OS Inventory Management

Cette page présente la fonctionnalité de gestion de l'inventaire du système d'exploitation Pour plus d'informations sur la configuration et l'utilisation de la fonctionnalité de gestion de l'inventaire du système d'exploitation, consultez la section Afficher les informations des systèmes d'exploitation.

L'outil de gestion de l'inventaire du système d'exploitation permet de collecter et d'afficher les informations du système d'exploitation de vos instances de machine virtuelle (VM). Ces informations détaillées sur le système d'exploitation incluent par exemple le nom d'hôte, le système d'exploitation et la version du noyau. Vous pouvez également obtenir des informations sur les packages de système d'exploitation installés, les mises à jour des packages OS disponibles, les applications Windows et les failles du système d'exploitation.

Cas d'utilisation de la gestion de l'inventaire du système d'exploitation

La gestion de l'inventaire du système d'exploitation peut être utilisée pour effectuer les tâches suivantes :

  • Identifier les VM qui exécutent une version spécifique d'un système d'exploitation.
  • Afficher les packages de système d'exploitation installés sur une VM
  • Générer une liste des mises à jour de package de système d'exploitation disponibles pour chaque VM
  • Identifier les packages, mises à jour ou correctifs manquants de système d'exploitation pour une VM
  • Afficher les rapports de failles d'une VM

Fonctionnement de la gestion de l'inventaire du système d'exploitation

Lorsque la gestion de l'inventaire du système d'exploitation est activée, l'agent de configuration du système d'exploitation exécute une analyse d'inventaire pour collecter des données, puis envoie ces informations au serveur de métadonnées, à l'API OS Config et à divers flux de journaux. Cette analyse s'exécute toutes les 10 minutes sur l'instance de VM.

Pour activer OS Inventory Management, VM Manager doit être configuré sur la VM. Consultez la section Configurer VM Manager.

Après avoir configuré VM Manager, vous pouvez interroger les attributs d'invité ou l'API OS Config pour récupérer des informations sur le système d'exploitation qui s'exécute sur une VM. Voir la page Consulter les informations détaillées du système d'exploitation.

Fonctionnement de la collecte des données du système d'exploitation

Pour les VM Linux, l'agent de configuration du système d'exploitation s'exécute sur la VM et analyse le fichier /etc/os-release ou le fichier équivalent pour la distribution Linux afin de recueillir des informations sur le système d'exploitation. L'agent de configuration du système d'exploitation utilise également des gestionnaires de packages tels que apt, yum ou GooGet afin de collecter des informations sur les packages installés et les mises à jour disponibles pour l'instance.

Pour les VM Windows, l'agent OS Config utilise les API système Windows pour collecter les informations détaillées sur le système d'exploitation. L'agent Windows Update permet également de rechercher les mises à jour installées et disponibles.

Emplacement de stockage des données du système d'exploitation

Les données d'inventaire sont stockées dans l'API OS Config. Le contenu et les mises à jour des packages installés sont compressés à l'aide de gzip, puis encodés en base64 pour économiser de l'espace.

Logging

Lors de la collecte et du stockage des données, l'agent de configuration du système d'exploitation écrit les journaux d'activité dans les différents flux de journaux Compute Engine, y compris :

  • Le port série
  • Les journaux système : journal des événements Windows et Linux Syslog
  • Les flux standard : stdout
  • Journaux de Cloud Logging : ces journaux ne sont disponibles que si Cloud Logging est activé sur l'instance de VM.

Informations fournies par la fonctionnalité de gestion de l'inventaire du système d'exploitation

La fonctionnalité de gestion de l'inventaire du système d'exploitation peut fournir les informations suivantes sur le système d'exploitation en cours d'exécution sur votre instance de VM :

  • Nom d'hôte
  • LongName : nom détaillé du système d'exploitation. Par exemple, Microsoft Windows Server 2016 Datacenter.
  • ShortName : forme abrégée du nom du système d'exploitation. Par exemple, Windows.
  • Version de noyau
  • Architecture du système d'exploitation
  • Version d'OS
  • Version de l'agent de configuration du système d'exploitation
  • Dernière mise à jour : horodatage de la dernière fois où l'agent a complété l'analyse du système et mis à jour les attributs invités avec les données d'inventaire du système d'exploitation.

Informations sur le package du système d'exploitation installé et l'application

Le tableau suivant résume les informations fournies par OS inventory management pour les packages de système d'exploitation installés sur des VM Linux et Windows. Il présente également les informations disponibles pour les applications exécutées sous Windows.

Système d'exploitation Gestionnaire de packages Champs disponibles
Serveurs Linux et Windows Les informations sur les packages installés sont disponibles à partir des gestionnaires de packages suivants :
  • RPM pour Red Hat Enterprise Linux (RHEL)
  • DEB pour Debian et Ubuntu
  • GooGet pour Windows Server
Les informations suivantes sont fournies pour chaque package installé :
  • Nom du package
  • Architecture
  • Version
Windows Server Agent Windows Update Les champs suivants sont répertoriés pour les mises à jour Windows:
  • Titre
  • Description
  • Catégories
  • ID de catégories1
  • KBArticleIDs
  • SupportURL
  • ID de mise à jour1
  • Numéro de la révision1
  • LastDeploymentChangeTime
Windows Server Mises à jour des solutions rapides d'ingénierie Windows Les champs suivants sont répertoriés pour les mises à jour QuickFixEngineering
     :
  • Légende
  • Description
  • HotFixID
  • InstalledOn
Windows Server Windows (programme d'installation)2 Les champs suivants sont répertoriés pour le programme d'installation Windows :
  • DisplayName
  • DisplayVersion
  • Éditeur
  • InstallDate
  • HelpLink

1 Ce champ est masqué par défaut dans le résultat de la ligne de commande gcloud compute instances os-inventory describe. Pour afficher ce champ, vous devez afficher le résultat au format JSON. Pour afficher le résultat au format JSON, ajoutez --format=JSON à la commande gcloud. Pour en savoir plus sur la mise en forme des résultats, consultez la page gcloud topic formats.

2 Pour afficher les propriétés du programme d'installation de vos applications Windows, vous devez disposer de l'agent OS Config version 20210811 ou ultérieure. Pour afficher la version de l'agent, consultez la page Afficher la version de l'agent OS Config.

Informations sur la mise à jour du package de système d'exploitation disponible

Le tableau suivant récapitule les informations fournies par OS Inventory Management sur les packages de système d'exploitation installés.

Système d'exploitation Gestionnaire de packages Champs disponibles
Serveurs Linux et Windows Les informations de mise à jour de package sont disponibles auprès des gestionnaires de packages suivants :
  • Yum pour Red Hat Enterprise Linux (RHEL)
  • Apt pour Debian et Ubuntu
  • GooGet pour Windows Server
Pour chaque mise à jour de package disponible, les informations suivantes sont fournies :
  • Nom du package
  • Architecture
  • Version
Windows Server Agent Windows Update Les champs suivants sont répertoriés pour les mises à jour Windows:
  • Titre
  • Description
  • Catégories
  • ID de catégories1
  • KBArticleIDs
  • SupportURL
  • ID de mise à jour1
  • Numéro de la révision1
  • LastDeploymentChangeTime

1 Ce champ est masqué par défaut dans le résultat de la ligne de commande gcloud compute instances os-inventory describe. Pour afficher ce champ, vous devez afficher le résultat au format JSON. Pour afficher le résultat au format JSON, ajoutez --format=JSON à la commande gcloud. Pour en savoir plus sur la mise en forme des résultats, consultez la page gcloud topic formats.

Rapports de failles

Les failles logicielles sont des vulnérabilités pouvant entraîner une défaillance accidentelle du système ou une activité malveillante. Pour les VM, une faille peut être un problème dans le code ou dans la logique de fonctionnement, soit au niveau des packages de système d'exploitation, soit au niveau des applications logicielles.

Les failles associées aux packages de système d'exploitation installés sont généralement stockées dans un dépôt de sources de failles. Pour en savoir plus sur ces sources de failles, consultez la section Sources de failles. Vous pouvez utiliser OS Inventory Management pour afficher les rapports sur les failles concernant les problèmes liés aux packages du système d'exploitation installés.

Pour obtenir des données sur les failles d'une VM, VM Manager doit être configuré, et la version de l'agent OS Config datée du 20201110 ou ultérieure doit être en cours d'exécution sur la VM. Consultez la section Configurer VM Manager.

Une fois que l'agent OS Config est configuré et génère des rapports sur l'inventaire, le service de l'API OS Config analyse et vérifie en permanence la source des failles du système d'exploitation pour vérifier les données d'inventaire disponibles. Lorsqu'une faille est détectée dans les packages de système d'exploitation, le service génère un rapport de faille. Ces rapports sont générés comme suit :

  • Lorsqu'un package est installé ou mis à jour dans le système d'exploitation d'une VM, vous pouvez vous attendre à voir les informations sur les failles et risques courants (CVE) de la VM dans VM Manager, Security Command Center et l'inventaire des éléments cloud dans un délai de deux heures après la modification.
  • Lorsque de nouveaux avis de sécurité sont publiés pour un système d'exploitation, les failles CVE mises à jour sont généralement disponibles dans les 24 heures suivant la publication de l'avis par le fournisseur du système d'exploitation.

Pour afficher ces rapports de failles, consultez Afficher les rapports de failles.

Comment les rapports de failles sont-ils générés ?

VM Manager effectue régulièrement les tâches suivantes:

  1. Il lit les rapports collectés à partir des données d'inventaire du système d'exploitation sur une VM.
  2. Il analyse les données de classification à partir de la source de la faille pour chaque système d'exploitation, et les classe en fonction de leur niveau de gravité (du plus élevé au plus faible), au moins une fois par jour.
  3. Affiche les données CVE d'une VM sur la console Google Cloud. Vous pouvez également afficher les rapports de failles à l'aide de Security Command Center ou de Cloud Asset Inventory.

Sources de failles

Le tableau suivant récapitule la source de la faille utilisée pour chaque système d'exploitation. Pour obtenir la liste complète des systèmes d'exploitation compatibles et de leurs versions, consultez la page Détails des systèmes d'exploitation.

Système d'exploitation Package de la source de la faille
RHEL et CentOS https://access.redhat.com/security/data
Debian https://security-tracker.debian.org/tracker
Ubuntu https://launchpad.net/ubuntu-cve-tracker
SLES https://ftp.suse.com/pub/projects/security/oval/
Rocky Linux N/A

Les rapports de failles ne sont pas compatibles avec Rocky Linux.

Windows Données sur les failles publiées par le Microsoft Security Response Center.

Conservation des données

Les données d'inventaire et de rapports de failles du système d'exploitation sont stockées jusqu'à la suppression de la VM. Toutefois, si pour une raison quelconque l'agent OS Config cesse de créer des rapports pour le service d'API OS Config pendant quelques jours, VM Manager supprime les données de rapport d'inventaire et de failles disponibles pendant ce laps de temps. Aucune donnée ne sera disponible pour cette VM tant que l'agent OS Config ne redémarrera pas.

Tarifs

Pour en savoir plus sur la tarification, consultez la page des tarifs de VM Manager.

Étape suivante