OS Inventory Management

本页面概述了 OS Inventory Management。如需了解如何设置和使用 OS Inventory Management,请参阅查看操作系统详细信息

您可以使用 OS Inventory Management 来收集和查看虚拟机实例的操作系统详细信息。这些操作系统详细信息包括主机名、操作系统和内核版本等信息。您还可以获得有关已安装的操作系统软件包、可用的操作系统软件包更新、Windows 应用和操作系统漏洞的信息。

何时使用 OS Inventory Management

OS Inventory Management 可用来完成以下任务:

  • 识别运行特定操作系统版本的虚拟机。
  • 查看虚拟机上安装的操作系统软件包
  • 生成每个虚拟机可用的操作系统软件包更新列表
  • 识别虚拟机缺失的操作系统软件包、更新或补丁程序
  • 查看虚拟机的漏洞报告

OS Inventory Management 工作原理

启用 OS Inventory Management 后,OS Config 代理会运行清点扫描来收集数据,然后将此信息发送到元数据服务器、OS Config API 和各种日志流。系统会每 10 分钟对虚拟机运行一次清点扫描。

要启用 OS Inventory Management,必须在虚拟机上设置虚拟机管理器。请参阅设置虚拟机管理器

设置虚拟机管理器后,您可以查询客机特性或 OS Config API 来检索有关虚拟机上运行的操作系统的信息。请参阅查看操作系统详情

操作系统数据的收集方式

对于 Linux 虚拟机,OS Config 代理会在虚拟机上运行,并解析 /etc/os-release(或 Linux 发行版的等效文件)以收集操作系统详细信息。OS Config 代理还会使用软件包管理系统(例如 aptyumGooGet)收集有关实例的已安装软件包和可用更新的信息。

对于 Windows 虚拟机,OS Config 代理使用 Windows 系统 API 来收集操作系统详细信息。Windows 更新代理还可用于查找已安装的更新和可用的更新。

操作系统数据的存储位置

清点数据存储在 OS Config API 中。为了节省空间,已安装软件包和软件包更新的内容会先通过 gzip 进行压缩,然后再进行 base64 编码。

日志记录

在收集和存储数据期间,OS Config 代理会将活动日志写入 Compute Engine 上的各种日志流。其中包括:

  • 串行端口
  • 系统日志 - Windows 事件日志和 Linux 系统日志
  • 标准流 - stdout
  • Cloud Logging 日志 - 只有在虚拟机实例启用了 Cloud Logging 时,才能使用这些日志。

OS Inventory Management 提供的信息

OS Inventory Management 可以提供有关虚拟机实例上运行的操作系统的以下信息:

  • 主机名
  • 全称 - 详细的操作系统名称,例如 Microsoft Windows Server 2016 Datacenter
  • 简称 - 简写形式的操作系统名称,例如 Windows
  • 内核版本
  • 操作系统架构
  • 操作系统版本
  • OS Config 代理版本
  • 上次更新时间 - 代理上次成功扫描系统并使用操作系统清点数据更新客机特性时所对应的时间戳。

已安装的操作系统软件包和应用信息

下表总结了 OS Inventory Management 针对 Linux 和 Windows 虚拟机上已安装的操作系统软件包提供的信息。其中还概述了在 Windows 上运行的应用可用的信息。

操作系统 软件包管理器 可用字段
Linux 和 Windows Server 已安装软件包的信息可从以下软件包管理器中获得:
  • RPM for Red Hat Enterprise Linux (RHEL)
  • DEB for Debian and Ubuntu
  • GooGet for Windows Server
对于每个已安装软件包,系统会提供以下信息:
  • 该软件包的名称
  • 架构
  • 版本
Windows Server Windows 更新代理 对于 Windows 更新,系统会列出以下字段:
  • 标题
  • 说明
  • 类别
  • CategoryIDs1
  • KBArticleIDs
  • SupportURL
  • UpdateID1
  • RevisionNumber1
  • LastDeploymentChangeTime
Windows Server Windows Quick Fix Engineering 更新 对于 QuickFixEngineering 更新,系统会列出以下字段:
  • 名称
  • 说明
  • HotFixID
  • 安装时间
Windows Server 映像 Windows 安装程序 2 针对 Windows 安装程序,系统会列出以下字段:
  • DisplayName
  • DisplayVersion
  • 发布商
  • InstallDate
  • HelpLink

1默认情况下 gcloud compute instances os-inventory describe 命令行输出中会隐藏此字段。要查看此字段,您必须以 JSON 格式查看输出。要以 JSON 格式查看输出,请向 gcloud 命令附加 --format=JSON。如需了解输出格式的详情,请查看 gcloud topic formats

2如需查看您的 Windows 应用的安装程序属性,您需要 OS Config 代理版本 20210811 或更高版本。如需查看代理版本,请参阅查看 OS Config 代理版本

可用的操作系统软件包更新信息

下表汇总了 OS Inventory Management 为已安装的操作系统软件包提供的更新信息。

操作系统 软件包管理器 可用字段
Linux 和 Windows Server 软件包更新信息可从以下软件包管理器中获得:
  • Yum for Red Hat Enterprise Linux (RHEL)
  • Apt for Debian and Ubuntu
  • GooGet for Windows Server
对于每个可用的软件包更新,系统会提供以下信息:
  • 该软件包的名称
  • 架构
  • 版本
Windows Server Windows 更新代理 对于 Windows 更新,系统会列出以下字段:
  • 标题
  • 说明
  • 类别
  • CategoryIDs1
  • KBArticleIDs
  • SupportURL
  • UpdateID1
  • RevisionNumber1
  • LastDeploymentChangeTime

1默认情况下 gcloud compute instances os-inventory describe 命令行输出中会隐藏此字段。要查看此字段,您必须以 JSON 格式查看输出。要以 JSON 格式查看输出,请向 gcloud 命令附加 --format=JSON。如需了解输出格式的详情,请查看 gcloud topic formats

漏洞报告

软件漏洞可能会导致意外的系统故障或恶意活动。对于虚拟机而言,漏洞可能是操作系统软件包或软件应用的代码或操作逻辑中的问题。

与已安装的操作系统软件包关联的漏洞通常存储在漏洞源代码库中。如需详细了解这些漏洞来源,请参阅漏洞来源。您可以使用 OS Inventory Management 查看已安装操作系统软件包的问题的漏洞报告。

要获取虚拟机的漏洞数据,虚拟机上必须设置虚拟机管理器并且运行 20201110 或更晚日期的 OS Config 代理版本。请参阅设置虚拟机管理器

在 OS Config 代理设置完成并报告清点数据后,OS Config API 服务会根据可用的清点数据持续扫描并检查操作系统的漏洞来源。当在操作系统软件包中检测到漏洞时,服务会生成漏洞报告。这些报告的生成方式如下:

  • 在虚拟机的操作系统中安装或更新软件包后,您应该会在进行更改后的两小时内,在虚拟机管理器、Security Command Center 和 Cloud Asset Inventory 中看到针对虚拟机的常见漏洞和披露 (CVE) 信息。
  • 为操作系统发布新的安全公告后,更新后的 CVE 通常会在操作系统供应商发布公告后的 24 小时内提供。

如需查看这些漏洞报告,请参阅查看漏洞报告

漏洞报告是如何生成的

虚拟机管理器会定期完成以下任务:

  1. 读取从虚拟机上的操作系统清点数据中收集的报告。
  2. 从每个操作系统的漏洞源扫描分类数据,并根据严重程度(从最高到最低)对此数据排序(每天至少一次)。
  3. 在 Google Cloud 控制台上显示虚拟机的 CVE 数据。您还可以使用 Security Command Center 或 Cloud Asset Inventory 来查看漏洞报告

漏洞来源

下表总结了用于每种操作系统的漏洞来源。如需查看受支持的操作系统及其版本的完整列表,请参阅操作系统详细信息

操作系统 漏洞源软件包
RHEL 和 CentOS https://access.redhat.com/security/data
Debian https://security-tracker.debian.org/tracker
Ubuntu https://launchpad.net/ubuntu-cve-tracker
SLES https://ftp.suse.com/pub/projects/security/oval/
Rocky Linux 不适用

Rocky Linux 不支持漏洞报告。

Windows Microsoft 安全响应中心发布的漏洞数据。

数据保留

操作系统清点和漏洞报告数据会一直存储,直到虚拟机被删除为止。但是,如果由于任何原因 OS Config 代理停止向 OS Config API 服务报告几天,则虚拟机管理器会删除在此之前收集的可用操作系统清点和漏洞报告数据。在 OS Config 代理再次运行之前,该虚拟机没有可用的数据。

价格

如需了解价格,请参阅 VM 管理器价格

后续步骤