Questa pagina fornisce una panoramica della gestione dell'inventario del sistema operativo. Per informazioni sulla configurazione e sull'utilizzo della gestione dell'inventario del sistema operativo, consulta Visualizzare i dettagli del sistema operativo.
Utilizza la gestione dell'inventario del sistema operativo per raccogliere e visualizzare i dettagli del sistema operativo per le tue istanze di macchine virtuali (VM). Questi dettagli del sistema operativo includono informazioni come nome host, sistema operativo e versione del kernel. Puoi anche ottenere informazioni sui pacchetti del sistema operativo installati, sugli aggiornamenti dei pacchetti del sistema operativo disponibili, sulle applicazioni Windows e sulle vulnerabilità del sistema operativo.
Quando utilizzare la gestione dell'inventario OS
OS Inventory Management può essere utilizzato per completare le seguenti attività:
- Identificare le VM che eseguono una versione specifica di un sistema operativo
- Visualizzare i pacchetti del sistema operativo installati su una VM
- Genera un elenco degli aggiornamenti dei pacchetti del sistema operativo disponibili per ogni VM
- Identificare pacchetti, aggiornamenti o patch del sistema operativo mancanti per una VM
- Visualizzare i report sulle vulnerabilità per una VM
Come funziona la gestione dell'inventario del sistema operativo
Quando la gestione dell'inventario del sistema operativo è abilitata, l'agente OS Config esegue una scansione dell'inventario per raccogliere i dati, quindi invia queste informazioni al server dei metadati, all'API OS Config e a vari stream di log. Questa scansione viene eseguita ogni 10 minuti sulla VM.
Per abilitare la gestione dell'inventario del sistema operativo, VM Manager deve essere configurato sulla VM. Vedi Configurare VM Manager.
Dopo aver configurato VM Manager, puoi eseguire query sugli attributi guest o sull'API OS Config per recuperare informazioni sul sistema operativo in esecuzione su una VM. Vedi Visualizzare i dettagli del sistema operativo.
Come vengono raccolti i dati del sistema operativo
Per le VM Linux, l'agente di configurazione del sistema operativo viene eseguito sulla VM e analizza il file /etc/os-release
o il file equivalente per la distribuzione Linux per raccogliere i dettagli del sistema operativo. L'agente di configurazione del sistema operativo utilizza anche gestori dei pacchetti come apt
, yum
o
GooGet per raccogliere informazioni
sui pacchetti installati e sugli aggiornamenti disponibili per l'istanza.
Per le VM Windows, l'agente di configurazione del sistema operativo utilizza le API di sistema di Windows per raccogliere i dettagli delle informazioni sul sistema operativo. L'agente Windows Update viene utilizzato anche per trovare gli aggiornamenti installati e disponibili.
Dove vengono memorizzati i dati del sistema operativo
I dati dell'inventario vengono archiviati nell'API OS Config. I contenuti per i pacchetti installati e gli aggiornamenti dei pacchetti vengono compressi utilizzando gzip per risparmiare spazio e poi codificati in base64.
Logging
Durante la raccolta e lo stoccaggio dei dati, l'agente OS Config scrive i log delle attività nei vari stream di log su Compute Engine. Queste includono:
- La porta seriale
- Log di sistema: log eventi di Windows e syslog di Linux
- Stream standard - stdout
- Log di Cloud Logging: questi log sono disponibili solo se Cloud Logging è abilitato nell'istanza VM.
Informazioni fornite dalla gestione dell'inventario del sistema operativo
La gestione dell'inventario del sistema operativo può fornire le seguenti informazioni sul sistema operativo in esecuzione nell'istanza VM:
- Nome host
- LongName: il nome dettagliato del sistema operativo. Ad esempio,
Microsoft Windows Server 2016 Datacenter
. - ShortName: la forma abbreviata del nome del sistema operativo. Ad esempio,
Windows
. - Versione kernel
- Architettura del sistema operativo
- Versione sistema operativo
- Versione agente OS Config
- Aggiornamento più recente: un timestamp dell'ultima volta che l'agente ha eseguito la scansione del sistema e aggiornato gli attributi degli ospiti con i dati dell'inventario del sistema operativo.
Informazioni sul pacchetto del sistema operativo e sulle applicazioni installate
La tabella seguente riassume le informazioni fornite da OS Inventory Management per i pacchetti del sistema operativo installati sulle VM Linux e Windows. Inoltre, illustra le informazioni disponibili per le applicazioni in esecuzione su Windows.
Sistema operativo | Gestore pacchetti | Campi disponibili |
---|---|---|
Linux e Windows Server | Le informazioni sui pacchetti installati sono disponibili nei seguenti gestori dei pacchetti:
|
Per ogni pacchetto installato vengono fornite le seguenti informazioni:
|
Windows Server | Agente di aggiornamento di Windows | Per gli
aggiornamenti di Windows sono elencati i seguenti campi:
|
Windows Server | Aggiornamenti di Windows Quick Fix Engineering | I seguenti campi sono elencati per gli
aggiornamenti di QuickFixEngineering
|
Windows Server | Windows Installer 2 | Per il
Windows Installer sono elencati i seguenti campi:
|
1Questo campo è nascosto nell'output della riga di comando gcloud compute instances os-inventory describe
predefinito.
Per visualizzare questo campo, devi visualizzare l'output in formato JSON. Per visualizzare l'output in formato JSON, aggiungi --format=JSON
al comando gcloud
. Per ulteriori informazioni sulla formattazione dell'output, consulta gcloud topic formats
.
2 Per visualizzare le proprietà del programma di installazione per le applicazioni Windows, è necessaria la versione 20210811
o successiva dell'agente OS Config. Per visualizzare la versione dell'agente, consulta
Visualizzare la versione dell'agente OS Config.
Informazioni sugli aggiornamenti dei pacchetti del sistema operativo disponibili
La seguente tabella riassume le informazioni sugli aggiornamenti fornite da OS Inventory Management per i pacchetti del sistema operativo installati.
Sistema operativo | Gestore pacchetti | Campi disponibili |
---|---|---|
Linux e Windows Server | Le informazioni sugli aggiornamenti dei pacchetti sono disponibili nei seguenti gestori di pacchetti:
|
Per ogni aggiornamento del pacchetto disponibile vengono fornite le seguenti informazioni:
|
Windows Server | Agente di aggiornamento di Windows | Per gli
aggiornamenti di Windows sono elencati i seguenti campi:
|
1Questo campo è nascosto nell'output della riga di comando gcloud compute instances os-inventory describe
predefinito.
Per visualizzare questo campo, devi visualizzare l'output in formato JSON. Per visualizzare l'output in formato JSON, aggiungi --format=JSON
al comando gcloud
. Per ulteriori informazioni sulla formattazione dell'output, consulta gcloud topic formats
.
Report sulle vulnerabilità
Le vulnerabilità del software sono debolezze che possono causare un guasto accidentale del sistema o attività dannose. Per le VM, una vulnerabilità può essere un problema nel codice o nella logica di funzionamento dei pacchetti del sistema operativo o delle applicazioni software.
Le vulnerabilità associate ai pacchetti del sistema operativo installati vengono normalmente archiviate in un repository delle origini delle vulnerabilità. Per ulteriori informazioni su queste origini di vulnerabilità, consulta Origini di vulnerabilità. Puoi utilizzare la gestione dell'inventario del sistema operativo per visualizzare i report sulle vulnerabilità relativi ai problemi con i pacchetti del sistema operativo installati.
Per ottenere i dati sulle vulnerabilità di una VM, è necessario configurare VM Manager e deve essere in esecuzione sulla VM l'agente OS Config versione 20201110
o successive. Consulta
Configurare VM Manager.
Dopo aver configurato l'agente OS Config e generato l'inventario, il servizio API OS Config analizza e controlla continuamente l'origine della vulnerabilità del sistema operativo in base ai dati di inventario disponibili. Quando viene rilevata una vulnerabilità nei pacchetti del sistema operativo, il servizio genera un report sulle vulnerabilità. Questi report vengono generati nel seguente modo:
- Quando un pacchetto viene installato o aggiornato nel sistema operativo di una VM, puoi aspettarti di visualizzare le informazioni sulle vulnerabilità e le esposizioni comuni (CVE) per la VM in VM Manager, Security Command Center e Cloud Asset Inventory entro due ore dalla modifica.
- Quando vengono pubblicati nuovi avvisi sulla sicurezza per un sistema operativo, le CVE aggiornate sono normalmente disponibili entro 24 ore dalla pubblicazione dell'avviso da parte del fornitore del sistema operativo.
Per visualizzare questi report sulle vulnerabilità, consulta Visualizzare i report sulle vulnerabilità.
Come vengono generati i report sulle vulnerabilità
VM Manager completa periodicamente le seguenti attività:
- Legge i report raccolti da dati di inventario del sistema operativo su una VM.
- Esegue la ricerca dei dati di classificazione dell'origine della vulnerabilità per ogni sistema operativo e li ordina in base alla gravità (dalla più alta alla più bassa), almeno una volta al giorno.
- Mostra i dati CVE per una VM nella console Google Cloud. Puoi anche visualizzare i report sulle vulnerabilità utilizzando Security Command Center o Cloud Asset Inventory.
Origini delle vulnerabilità
La tabella seguente riassume l'origine della vulnerabilità utilizzata per ciascun sistema operativo. Per un elenco completo dei sistemi operativi supportati e delle relative versioni, consulta Dettagli del sistema operativo.
Sistema operativo | Pacchetto di origine della vulnerabilità |
---|---|
RHEL e CentOS | https://access.redhat.com/security/data |
Debian | https://security-tracker.debian.org/tracker |
Ubuntu | https://launchpad.net/ubuntu-cve-tracker |
SLES | https://ftp.suse.com/pub/projects/security/oval/ |
Rocky Linux | N/D
La generazione di report sulle vulnerabilità non è supportata su Rocky Linux. |
Windows | Dati sulle vulnerabilità pubblicati dal Microsoft Security Response Center. |
Conservazione dei dati
I dati dei report sull'inventario e sulle vulnerabilità del sistema operativo vengono archiviati fino all'eliminazione della VM. Tuttavia, se per qualsiasi motivo l'agente OS Config smette di inviare report al servizio API OS Config per alcuni giorni, VM Manager elimina i dati disponibili dell'inventario del sistema operativo e dei report sulle vulnerabilità raccolti fino a quel momento. Nessun dato sarà disponibile per la VM finché l'agente OS Config non riprende a funzionare.
Prezzi
Per informazioni sui prezzi, consulta Prezzi di VM Manager.
Passaggi successivi
- Utilizza lo strumento di gestione dell'inventario del sistema operativo per visualizzare i dettagli del sistema operativo.