Diese Seite bietet einen Überblick über OS Inventory Management. Informationen zum Einrichten und Anwenden von OS Inventory Management finden Sie unter Details zu Betriebssystemen ansehen.
Verwenden Sie OS Inventory Management, um Betriebssystemdetails für Ihre VM-Instanzen zu erfassen und aufzurufen. Zu diesen Details des Betriebssystems gehören Informationen wie Hostname, Betriebssystem und Kernel-Version. Sie können auch Informationen zu installierten Betriebssystempaketen, verfügbaren Betriebssystempaketupdates, Windows-Anwendungen und Betriebssystemsicherheitslücken abrufen.
Wann sollte OS Inventory Management verwendet werden?
Mit OS Inventory Management können Sie folgende Aufgaben ausführen:
- VMs ermitteln, auf denen eine bestimmte Version eines Betriebssystems ausgeführt wird
- Betriebssystempakete aufrufen, die auf einer VM installiert sind
- Liste der Updates für Betriebssystempakete erstellen, die für jede VM verfügbar sind
- Fehlende Betriebssystempakete, Updates oder Patches für eine VM ermitteln
- Berichte zu Sicherheitslücken für eine VM aufrufen
Funktionsweise von OS Inventory Management
Wenn OS Inventory Management aktiviert ist, scannt der OS Config-Agent das Inventar, um Daten zu erfassen. Anschließend sendet er diese Informationen an den Metadatenserver, an die OS Config API und an verschiedene Logstreams. Dieser Scan wird alle zehn Minuten auf der VM-Instanz ausgeführt.
Damit OS Inventory Management aktiviert werden kann, muss VM Manager auf der VM eingerichtet sein. Weitere Informationen finden Sie unter VM Manager einrichten.
Nachdem Sie VM Manager eingerichtet haben, können Sie entweder die Gastattribute oder die OS Config API abfragen, um Informationen zum Betriebssystem abzurufen, das auf einer VM ausgeführt wird. Weitere Informationen finden Sie unter Betriebssystemdetails aufrufen.
Wie Betriebssystemdaten erfasst werden
Bei Linux-VMs wird der OS Config-Agent auf der VM ausgeführt. Er parst die Datei /etc/os-release
oder die entsprechende Datei für die jeweilige Linux-Distribution, um Betriebssystemdetails zu erfassen. Der OS Config-Agent nutzt auch Paketmanager wie apt
, yum
oder GooGet, um Informationen zu installierten Paketen und zu verfügbaren Updates für die Instanz zu erfassen.
Bei Windows-VMs verwendet der OS Config-Agent die Windows-System-APIs, um die Betriebssystemdetails zu erfassen. Der Windows Update-Agent wird auch verwendet, um die installierten und verfügbaren Updates zu finden.
Speicherort der Betriebssystemdaten
Inventardaten werden in der OS Config API gespeichert. Die Inhalte der installierten Pakete und Paketupdates werden mit gzip komprimiert und anschließend base64-codiert, um Speicherplatz zu sparen.
Logging
Während der OS Config-Agent Daten erfasst und speichert, schreibt er Aktivitätslogs in die verschiedenen Logstreams in Compute Engine. Dazu gehören:
- Der serielle Port
- Systemlogs – Windows-Ereignislog und Linux-Syslog
- Standardstreams – stdout
- Cloud Logging-Logs – Diese Logs sind nur verfügbar, wenn Cloud Logging auf der VM-Instanz aktiviert ist.
Von OS Inventory Management bereitgestellte Informationen
OS Inventory Management kann die folgenden Informationen zu dem Betriebssystem bereitstellen, das auf der VM-Instanz ausgeführt wird:
- Hostname
- LongName – der genaue Name des Betriebssystems, Beispiel:
Microsoft Windows Server 2016 Datacenter
- ShortName – die Kurzform des Betriebssystemnamens, z. B.
Windows
- Kernel-Version
- Betriebssystemarchitektur
- Betriebssystemversion
- Version des OS Config-Agent
- Letzte Aktualisierung – Ein Zeitstempel, der angibt, wann der Agent das System das letzte Mal erfolgreich gescannt und die Gastattribute mit Betriebssystem-Bestandsdaten aktualisiert hat
Installiertes Betriebssystempaket- und Anwendungsinformationen
In der folgenden Tabelle sind die Informationen zusammengefasst, die OS Inventory Management für installierte Betriebssystempakete auf Linux- und Windows-VMs bereitstellt. Außerdem werden Informationen beschrieben, die für Anwendungen zur Verfügung stehen, die unter Windows ausgeführt werden.
Betriebssystem | Paketmanager | Verfügbare Felder |
---|---|---|
Linux und Windows Server | Informationen zu installierten Paketen werden von den folgenden Paketmanagern zur Verfügung gestellt:
|
Für jedes installierte Paket werden die folgenden Informationen bereitgestellt:
|
Windows Server | Windows Update-Agent | Die folgenden Felder werden für die Windows-Updates aufgeführt:
|
Windows Server | Windows Quick Fix Engineering-Updates | Die folgenden Felder werden für die QuickFixEngineering-Updates aufgeführt:
|
Windows Server | Windows-Installationsprogramm 2 | Die folgenden Felder werden für das Windows-Installationsprogramm aufgeführt:
|
1Dieses Feld wird in der standardmäßigen Befehlszeilenausgabe von gcloud compute instances os-inventory describe
nicht angezeigt.
Damit Sie dieses Feld sehen, müssen Sie die Ausgabe im JSON-Format ansehen. Dafür fügen Sie --format=JSON
an den gcloud
-Befehl an. Weitere Informationen zur Ausgabeformatierung finden Sie in den gcloud topic formats
.
2Zum Aufrufen der Installationsoptionen für Ihre Windows-Anwendungen benötigen Sie die OS Config-Agent-Version 20210811
oder höher. Informationen zum Aufrufen der Agent-Version finden Sie unter Version des OS Config-Agents aufrufen.
Verfügbare Updateinformationen zu Betriebssystempaketen
In der folgenden Tabelle sind die Updateinformationen aufgeführt, die von OS Inventory Management für installierte Betriebssystempakete bereitgestellt werden.
Betriebssystem | Paketmanager | Verfügbare Felder |
---|---|---|
Linux und Windows Server | Informationen zu Paketupdates werden von den folgenden Paketmanagern zur Verfügung gestellt:
|
Für jedes verfügbare Paketupdate werden die folgenden Informationen bereitgestellt:
|
Windows Server | Windows Update-Agent | Die folgenden Felder werden für die Windows-Updates aufgeführt:
|
1Dieses Feld wird in der standardmäßigen Befehlszeilenausgabe von gcloud compute instances os-inventory describe
nicht angezeigt.
Damit Sie dieses Feld sehen, müssen Sie die Ausgabe im JSON-Format ansehen. Dafür fügen Sie --format=JSON
an den gcloud
-Befehl an. Weitere Informationen zur Ausgabeformatierung finden Sie in den gcloud topic formats
.
Berichte zu Sicherheitslücken
Sicherheitslücken in Software sind Schwachstellen, die entweder zu einem Systemausfall oder zu böswilligen Aktivitäten führen können. Bei VMs kann eine Sicherheitslücke ein Problem im Code oder in der Logik der Ausführung von Betriebssystempaketen oder Softwareanwendungen sein.
Sicherheitslücken, die mit installierten Betriebssystempaketen verbunden sind, werden normalerweise in einem Quell-Repository für Sicherheitslücken gespeichert. Weitere Informationen finden Sie unter Sicherheitslückenquellen. Mithilfe von OS Inventory Management können Sie Berichte zu Sicherheitslücken für Probleme mit installierten Betriebssystempaketen aufrufen.
Zum Abrufen von Daten zu Sicherheitslücken für eine VM muss VM Manager eingerichtet sein und die OS Config-Agent-Version von 20201110
oder später muss auf der VM ausgeführt werden. Weitere Informationen finden Sie unter VM-Manager einrichten.
Nachdem der OS Config-Agent eingerichtet wurde und das Inventar erfasst wird, scannt und prüft der OS Config API-Dienst die Sicherheitslückenquelle des Betriebssystems kontinuierlich auf die verfügbaren Inventardaten. Wenn in den Betriebssystempaketen eine Sicherheitslücke ermittelt wird, erstellt der Dienst einen Sicherheitslückenbericht. Ein solcher Bericht wird folgendermaßen erstellt:
- Wenn ein Paket im Betriebssystem einer VM installiert oder aktualisiert wird, können Sie davon ausgehen, dass Informationen zu Common Vulnerabilities and Exposures (CVEs) für die VM in VM Manager, Security Command Center und Cloud Asset Inventory innerhalb von zwei Stunden nach der Änderung angezeigt werden.
- Wenn neue Sicherheitswarnungen für ein Betriebssystem veröffentlicht werden, sind aktualisierte CVEs normalerweise innerhalb von 24 Stunden nach der Veröffentlichung der Warnung durch den Betriebssystemanbieter verfügbar.
Weitere Informationen finden Sie unter Berichte zu Sicherheitslücken aufrufen.
So werden Berichte zu Sicherheitslücken erstellt
VM Manager führt regelmäßig die folgenden Aufgaben aus:
- Liest die Berichte, die aus Betriebssystem-Bestandsdaten auf einer VM erfasst wurden.
- Sucht nach Klassifizierungsdaten aus der Sicherheitslückenquelle für jedes Betriebssystem und sortiert diese Daten mindestens einmal täglich nach Schweregrad (von der höchsten bis zur niedrigsten Priorität).
- Zeigt die CVE-Daten für eine VM in der Google Cloud Console an. Sie können sich die Berichte zu Sicherheitslücken auch über das Security Command Center oder Cloud Asset Inventory ansehen.
Sicherheitslückenquellen
In der folgenden Tabelle sind die Sicherheitslückenquellen aufgeführt, die für jedes Betriebssystem verwendet werden. Eine vollständige Liste der unterstützten Betriebssysteme und ihrer Versionen finden Sie unter Details zu Betriebssystemen.
Betriebssystem | Sicherheitslückenquellenpaket |
---|---|
RHEL und CentOS | https://access.redhat.com/security/data |
Debian | https://security-tracker.debian.org/tracker |
Ubuntu | https://launchpad.net/ubuntu-cve-tracker |
SLES | https://ftp.suse.com/pub/projects/security/oval/ |
Rocky Linux | –
Die Meldung von Sicherheitslücken wird auf Rocky Linux nicht unterstützt. |
Windows | Vom Microsoft Security Response Center veröffentlichte Sicherheitslückendaten. |
Datenaufbewahrung
OS Inventory- und Sicherheitslückenberichtsdaten werden gespeichert, bis die VM gelöscht wird. Wenn der OS Config-Agent jedoch aus irgendeinem Grund einige Tage lang keine Berichte mehr an den OS Config API-Dienst sendet, löscht VM Manager das verfügbare Betriebssystem-Inventar und die Sicherheitslückenberichtsdaten, die bis zu diesem Zeitpunkt erfasst wurden. Für diese VM sind keine Daten mehr verfügbar, bis der OS Config-Agent wieder ausgeführt wird.
Preise
Informationen zu Preisen finden Sie unter Preise für VM Manager.