Visualizzare i report sui criteri del sistema operativo

Dopo che VM Manager ha applicato un'assegnazione dei criteri del sistema operativo a un'istanza di macchina virtuale (VM), viene generato un report sull'assegnazione dei criteri del sistema operativo. Il report contiene lo stato di conformità di tutti i criteri del sistema operativo applicati a una VM specifica per una determinata assegnazione dei criteri del sistema operativo.

Questo documento descrive le seguenti attività:

Prima di iniziare

  • Esamina le quote di OS Config.
  • Se non l'hai ancora fatto, configura l'autenticazione. L'autenticazione è la procedura mediante la quale la tua identità viene verificata per l'accesso alle API e ai servizi Google Cloud. Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su Compute Engine selezionando una delle seguenti opzioni:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init
    2. Set a default region and zone.
    3. REST

      Per utilizzare gli esempi dell'API REST in questa pagina in un ambiente di sviluppo locale, utilizza le credenziali fornite a gcloud CLI.

        Install the Google Cloud CLI, then initialize it by running the following command:

        gcloud init

      Per saperne di più, consulta Eseguire l'autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.

Ruoli e autorizzazioni richiesti

Per ottenere le autorizzazioni necessarie per visualizzare i dati relativi alla conformità ai criteri del sistema operativo, chiedi all'amministratore di concederti i seguenti ruoli IAM:

  • Visualizza il riepilogo della conformità ai criteri del sistema operativo per le VM in un'organizzazione o una cartella:
  • Visualizza i report sull'assegnazione dei criteri del sistema operativo per le VM in un progetto: OSPolicyAssignmentReport Viewer (roles/osconfig.osPolicyAssignmentReportViewer) nel progetto

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per visualizzare i dati relativi alla conformità ai criteri del sistema operativo. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per visualizzare i dati relativi alla conformità ai criteri del sistema operativo sono necessarie le seguenti autorizzazioni:

  • Visualizza il riepilogo della conformità ai criteri del sistema operativo per le VM in un'organizzazione o una cartella:
    • osconfig.osPolicyAssignmentReports.searchSummaries
    • osconfig.osPolicyAssignments.searchPolicies
    • resourcemanager.projects.get
    • resourcemanager.projects.list

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Visualizza il riepilogo della conformità ai criteri del sistema operativo per tutte le VM in un'organizzazione o una cartella

Puoi visualizzare il riepilogo della conformità alle norme del sistema operativo per tutte le VM di un'organizzazione o di una cartella utilizzando la console Google Cloud.

VM Manager mostra il riepilogo della conformità ai criteri del sistema operativo solo per i progetti che soddisfano uno dei seguenti requisiti:

  • Contiene una o più VM su cui VM Manager è abilitato e in esecuzione.
  • Contiene una o più VM su cui VM Manager era in esecuzione negli ultimi 7 giorni e sono disponibili i dati relativi alla conformità ai criteri del sistema operativo.

Per visualizzare i dati relativi alla conformità ai criteri del sistema operativo:

  1. Nella console Google Cloud, vai alla pagina Compute Engine > Gestione VM > Criteri del sistema operativo.

    Vai ai criteri del sistema operativo

  2. Nell'elenco a discesa del progetto nella parte superiore della console Google Cloud, seleziona l'organizzazione o la cartella per cui vuoi visualizzare il riepilogo della conformità ai criteri del sistema operativo.

  3. Utilizza le seguenti opzioni per visualizzare i dati relativi alla conformità ai criteri del sistema operativo:

    1. Per visualizzare il riepilogo della conformità ai criteri del sistema operativo per progetto, fai clic sulla scheda Progetti.
    2. Per visualizzare il riepilogo della conformità ai criteri del sistema operativo per criterio, fai clic sulla scheda Criteri del sistema operativo.
  4. (Facoltativo) Specifica i criteri per il calcolo del riepilogo della conformità ai criteri del sistema operativo utilizzando Query Builder.

  5. Esamina il riepilogo della conformità ai criteri del sistema operativo per le VM. La tabella nella scheda Progetti include una riga per ogni progetto, come mostrato nella figura seguente:

    Riepilogo dei criteri del sistema operativo per tutti i progetti.

    La tabella elenca le seguenti informazioni che soddisfano i criteri specificati nel generatore di query:

    • Project (Progetto): il nome dei progetti nell'organizzazione che contengono almeno una VM e in cui è abilitato VM Manager.
    • VM totali: numero totale di VM in ogni progetto.
    • VM monitorate: numero di VM nel progetto per le quali l'agente VM Manager è abilitato e in fase di analisi per verificare la conformità ai criteri.
    • VM con criterio: numero di VM con almeno un criterio assegnato.
    • Conforme: numero di VM con tutti i criteri assegnati segnalati come COMPLIANT.
    • Non conforme: numero di VM con almeno un criterio assegnato segnalato come NON-COMPLIANT.
    • Sconosciuto: numero di VM con almeno un criterio assegnato segnalato come UNKNOWN e nessun criterio segnalato come NON-COMPLIANT. Lo stato UNKNOWN è dovuto a uno dei seguenti motivi:
      • La VM non è in esecuzione.
      • L'agente VM Manager non è abilitato per la VM.
      • Si è verificato un errore durante la procedura.
    • Nessun report: numero di VM con criteri assegnati, ma nessun report sulla conformità dei criteri è stato trovato per uno dei seguenti motivi:
      • L'agente VM Manager non è abilitato per la VM.
      • La verifica della conformità è in corso. Il report non è ancora pronto.
  6. (Facoltativo) Applica i filtri della tabella se vuoi visualizzare righe specifiche nella tabella di riepilogo della conformità ai criteri del sistema operativo.

    Filtro della tabella nella tabella di riepilogo delle norme.

    Ad esempio, se vuoi visualizzare il riepilogo della conformità ai criteri del sistema operativo per i progetti con più di 10 VM, imposta l'opzione di filtro VM totali su >= 10.

  7. (Facoltativo) Fai clic sul numero di VM per visualizzare ulteriori dettagli sulle VM in un determinato stato. Ad esempio, facendo clic sul numero di VM per un determinato progetto nella colonna Sconosciuto si apre la scheda Istanze VM con un elenco di criteri del sistema operativo sconosciuti per ogni VM del progetto.

    Scheda Istanze VM con criteri del sistema operativo sconosciuti.

    Per ulteriori informazioni, consulta Visualizzare i report sull'assegnazione dei criteri del sistema operativo.

Utilizzare Query Builder per filtrare i dati relativi alla conformità ai criteri del sistema operativo

In base ai criteri specificati in Query Builder, VM Manager visualizza i dati sulla conformità ai criteri del sistema operativo per le VM nei progetti della tua organizzazione o cartella. Puoi quindi utilizzare i filtri della tabella nella tabella Conformità ai criteri del sistema operativo per filtrare i dati visualizzati.

Ad esempio, quando imposti l'attributo OS in Query Builder come Debian, VM Manager mostra i dati relativi alla conformità ai criteri del sistema operativo per le VM con sistema operativo Debian. Se vuoi visualizzare i dati sulla conformità di un progetto specifico, utilizza il filtro della tabella per specificare l'ID progetto.

Query Builder con un attributo.

Per impostare una query in Query Builder nella scheda Progetti, segui questi passaggi:

  1. Seleziona un attributo. Lo strumento per la creazione di query supporta i seguenti attributi:

    • OS: specifica i nomi brevi dei sistemi operativi, ad esempio Windows o Debian.
    • Versione sistema operativo: specifica la versione del sistema operativo. Ad esempio, 21.04 o 10.0.22000. Puoi specificare un asterisco singolo (*) alla fine della stringa della versione del sistema operativo per indicare una corrispondenza parziale, ad esempio 10*.
    • VM in esecuzione: specifica se vuoi visualizzare il riepilogo delle patch per le VM in stato RUNNING.
    • Impronta del criterio: specifica l'impronta del criterio univoca per il criterio del sistema operativo. Quando imposti questo attributo, VM Manager calcola il riepilogo della conformità solo per i criteri del sistema operativo con l'impronta specificata.
    • Stato della conformità: specifica uno degli stati di conformità per il criterio:
      • COMPLIANT: VM con tutti i criteri assegnati segnalati come COMPLIANT
      • NON-COMPLIANT: VM con almeno un criterio assegnato segnalato come NON-COMPLIANT
      • UNKNOWN: VM con almeno un criterio assegnato segnalato come UNKNOWN
  2. Scegli uno degli attributi e specifica un valore per l'attributo. Ad esempio, se vuoi visualizzare il riepilogo delle patch per le VM con un sistema operativo specifico, seleziona OS. Viene visualizzato un elenco di operatori di confronto tra cui scegliere.

    1. Seleziona un operatore, ad esempio ==.
    2. Nel campo Valore, specifica il valore di confronto. Ad esempio Debian.
  3. Per aggiungere un altro attributo, fai clic su Aggiungi condizione.

  4. Fai clic su Cerca.

Visualizzare i report sull'assegnazione dei criteri del sistema operativo

Per visualizzare i report sulle assegnazioni dei criteri del sistema operativo, puoi utilizzare la console Google Cloud, Google Cloud CLI o REST.

Utilizza questa procedura per visualizzare un elenco di report di assegnazione dei criteri del sistema operativo per una località specificata.

Console

  1. Se utilizzi i Controlli di servizio VPC per proteggere i tuoi servizi, aggiungi il servizio Cloud Asset Inventory all'elenco dei servizi consentiti. Per maggiori informazioni, consulta Servizi accessibili da VPC.

  2. Nella console Google Cloud, vai alla pagina Norme del sistema operativo > Istanze VM.

    Vai a Istanze VM

    Visualizza la conformità delle VM.

gcloud

Per visualizzare un elenco di report sulle assegnazioni dei criteri del sistema operativo, utilizza il comando os-config os-policy-assignment-reports list.

Per visualizzare tutti i report di assegnazione dei criteri del sistema operativo per una località specifica, esegui il seguente comando. Sostituisci ZONE con la zona in cui si trovano le VM.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE

Comando ed output di esempio (tutte le VM)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a

INSTANCE                   ASSIGNMENT_ID                   LOCATION       UPDATE_TIME                  SUMMARY
centos7                    my-test-assignment1             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
centos7                    my-test-assignment2             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                     my-test-assignment1             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
rhel-8                     my-test-assignment2             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos                  my-test-assignment1             us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos                  my-test-assignment2             us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant
deb-10                     my-test-assignment2             us-central1-a  2021-11-02T19:00:11.777748Z  0/1 policies compliant
windows                    my-test-assignment2             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
windows                    my-test-assignment3             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
sles15                     my-test-assignment2             us-central1-a  2021-11-02T18:38:07.335276Z  0/1 policies compliant

Puoi anche utilizzare flag facoltativi come --instance o --assignment-id per filtrare i risultati.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE \
    [--instance=VM_NAME | --assignment-id=ASSIGNMENT_ID]

Sostituisci quanto segue:

  • ZONE: la zona in cui si trova la VM
  • (Facoltativo) Fornisci uno dei seguenti elementi:
    • VM_NAME: il nome o l'ID della VM per cui vuoi visualizzare i report sull'assegnazione dei criteri del sistema operativo
    • ASSIGNMENT_ID: l'ID dell'assegnazione dei criteri del sistema operativo per cui vuoi visualizzare i report sull'assegnazione dei criteri del sistema operativo

Comando e output di esempio (VM specifica)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --instance=my-centos

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos               my-test-assignment2         us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant

Comando e output di esempio (assegnazione specifica)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --assignment-id=my-test-assignment1

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
centos7                 my-test-assignment1         us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                  my-test-assignment1         us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant

REST

Nell'API, crea una richiesta GET al metodo projects.locations.osPolicyAssignments.reports.list.

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report

Sostituisci quanto segue:

  • PROJECT_ID: il tuo ID progetto
  • ZONE: la zona in cui si trovano le VM
  • Facoltativo. Fornisci uno dei seguenti dati:
    • VM_NAME: il nome o l'ID della VM per cui vuoi visualizzare i report sull'assegnazione dei criteri del sistema operativo. Se non è obbligatorio, utilizza un - per il valore.
    • ASSIGNMENT_ID: l'ID dell'assegnazione dei criteri del sistema operativo per cui vuoi visualizzare i report. Se non è obbligatorio, utilizza - per il valore.

Esempi:

  • Per visualizzare i report per tutte le VM nel progetto my-project-12345 e nella zona us-central1-a, utilizza il seguente URI:
    projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/-/report
  • Per visualizzare i report per la VM my-test-vm nel progetto my-project-12345 e situata nella zona us-central1-a, utilizza il seguente URI:
    projects/my-project-12345/locations/us-central1-a/instances/my-test-vm/osPolicyAssignments/-/report
  • Per visualizzare i report per tutte le VM del progetto my-project-12345 e della zona us-central1-a che hanno l'assegnazione del criterio del sistema operativo my-test-assignment, utilizza il seguente URI:
    projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/my-test-assignment/report

Esaminare un report sull'assegnazione dei criteri del sistema operativo

Utilizza questa procedura per visualizzare una panoramica dettagliata di un report di assegnazione dei criteri del sistema operativo associato a una VM specifica.

Console

  1. Se utilizzi i Controlli di servizio VPC per proteggere i tuoi servizi, aggiungi il servizio Cloud Asset Inventory all'elenco dei servizi consentiti. Per maggiori informazioni, consulta Servizi accessibili da VPC.

  2. Nella console Google Cloud, vai alla pagina Norme del sistema operativo > Istanze VM.

    Vai alla console Google Cloud

  3. Per visualizzare il report sull'assegnazione dei criteri del sistema operativo per una VM specifica, fai clic sul nome della VM.

    Visualizza la conformità delle VM.

  4. Esamina i campi State (Stato), State reason (Motivo stato) e Logs (Log). Il campo Log fornisce un link alla dashboard di Cloud Logging, dove puoi accedere ai log di debug per l'agente OS Config in esecuzione sulla VM.

    Per risolvere questi problemi, puoi anche esaminare i log relativi al criterio del sistema operativo e apportare gli aggiornamenti necessari. Per controllare i log, consulta la sezione Risoluzione dei problemi di VM Manager.

gcloud

  1. Per visualizzare il report sull'assegnazione dei criteri del sistema operativo per una VM specifica, utilizza il comando os-config os-policy-assignment-reports describe.

    gcloud compute os-config os-policy-assignment-reports describe OS_POLICY_ASSIGNMENT_ID \
        --instance=VM_NAME \
        --location=ZONE
    

    Sostituisci quanto segue:

    • OS_POLICY_ASSIGNMENT_ID: l'ID dell'assegnazione del criterio OS che vuoi esaminare per la VM specificata
    • VM_NAME: il nome o l'ID della VM per cui vuoi visualizzare il report sull'assegnazione dei criteri del sistema operativo
    • ZONE: la zona in cui si trova la VM

    Esempio

    gcloud compute os-config os-policy-assignment-reports describe my-test-assignment1 \
        --instance=centos7 \
        --location=us-central1-a
    

    Output

    instance: centos7
    lastRunId: 96a61b92-3e14-4155-a3e8-dd66520f49ae
    name: projects/1234578882888/locations/us-central1-a/instances/29255009728795105/osPolicyAssignments/my-test-assignment1/report
    osPolicyAssignment: projects/1234578882888/locations/us-central1-a/osPolicyAssignments/my-test-assignment1t@3428384d-fa61-478e-b7e2-3d5fae74bea3
    osPolicyCompliances:
    – complianceState: UNKNOWN
      complianceStateReason: os-policies-not-supported-by-agent
      osPolicyId: setup-repo-and-install-package-policy
      osPolicyResourceCompliances:
      – complianceState: UNKNOWN
        complianceStateReason: os-policy-execution-attempt-failed
        osPolicyResourceId: setup-repo
      – complianceState: UNKNOWN
        complianceStateReason: os-policy-execution-attempt-failed
        osPolicyResourceId: install-pkg
    updateTime: '2021-11-02T19:14:34.314831Z'
    
  2. Esamina i complianceState e l'complianceStateReason.

    Per risolvere questi problemi, puoi anche esaminare i log per il criterio del sistema operativo e apportare gli aggiornamenti necessari. Per controllare i log, consulta la sezione Risoluzione dei problemi di VM Manager.

REST

  1. Nell'API, crea una richiesta GET al metodo projects.locations.osPolicyAssignments.reports.get.

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
    

    Sostituisci quanto segue:

    • PROJECT_ID: il tuo ID progetto
    • ZONE: la zona in cui si trova la VM
    • VM_NAME: il nome o l'ID della VM per cui vuoi visualizzare il report sull'assegnazione dei criteri del sistema operativo
    • OS_POLICY_ASSIGNMENT_ID: l'ID dell'assegnazione del criterio del sistema operativo per cui vuoi visualizzare il report
  2. Esamina i complianceState e l'complianceStateReason.

    Per risolvere questi problemi, puoi anche esaminare i log per il criterio del sistema operativo e apportare gli aggiornamenti necessari. Per controllare i log, consulta la sezione Risoluzione dei problemi di VM Manager.

Passaggi successivi