Esta página apresenta uma vista geral da gestão de inventário de SO. Para ver informações sobre a configuração e a utilização da gestão de inventário do SO, consulte o artigo Ver detalhes do sistema operativo.
Use a gestão de inventário do SO para recolher e ver detalhes do sistema operativo das suas instâncias de máquinas virtuais (VMs). Estes detalhes do sistema operativo incluem informações como o nome do anfitrião, o sistema operativo e a versão do kernel. Também pode obter informações sobre pacotes de SO instalados, atualizações de pacotes de SO disponíveis, aplicações Windows e vulnerabilidades do SO.
Quando usar a gestão de inventário do SO
A gestão de inventário do SO pode ser usada para concluir as seguintes tarefas:
- Identifique VMs que estão a executar uma versão específica de um sistema operativo
- Veja os pacotes do sistema operativo que estão instalados numa VM
- Gere uma lista de atualizações de pacotes do sistema operativo que estão disponíveis para cada VM
- Identifique pacotes, atualizações ou patches do sistema operativo em falta para uma VM
- Veja relatórios de vulnerabilidades de uma VM
Como funciona a gestão de inventário do SO
Quando a gestão do inventário do SO está ativada, o agente de configuração do SO executa uma análise de inventário para recolher dados e, em seguida, envia estas informações para o servidor de metadados, a API OS Config e várias streams de registos. Esta análise é executada a cada 10 minutos na VM.
Para ativar a gestão de inventário do SO, o VM Manager tem de estar configurado na VM. Consulte o artigo Configure o VM Manager.
Depois de configurar o VM Manager, pode consultar os atributos do SO convidado ou a API OS Config para obter informações sobre o sistema operativo que está a ser executado numa VM. Consulte o artigo Veja os detalhes do sistema operativo.
Como são recolhidos os dados do sistema operativo
Para VMs Linux, o agente OS Config é executado na VM e analisa o ficheiro /etc/os-release ou o ficheiro equivalente para a distribuição Linux para recolher detalhes do sistema operativo. O agente OS Config também usa gestores de pacotes, como apt, yum ou GooGet, para recolher informações sobre os pacotes instalados e as atualizações disponíveis para a instância.
Para VMs do Windows, o agente de configuração do SO usa as APIs do sistema Windows para recolher os detalhes das informações do SO. O agente do Windows Update também é usado para encontrar as atualizações instaladas e disponíveis.
Onde são armazenados os dados do sistema operativo
Os dados de inventário são armazenados na API OS Config. O conteúdo dos pacotes instalados e das atualizações de pacotes é comprimido com gzip para poupar espaço e, em seguida, codificado em base64.
Registo
Durante a recolha e o armazenamento de dados, o agente de configuração do SO escreve registos de atividade nas várias streams de registos no Compute Engine. Por exemplo:
- A porta de série
- Registos do sistema: registo de eventos do Windows e syslog do Linux
- Streams padrão – stdout
- Registos do Cloud Logging: estes registos só estão disponíveis se o Cloud Logging estiver ativado na instância de VM.
Informações fornecidas pela gestão do inventário do SO
A gestão de inventário do SO pode fornecer as seguintes informações acerca do sistema operativo que está a ser executado na sua instância de VM:
- Nome do anfitrião
- LongName: o nome detalhado do sistema operativo. Por exemplo,
Microsoft Windows Server 2016 Datacenter. - ShortName: a forma abreviada do nome do sistema operativo. Por exemplo,
Windows. - Versão do kernel
- Arquitetura do SO
- Versão do SO
- Versão do agente de configuração do SO
- Última atualização: a data/hora da última vez que o agente analisou com êxito o sistema e atualizou os atributos do visitante com dados do inventário do SO.
Informações da aplicação e do pacote do sistema operativo instalado
A tabela seguinte resume as informações que a gestão de inventário do SO fornece para pacotes de sistemas operativos instalados em VMs Linux e Windows. Também descreve as informações disponíveis para aplicações que estão a ser executadas no Windows.
| Sistema operativo | Gestor de pacotes | Campos disponíveis |
|---|---|---|
| Linux e Windows Server | As informações dos pacotes instalados estão disponíveis nos seguintes gestores de pacotes:
|
Para cada pacote instalado, são fornecidas as seguintes informações:
|
| Windows Server | Agente do Windows Update | Os seguintes campos são apresentados para as
atualizações do Windows:
|
| Windows Server | Atualizações de engenharia de correção rápida do Windows | Os seguintes campos estão listados para as
atualizações de engenharia de correção rápida
|
| Windows Server | Windows Installer 2 | Os seguintes campos são apresentados para o
Windows Installer:
|
1Este campo está oculto na saída da linha de comandos gcloud compute instances os-inventory describe predefinida.
Para ver este campo, tem de ver o resultado no formato JSON. Para ver o resultado no formato JSON, acrescente --format=JSON ao comando gcloud. Para mais
informações sobre a formatação da saída, reveja
gcloud topic formats.
2Para ver as propriedades do instalador das suas aplicações Windows, precisa da versão 20210811 ou posterior do agente de configuração do SO. Para ver a versão do agente, consulte o artigo
Veja a versão do agente de configuração do SO.
Informações de atualização do pacote do sistema operativo disponíveis
A tabela seguinte resume as informações de atualização que a gestão de inventário de SO fornece para pacotes de sistemas operativos instalados.
| Sistema operativo | Gestor de pacotes | Campos disponíveis |
|---|---|---|
| Linux e Windows Server | As informações de atualização de pacotes estão disponíveis nos seguintes gestores de pacotes:
|
Para cada atualização de pacote disponível, são fornecidas as seguintes informações:
|
| Windows Server | Agente do Windows Update | Os seguintes campos são apresentados para as
atualizações do Windows:
|
1Este campo está oculto na saída da linha de comandos gcloud compute instances os-inventory describe predefinida.
Para ver este campo, tem de ver o resultado no formato JSON. Para ver o resultado no formato JSON, acrescente --format=JSON ao comando gcloud. Para mais
informações sobre a formatação da saída, reveja
gcloud topic formats.
Relatórios de vulnerabilidades
As vulnerabilidades de software são pontos fracos que podem causar uma falha acidental do sistema ou resultar em atividade maliciosa. Para as VMs, uma vulnerabilidade pode ser um problema no código ou na lógica de funcionamento dos pacotes do sistema operativo ou das aplicações de software.
As vulnerabilidades associadas aos pacotes do sistema operativo instalados são normalmente armazenadas num repositório de origem de vulnerabilidades. Para mais informações acerca destas origens de vulnerabilidades, consulte Origens de vulnerabilidades. Pode usar a gestão de inventário do SO para ver relatórios de vulnerabilidades relativos a problemas com pacotes do SO instalados.
Para obter dados de vulnerabilidade para uma VM, o VM Manager tem de estar configurado e a versão do agente OS Config com data de 20201110 ou posterior tem de estar em execução na VM. Consulte o artigo
Configurar o VM Manager.
Depois de o agente de configuração do SO estar configurado e a comunicar o inventário, o serviço da API OS Config analisa e verifica continuamente a origem das vulnerabilidades do sistema operativo em função dos dados de inventário disponíveis. Quando é detetada uma vulnerabilidade nos pacotes do sistema operativo, o serviço gera um relatório de vulnerabilidades. Estes relatórios são gerados da seguinte forma:
- Quando um pacote é instalado ou atualizado no sistema operativo de uma VM, pode esperar ver informações sobre vulnerabilidades e exposições comuns (CVEs) para a VM no VM Manager, no Security Command Center e no Cloud Asset Inventory no prazo de duas horas após a alteração.
- Quando são publicadas novas recomendações de segurança para um sistema operativo, as CVEs atualizadas ficam normalmente disponíveis no prazo de 24 horas após o fornecedor do sistema operativo publicar a recomendação.
Para ver estes relatórios de vulnerabilidades, consulte o artigo Veja relatórios de vulnerabilidades.
Como são gerados os relatórios de vulnerabilidades
O gestor de VMs conclui periodicamente as seguintes tarefas:
- Lê os relatórios recolhidos a partir de dados de inventário do SO numa VM.
- Procura dados de classificação na origem de vulnerabilidade para cada sistema operativo e ordena estes dados com base na gravidade (da mais elevada para a mais baixa), pelo menos, uma vez por dia.
- Apresenta os dados de CVE para uma VM na Google Cloud consola. Também pode ver os relatórios de vulnerabilidades através do Security Command Center ou do Cloud Asset Inventory.
Origens de vulnerabilidades
A tabela seguinte resume a origem das vulnerabilidades usada para cada sistema operativo. Para ver uma lista completa dos sistemas operativos suportados e respetivas versões, consulte os detalhes do sistema operativo.
| Sistema operativo | Pacote de origem da vulnerabilidade |
|---|---|
| RHEL e CentOS | https://access.redhat.com/security/data |
| Debian | https://security-tracker.debian.org/tracker |
| Ubuntu | https://launchpad.net/ubuntu-cve-tracker |
| SLES | https://ftp.suse.com/pub/projects/security/oval/ |
| Rocky Linux | https://errata.rockylinux.org/ |
| Windows | Dados de vulnerabilidades publicados pelo Microsoft Security Response Center. |
Retenção de dados
Os dados de inventário do SO e de relatórios de vulnerabilidades são armazenados até a VM ser eliminada. No entanto, se, por qualquer motivo, o agente de configuração do SO deixar de enviar relatórios para o serviço da API OS Config durante alguns dias, o VM Manager elimina os dados de inventário do SO e de relatórios de vulnerabilidades disponíveis recolhidos até esse momento. Não vão estar disponíveis dados para essa VM até o agente de configuração do SO voltar a ser executado.
Preços
Para ver informações sobre preços, consulte o artigo Preços do VM Manager.
O que se segue?
- Use a ferramenta de gestão de inventário do SO para ver detalhes do sistema operativo.