このページでは、OS Inventory Management の概要を説明します。OS Inventory Management の設定と使用方法については、オペレーティング システムの詳細の表示をご覧ください。
OS Inventory Management を使用すると、仮想マシン(VM)インスタンスのオペレーティング システムの詳細情報を収集して表示できます。オペレーティング システムの詳細には、ホスト名、オペレーティング システム、カーネル バージョンなどの情報が含まれます。また、インストールされている OS パッケージ、利用可能な OS パッケージ アップデート、Windows アプリケーションと OS の脆弱性に関する情報も取得できます。
OS Inventory Management を使用する目的
OS Inventory Management は、次の目的で使用できます。
- 特定のバージョンのオペレーティング システムが稼働している VM を特定する
- VM にインストールされているオペレーティング システム パッケージを表示する
- 各 VM で使用可能なオペレーティング システム パッケージ更新のリストを生成する
- VM で不足しているオペレーティング システム パッケージ、更新、パッチを特定する
- VM の脆弱性レポートを表示する
OS Inventory Management の機能
OS Inventory Management を有効にすると、OS Config エージェントがインベントリ スキャンを実行してデータを収集し、この情報をメタデータ サーバー、OS Config API、さまざまなログストリームに送信します。このスキャンは、VM で 10 分ごとに実行されます。
OS Inventory Management を有効にするには、VM で VM Manager を設定する必要があります。VM Manager を設定するをご覧ください。
VM Manager を設定したら、ゲスト属性または OS Config API をクエリで取得し、VM で実行されているオペレーティング システムに関する情報を取得します。オペレーティング システムの詳細を表示するをご覧ください。
オペレーティング システム データの収集方法
Linux VM の場合、OS Config エージェントが VM で稼働して、Linux ディストリビューション関連の /etc/os-release
または同等のファイルを解析し、オペレーティング システムの詳細情報を収集します。また、OS Config エージェントは apt
、yum
、GooGet などのパッケージ管理システムを使用して、インスタンスのインストール済みパッケージと利用可能な更新に関する情報を収集します。
Windows VM の場合、OS Config エージェントは Windows システム API を使用して OS の詳細情報を収集します。また、Windows Update エージェントは、インストール済みの更新や利用可能な更新を見つける際にも使用します。
オペレーティング システムのデータが保存されている場所
インベントリ データは OS Config API に保存されます。インストール済みのパッケージとパッケージ更新のコンテンツが gzip で圧縮され、base64 でエンコードされて保存されます。
ロギング
データの収集と保存を行っている間、OS Config エージェントは Compute Engine 上のさまざまなログストリームにアクティビティ ログを書き込みます。たとえば、次のようなものです。
- シリアルポート
- システムログ - Windows のイベントログと Linux の syslog
- 標準ストリーム - stdout
- Cloud Logging のログ - VM インスタンスで Cloud Logging が有効にされている場合にのみ使用できます。
OS Inventory Management から提供される情報
OS Inventory Management は、VM インスタンス上で実行されているオペレーティング システムについて次の情報を提供します。
- ホスト名
- LongName - オペレーティング システムの詳しい名前。たとえば、
Microsoft Windows Server 2016 Datacenter
です。 - ShortName - オペレーティング システムの短縮名。たとえば、
Windows
です。 - カーネル バージョン
- OS のアーキテクチャ
- OS バージョン
- OS Config エージェントのバージョン
- Last updated - エージェントが最後にシステムのスキャンに成功し、OS インベントリ データでゲスト属性を更新した時間のタイムスタンプ。
インストールされているオペレーティング システム パッケージとアプリケーションの情報
以下の表に、OS Inventory Management が Linux および Windows VM にインストールしたオペレーティング システム パッケージについて提供する情報を示します。また、Windows で実行されているアプリケーションで利用可能な情報についても示します。
オペレーティング システム | パッケージ マネージャー | 使用可能なフィールド |
---|---|---|
Linux と Windows Server | インストール済みのパッケージ情報は、次のパッケージ マネージャーから取得されます。
|
インストール済みパッケージごとに、次の情報が提供されます。
|
Windows Server | Windows Update Agent | Windows の更新では、次のフィールドが表示されます。
|
Windows Server | Windows Quick Fix Engineering アップデート | QuickFixEngineering アップデートの場合、次のフィールドが表示されます。
|
Windows Server | Windows Installer2 | Windows インストーラの場合、次のフィールドが表示されます。
|
1 デフォルトの gcloud compute instances os-inventory describe
コマンドライン出力では、このフィールドは表示されません。このフィールドを表示するには、JSON 形式で出力を表示する必要があります。出力を JSON 形式で表示するには、--format=JSON
を gcloud
コマンドに追加します。出力形式の詳細については、gcloud topic formats
をご覧ください。
2 Windows アプリケーションのインストーラ プロパティを表示するには、OS Config エージェント バージョン 20210811
以降が必要です。エージェントのバージョンを表示するには、OS Config エージェントのバージョンを表示するをご覧ください。
利用可能なオペレーティング システム パッケージの更新情報
以下の表に、OS Inventory Management がオペレーティング システム パッケージについて提供する更新情報を示します。
オペレーティング システム | パッケージ マネージャー | 使用可能なフィールド |
---|---|---|
Linux と Windows Server | パッケージの更新情報は、次のパッケージ マネージャーから取得されます。
|
利用可能なパッケージの更新ごとに、次の情報が提供されます。
|
Windows Server | Windows Update Agent | Windows の更新では、次のフィールドが表示されます。
|
1 デフォルトの gcloud compute instances os-inventory describe
コマンドライン出力では、このフィールドは表示されません。このフィールドを表示するには、JSON 形式で出力を表示する必要があります。出力を JSON 形式で表示するには、--format=JSON
を gcloud
コマンドに追加します。出力形式の詳細については、gcloud topic formats
をご覧ください。
脆弱性レポート
ソフトウェアの脆弱性は、偶発的なシステム障害や悪意のあるアクティビティを引き起こす可能性がある弱点です。VM の場合、オペレーティング システム パッケージとソフトウェア アプリケーションのコードまたはオペレーションのロジックの脆弱性が問題となる可能性があります。
通常、インストールされているオペレーティング システム パッケージに関連する脆弱性は、脆弱性ソース リポジトリに保存されます。これらの脆弱性ソースの詳細については、脆弱性ソースをご覧ください。OS Inventory Management を使用すると、インストールされている OS パッケージの脆弱性レポートを表示できます。
VM の脆弱性データを取得するには、VM Manager を設定し、20201110
以降の日付の OS Config エージェントを VM で実行している必要があります。VM Manager の設定をご覧ください。
OS Config エージェントが設定され、インベントリが報告されると、OS Config API サービスは継続的にスキャンを行い、利用可能なインベントリ データに対してオペレーティング システムの脆弱性ソースを確認します。オペレーティング システム パッケージで脆弱性が検出されると、サービスが脆弱性レポートを生成します。これらのレポートは以下のように生成されます。
- パッケージが VM のオペレーティング システムでインストールまたは更新されると、変更後 2 時間以内に、VM Manager、Security Command Center、Cloud Asset Inventory で VM の共通脆弱性識別子(CVE)の情報を確認できます。
- オペレーティング システムの新しいセキュリティ アドバイザリが公開された場合は、通常、オペレーティング システム ベンダーがアドバイザリを公開してから 24 時間以内に、更新された CVE が利用可能になります。
これらの脆弱性レポートを表示するには、脆弱性レポートの表示をご覧ください。
脆弱性レポートの生成方法
VM Manager は、定期的に次のタスクを行います。
- VM 上の OS インベントリ データから収集されたレポートを読み取ります。
- 各オペレーティング システムの脆弱性ソースから分類データをスキャンし、そのデータを重大度の降順で並べ替えます(少なくとも 1 日 1 回)。
- Google Cloud コンソールに VM の CVE データを表示します。Security Command Center または Cloud Asset Inventory を使用して脆弱性レポートを表示することもできます。
脆弱性のあるソース
次の表は、各オペレーティング システムで使用される脆弱性のソースをまとめたものです。サポートされているオペレーティング システムとバージョンの完全なリストについては、オペレーティング システムの詳細をご覧ください。
OS | 脆弱性ソース パッケージ |
---|---|
RHEL と CentOS | https://access.redhat.com/security/data |
Debian | https://security-tracker.debian.org/tracker |
Ubuntu | https://launchpad.net/ubuntu-cve-tracker |
SLES | https://ftp.suse.com/pub/projects/security/oval/ |
Rocky Linux | なし Rocky Linux では、脆弱性レポートはサポートされていません。 |
Windows | Microsoft Security Response Center によって公開された脆弱性データ。 |
データの保持
OS インベントリと脆弱性レポートのデータは、VM が削除されるまで保存されます。ただし、なんらかの理由で OS Config エージェントが OS Config API サービスへのレポートデータの送信を停止した場合、それから数日経つと、その時点までに収集された利用可能な OS インベントリと脆弱性レポートデータは VM Manager によって削除されます。OS Config エージェントの実行が再開されるまで、その VM で使用できるデータはありません。
料金
料金については、VM Manager の料金をご覧ください。
次のステップ
- OS Inventory Management ツールを使用して、オペレーティング システムの詳細情報を確認する。