über den Compliancestatus in einer bestimmten Zone bereitzustellen. Siehe Berichte zur Betriebssystemrichtlinienzuweisung aufrufen.
- Prüfen Sie die Zuweisung von Betriebssystemrichtlinien für eine bestimmte VM. Dies ist nützlich, wenn Sie den Compliancestatus einer bestimmten VM prüfen möchten. Siehe Bericht zu Zuweisung von Betriebssystemrichtlinien prüfen.
Hinweise
- Prüfen Sie die OS Config-Kontingente.
-
Richten Sie die Authentifizierung ein, falls Sie dies noch nicht getan haben.
Bei der Authentifizierung wird Ihre Identität für den Zugriff auf Google Cloud-Dienste und APIs überprüft.
Zur Ausführung von Code oder Beispielen aus einer lokalen Entwicklungsumgebung können Sie sich so bei Compute Engine authentifizieren.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
-
Zusammenfassung der Betriebssystemrichtlinien für VMs in einer Organisation oder einem Ordner ansehen (Vorschau):
-
OSPolicyAssignmentReport-Betrachter (
roles/osconfig.osPolicyAssignmentReportViewer
) für die Organisation oder den Ordner -
OSPolicyAssignment-Betrachter (
roles/osconfig.osPolicyAssignmentViewer
) für die Organisation oder den Ordner
-
OSPolicyAssignmentReport-Betrachter (
-
Berichte zur Betriebssystemrichtlinienzuweisung für VMs in einem Projekt aufrufen:
OSPolicyAssignmentReport-Betrachter (
roles/osconfig.osPolicyAssignmentReportViewer
) für das Projekt -
Zusammenfassung der Betriebssystemrichtlinien für VMs in einer Organisation oder einem Ordner ansehen (Vorschau):
-
osconfig.osPolicyAssignmentReports.searchSummaries
-
osconfig.osPolicyAssignments.searchPolicies
-
resourcemanager.projects.get
-
resourcemanager.projects.list
-
- Enthält eine oder mehrere VMs, auf denen VM Manager aktiviert ist und ausgeführt wird.
- Enthält eine oder mehrere VMs, auf denen VM Manager in den letzten 7 Tagen ausgeführt wurde und Daten zur Compliance der Betriebssystemrichtlinie verfügbar sind.
Rufen Sie in der Google Cloud Console die Seite Compute Engine > VM Manager > Betriebssystemrichtlinien auf.
Wählen Sie in der Drop-down-Liste für Projekte oben in der Google Cloud Console die Organisation oder den Ordner aus, für den bzw. den Sie die Zusammenfassung der Betriebssystemrichtlinie aufrufen möchten.
Verwenden Sie die folgenden Optionen, um die Compliancedaten für die Betriebssystemrichtlinien aufzurufen:
- Klicken Sie auf den Tab Projekte, um eine Zusammenfassung der projektspezifischen Compliance mit Betriebssystemrichtlinien aufzurufen.
- Klicken Sie auf den Tab Betriebssystemrichtlinien, um eine Zusammenfassung der richtlinienspezifischen Betriebssystemrichtlinien aufzurufen.
Optional: Geben Sie mit Query Builder die Kriterien für die Berechnung der Zusammenfassung der Compliance der Betriebssystemrichtlinie an.
Zusammenfassung der Zusammenfassung der Compliance der Betriebssystemrichtlinie für VMs prüfen. Die Tabelle auf dem Tab Projekte enthält eine Zeile für jedes Projekt, wie in der folgenden Abbildung dargestellt:
Die Tabelle enthält die folgenden Informationen, die die in der Query Builder angegebenen Kriterien erfüllen:
- Projekt: Der Name der Projekte in der Organisation, die mindestens eine VM enthalten und für die VM Manager aktiviert ist.
- Gesamtzahl der VMs: Gesamtzahl der VMs in jedem Projekt.
- Überwachte VMs: Anzahl der VMs im Projekt, für die der VM Manager-Agent aktiviert ist und die auf Richtliniencompliance gescannt werden.
- VMs mit Richtlinie: Anzahl der VMs mit mindestens einer Richtlinie.
- Konform: Die Anzahl der VMs mit allen zugewiesenen Richtlinien, die als
COMPLIANT
gemeldet werden. - Nicht konform: Anzahl der VMs mit mindestens einer zugewiesenen Richtlinie, die als
NON-COMPLIANT
gemeldet wird. - Unbekannt: Anzahl der VMs mit mindestens einer zugewiesenen Richtlinie, die als
UNKNOWN
gemeldet wird, und ohne Richtlinie, die alsNON-COMPLIANT
gemeldet wird. Der StatusUNKNOWN
hat einen der folgenden Gründe:- Die VM wird nicht ausgeführt.
- Der VM Manager-Agent ist für die VM nicht aktiviert.
- Beim Prozess ist ein Fehler aufgetreten.
- Kein Bericht: Anzahl der VMs mit zugewiesenen Richtlinien, aber aus einem der folgenden Gründe wurde kein Bericht zur Richtliniencompliance gefunden:
- Der VM Manager-Agent ist für die VM nicht aktiviert.
- Compliancescan läuft. Der Bericht ist noch nicht fertig.
Optional: Wenden Sie Tabellenfilter an, wenn Sie bestimmte Zeilen in der Übersichtstabelle der Compliance der Betriebssystemrichtlinie ansehen möchten.
Wenn Sie beispielsweise die Zusammenfassung der Compliance der Betriebssystemrichtlinie für Projekte mit mehr als zehn VMs aufrufen möchten, setzen Sie die Filteroption Gesamt-VMs auf
>= 10
.Optional: Klicken Sie auf die Anzahl der VMs, um weitere Details zu den VMs in einem bestimmten Status aufzurufen. Wenn Sie beispielsweise in der Spalte Unbekannt auf die Anzahl der VMs für ein bestimmtes Projekt klicken, wird der Tab VM-Instanzen mit einer Liste unbekannter Betriebssystemrichtlinien für jede VM in diesem Projekt geöffnet.
Weitere Informationen finden Sie unter Berichte zu Zuweisungen der Betriebssystemrichtlinien ansehen.
Attribut auswählen Der Query Builder unterstützt die folgenden Attribute:
- Betriebssystem: Geben Sie die Kurznamen der Betriebssysteme an, z. B.
Windows
oderDebian
. - Betriebssystemversion: Geben Sie die Version des Betriebssystems an. Beispiel:
21.04
oder10.0.22000
. Sie können am Ende des Versionsstrings des Betriebssystems ein einzelnes Sternchen (*
) angeben, um einen teilweisen Abgleich zu kennzeichnen, z. B.10*
. - VM-Ausführung: Geben Sie an, ob Sie die Patchzusammenfassung für VMs im Status
RUNNING
aufrufen möchten. - Richtlinien-Fingerabdruck: Geben Sie den eindeutigen Richtlinien-Fingerabdruck für die Betriebssystemrichtlinie an. Wenn Sie dieses Attribut festlegen, berechnet VM Manager die Compliancezusammenfassung nur für diese Betriebssystemrichtlinien mit dem angegebenen Fingerabdruck.
- Compliancestatus: Geben Sie einen der Compliancestatus für die Richtlinie an:
COMPLIANT
: VMs mit allen zugewiesenen Richtlinien, die alsCOMPLIANT
gemeldet werdenNON-COMPLIANT
: VMs mit mindestens einer zugewiesenen Richtlinie, die alsNON-COMPLIANT
gemeldet wirdUNKNOWN
: VMs mit mindestens einer zugewiesenen Richtlinie, die alsUNKNOWN
gemeldet wird
- Betriebssystem: Geben Sie die Kurznamen der Betriebssysteme an, z. B.
Wählen Sie eines der Attribute aus und geben Sie einen Wert für das Attribut an. Wenn Sie beispielsweise die Patchübersicht für VMs mit einem bestimmten Betriebssystem aufrufen möchten, wählen Sie Betriebssystem aus. Anschließend erhalten Sie eine Liste mit Vergleichsoperatoren zur Auswahl.
- Wählen Sie einen Operator aus, z. B.
==
. - Geben Sie im Feld Wert den Vergleichswert ein. Beispiel:
Debian
.
- Wählen Sie einen Operator aus, z. B.
Wenn Sie ein weiteres Attribut hinzufügen möchten, klicken Sie auf Bedingung hinzufügen.
Klicken Sie auf Suchen.
Fügen Sie den Cloud Asset Inventory-Dienst der Liste der zulässigen Dienste hinzu, wenn Sie Ihre Dienste mit VPC Service Controls schützen. Weitere Informationen finden Sie unter Über VPC zugängliche Dienste.
Rufen Sie in der Google Cloud Console die Seite Betriebssystemrichtlinien > VM-Instanzen auf.
ZONE
: die Zone, in der sich die VM befindet- Optional: Geben Sie eine der folgenden Optionen an:
VM_NAME
: der Name oder die ID der VM, für die Sie Berichte zur Betriebssystemrichtlinienzuweisung ansehen möchtenASSIGNMENT_ID
: die ID der Zuweisung von Betriebssystemrichtlinien, für die Sie den Bericht zur Betriebssystemrichtlinienzuweisung ansehen möchten
PROJECT_ID
: Ihre Projekt-IDZONE
: die Zone, in der sich die VMs befinden- Optional. Geben Sie eine der folgenden Optionen an:
VM_NAME
: der Name oder die ID der VM, für die Sie Berichte zur Betriebssystemrichtlinienzuweisung ansehen möchten Wenn dies nicht erforderlich ist, verwenden Sie für den Wert einen-
.ASSIGNMENT_ID
: die ID der Zuweisung von Betriebssystemrichtlinien, für die Sie den Bericht zur Betriebssystemrichtlinienzuweisung ansehen möchten. Verwenden Sie für den Wert einen-
, wenn dies nicht erforderlich ist.
- Verwenden Sie den folgenden URI, um Berichte für alle VMs im Projekt
my-project-12345
und Zoneus-central1-a
aufzurufen:projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/-/report
- Verwenden Sie den folgenden URI, um Berichte für die VM
my-test-vm
im Projektmy-project-12345
und in der Zoneus-central1-a
aufzurufen:projects/my-project-12345/locations/us-central1-a/instances/my-test-vm/osPolicyAssignments/-/report
- Verwenden Sie den folgenden URI, um Berichte für alle VMs im Projekt
my-project-12345
und Zoneus-central1-a
anzuzeigen, die die Betriebssystemrichtlinienzuweisungmy-test-assignment
haben:projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/my-test-assignment/report
Fügen Sie den Cloud Asset Inventory-Dienst der Liste der zulässigen Dienste hinzu, wenn Sie Ihre Dienste mit VPC Service Controls schützen. Weitere Informationen finden Sie unter Über VPC zugängliche Dienste.
Rufen Sie in der Google Cloud Console die Seite Betriebssystemrichtlinien > VM-Instanzen auf.
Klicken Sie auf den Namen der VM, um den Bericht zur Betriebssystemrichtlinienzuweisung für eine bestimmte VM aufzurufen.
Prüfen Sie die Felder Status, Statusgrund und Logs. Das Feld Logs enthält einen Link zum Cloud Logging-Dashboard, in dem Sie auf Debug-Logs für den OS Config-Agent zugreifen können, der auf der VM ausgeführt wird.
- Weitere Informationen zu den zurückgegebenen Compliancestatus finden Sie im Abschnitt
ComplianceState
in der API-Referenzdokumentation. - Weitere Informationen zu den zurückgegebenen Compliance-Gründen finden Sie im Feld
complianceStateReason
in derOSPolicyResourceCompliance
API-Referenzdokumentation .
Um diese Probleme zu beheben, können Sie auch die Logs für die Betriebssystemrichtlinie prüfen und die erforderlichen Aktualisierungen vornehmen. Informationen zur Prüfung der Logs finden Sie unter Fehlerbehebung bei VM Manager.
- Weitere Informationen zu den zurückgegebenen Compliancestatus finden Sie im Abschnitt
Mit dem Befehl
os-config os-policy-assignment-reports describe
können Sie den Bericht zur Betriebssystemrichtlinienzuweisung für eine bestimmte VM aufrufen.gcloud compute os-config os-policy-assignment-reports describe OS_POLICY_ASSIGNMENT_ID \ --instance=VM_NAME \ --location=ZONE
Dabei gilt:
OS_POLICY_ASSIGNMENT_ID
: die ID der Zuweisung der Betriebssystemrichtlinie, die Sie für die angegebene VM prüfen möchtenVM_NAME
: der Name oder die ID der VM, für die Sie Bericht zur Betriebssystemrichtlinienzuweisung ansehen möchtenZONE
: die Zone, in der sich die VM befindet
Beispiel
gcloud compute os-config os-policy-assignment-reports describe my-test-assignment1 \ --instance=centos7 \ --location=us-central1-a
Ausgabe
instance: centos7 lastRunId: 96a61b92-3e14-4155-a3e8-dd66520f49ae name: projects/1234578882888/locations/us-central1-a/instances/29255009728795105/osPolicyAssignments/my-test-assignment1/report osPolicyAssignment: projects/1234578882888/locations/us-central1-a/osPolicyAssignments/my-test-assignment1t@3428384d-fa61-478e-b7e2-3d5fae74bea3 osPolicyCompliances: – complianceState: UNKNOWN complianceStateReason: os-policies-not-supported-by-agent osPolicyId: setup-repo-and-install-package-policy osPolicyResourceCompliances: – complianceState: UNKNOWN complianceStateReason: os-policy-execution-attempt-failed osPolicyResourceId: setup-repo – complianceState: UNKNOWN complianceStateReason: os-policy-execution-attempt-failed osPolicyResourceId: install-pkg updateTime: '2021-11-02T19:14:34.314831Z'
Prüfen Sie
complianceState
undcomplianceStateReason
.- Weitere Informationen zu den zurückgegebenen Compliancestatus finden Sie im Abschnitt
ComplianceState
in der API-Referenzdokumentation. - Weitere Informationen zu den zurückgegebenen Compliance-Gründen finden Sie im Feld
complianceStateReason
in derOSPolicyResourceCompliance
API-Referenzdokumentation .
Um diese Probleme zu beheben, können Sie auch die Logs für die Betriebssystemrichtlinie prüfen und die erforderlichen Aktualisierungen vornehmen. Informationen zur Prüfung der Logs finden Sie unter Fehlerbehebung bei VM Manager.
- Weitere Informationen zu den zurückgegebenen Compliancestatus finden Sie im Abschnitt
Erstellen Sie in der API eine
GET
-Anfrage an die Methodeprojects.locations.osPolicyAssignments.reports.get
.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
Dabei gilt:
PROJECT_ID
: Ihre Projekt-IDZONE
: die Zone, in der sich die VM befindetVM_NAME
: der Name oder die ID der VM, für die Sie Bericht zur Betriebssystemrichtlinienzuweisung ansehen möchtenOS_POLICY_ASSIGNMENT_ID
: Die ID der Betriebssystemrichtlinienzuweisung, für die Sie den Bericht zur Betriebssystemrichtlinienzuweisung ansehen möchten
Prüfen Sie
complianceState
undcomplianceStateReason
.- Weitere Informationen zu den zurückgegebenen Compliancestatus finden Sie im Abschnitt
ComplianceState
in der API-Referenzdokumentation. - Weitere Informationen zu den zurückgegebenen Compliance-Gründen finden Sie im Feld
complianceStateReason
in derOSPolicyResourceCompliance
API-Referenzdokumentation .
Um diese Probleme zu beheben, können Sie auch die Logs für die Betriebssystemrichtlinie prüfen und die erforderlichen Aktualisierungen vornehmen. Informationen zur Prüfung der Logs finden Sie unter Fehlerbehebung bei VM Manager.
- Weitere Informationen zu den zurückgegebenen Compliancestatus finden Sie im Abschnitt
- Weitere Informationen zu Betriebssystemrichtlinien
- Betriebssystemrichtlinien verwalten.
REST
Verwenden Sie die von der gcloud CLI bereitgestellten Anmeldedaten, um die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung zu verwenden.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Weitere Informationen finden Sie unter Für die Verwendung von REST authentifizieren in der Dokumentation zur Google Cloud-Authentifizierung.
Erforderliche Rollen und Berechtigungen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Aufrufen von Compliancedaten der Betriebssystemrichtlinien benötigen:
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Aufrufen von Compliancedaten für die Betriebssystemrichtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind erforderlich, um Daten zur Compliance von Betriebssystemrichtlinien aufzurufen:
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Zusammenfassung der Betriebssystemrichtlinien für alle VMs in einer Organisation oder einem Ordner ansehen
Mit der Google Cloud Console können Sie die Zusammenfassung der Betriebssystemrichtlinien für alle VMs in einer Organisation oder einem Ordner aufrufen.
VM Manager zeigt die Zusammenfassung der Betriebssystemrichtlinie nur für Projekte an, die eine der folgenden Anforderungen erfüllen:
So rufen Sie Compliance-Daten für Betriebssystemrichtlinien auf:
Mit Query Builder die Daten der Compliance der Betriebssystemrichtlinie filtern
Basierend auf den Kriterien, die Sie im Query Builder angegeben haben, zeigt VM Manager die Daten der Compliance der Betriebssystemrichtlinie für VMs in den Projekten in Ihrer Organisation oder Ihrem Ordner an. Sie können dann die Tabellenfilter in der Compliance-Tabelle der Betriebssystemrichtlinie verwenden, um die angezeigten Daten zu filtern.
Wenn Sie beispielsweise im Query Builder das Attribut
OS
alsDebian
festlegen, zeigt VM Manager Daten zur Compliance der Betriebssystemrichtlinie für VMs mit Debian-Betriebssystem an. Wenn Sie die Compliancedaten für ein bestimmtes Projekt aufrufen möchten, verwenden Sie den Tabellenfilter, um die Projekt-ID anzugeben.So legen Sie eine Abfrage im Query Builder auf dem Tab Projekte fest:
Berichte zu Zuweisungen von Betriebssystemrichtlinien ansehen
Zum Aufrufen der Berichte zur Betriebssystemrichtlinienzuweisung können Sie entweder die Google Cloud Console, die Google Cloud CLI oder REST verwenden.
Mit diesem Verfahren können Sie eine Liste der Berichte für Betriebssystemrichtlinienzuweisungen für einen bestimmten Standort anzeigen.
Console
gcloud
Mit dem Befehl
os-config os-policy-assignment-reports list
können Sie eine Liste der Berichte für Betriebssystemrichtlinienzuweisungen aufrufen.Führen Sie den folgenden Befehl aus, um alle Berichte zur Betriebssystemrichtlinie für einen bestimmten Standort aufzurufen. Ersetzen Sie
ZONE
durch die Zone, in der sich die VMs befinden.gcloud compute os-config os-policy-assignment-reports list --location=ZONE
Beispielbefehl und -ausgabe (alle VMs)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY centos7 my-test-assignment1 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant centos7 my-test-assignment2 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant rhel-8 my-test-assignment1 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant rhel-8 my-test-assignment2 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliant my-centos my-test-assignment2 us-central1-a 2021-11-02T18:14:37.418883Z 0/1 policies compliant deb-10 my-test-assignment2 us-central1-a 2021-11-02T19:00:11.777748Z 0/1 policies compliant windows my-test-assignment2 us-central1-a 2021-11-02T18:24:07.935711Z 0/1 policies compliant windows my-test-assignment3 us-central1-a 2021-11-02T18:24:07.935711Z 0/1 policies compliant sles15 my-test-assignment2 us-central1-a 2021-11-02T18:38:07.335276Z 0/1 policies compliant
Sie können auch optionale Flags wie
--instance
oder--assignment-id
verwenden, um die Ergebnisse zu filtern.gcloud compute os-config os-policy-assignment-reports list --location=ZONE \ [--instance=VM_NAME | --assignment-id=ASSIGNMENT_ID]
Dabei gilt:
Beispielbefehl und -ausgabe (bestimmte VM)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \ --instance=my-centos INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliant my-centos my-test-assignment2 us-central1-a 2021-11-02T18:14:37.418883Z 0/1 policies compliant
Beispielbefehl und -ausgabe (bestimmte Zuweisung)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \ --assignment-id=my-test-assignment1 INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY centos7 my-test-assignment1 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant rhel-8 my-test-assignment1 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliant
REST
Erstellen Sie in der API eine
GET
-Anfrage an die Methodeprojects.locations.osPolicyAssignments.reports.list
.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
Dabei gilt:
Beispiele:
Bericht zu Zuweisungen von Betriebssystemrichtlinien prüfen
Mit diesem Verfahren können Sie eine detaillierte Ansicht eines Berichts zu Betriebssystemrichtlinienzuweisung aufrufen, der einer bestimmten VM zugeordnet ist.
Console
gcloud
REST
Nächste Schritte
Sofern nicht anders angegeben, sind die Inhalte dieser Seite unter der Creative Commons Attribution 4.0 License und Codebeispiele unter der Apache 2.0 License lizenziert. Weitere Informationen finden Sie in den Websiterichtlinien von Google Developers. Java ist eine eingetragene Marke von Oracle und/oder seinen Partnern.
Zuletzt aktualisiert: 2024-11-20 (UTC).
-