Dopo che VM Manager ha applicato un'assegnazione dei criteri del sistema operativo a un'istanza di macchina virtuale (VM), viene generato un report sull'assegnazione dei criteri del sistema operativo. Il report contiene lo stato di conformità di tutti i criteri del sistema operativo applicati a una VM specifica per una determinata assegnazione dei criteri del sistema operativo.
Questo documento descrive le seguenti attività:
- Visualizza il report sulla conformità ai criteri del sistema operativo per tutte le VM in un'organizzazione o una cartella.
- Visualizza i report sull'assegnazione dei criteri del sistema operativo per tutte le VM in una zona specifica. Questo è utile per fornire una panoramica dello stato di conformità in una zona specifica. Vedi Visualizzare i report sull'assegnazione dei criteri del sistema operativo.
- Esamina l'assegnazione dei criteri del sistema operativo per una VM specifica. Questa opzione è utile per esaminare lo stato di conformità di una VM specifica. Consulta Esaminare un report sull'assegnazione dei criteri del sistema operativo.
Prima di iniziare
- Esamina le quote di OS Config.
-
Se non l'hai ancora fatto, configura l'autenticazione.
L'autenticazione è la procedura mediante la quale la tua identità viene verificata per l'accesso alle API e ai servizi Google Cloud.
Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su Compute Engine selezionando una delle seguenti opzioni:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
-
Visualizza il riepilogo della conformità ai criteri del sistema operativo per le VM in un'organizzazione o una cartella:
-
OSPolicyAssignmentReport Viewer (
roles/osconfig.osPolicyAssignmentReportViewer
) nell'organizzazione o nella cartella -
OSPolicyAssignment Viewer (
roles/osconfig.osPolicyAssignmentViewer
) nell'organizzazione o nella cartella
-
OSPolicyAssignmentReport Viewer (
-
Visualizza i report sull'assegnazione dei criteri del sistema operativo per le VM in un progetto:
OSPolicyAssignmentReport Viewer (
roles/osconfig.osPolicyAssignmentReportViewer
) nel progetto -
Visualizza il riepilogo della conformità ai criteri del sistema operativo per le VM in un'organizzazione o una cartella:
-
osconfig.osPolicyAssignmentReports.searchSummaries
-
osconfig.osPolicyAssignments.searchPolicies
-
resourcemanager.projects.get
-
resourcemanager.projects.list
-
- Contiene una o più VM su cui VM Manager è abilitato e in esecuzione.
- Contiene una o più VM su cui VM Manager era in esecuzione negli ultimi 7 giorni e sono disponibili i dati relativi alla conformità ai criteri del sistema operativo.
Nella console Google Cloud, vai alla pagina Compute Engine > Gestione VM > Criteri del sistema operativo.
Nell'elenco a discesa del progetto nella parte superiore della console Google Cloud, seleziona l'organizzazione o la cartella per cui vuoi visualizzare il riepilogo della conformità ai criteri del sistema operativo.
Utilizza le seguenti opzioni per visualizzare i dati relativi alla conformità ai criteri del sistema operativo:
- Per visualizzare il riepilogo della conformità ai criteri del sistema operativo per progetto, fai clic sulla scheda Progetti.
- Per visualizzare il riepilogo della conformità ai criteri del sistema operativo per criterio, fai clic sulla scheda Criteri del sistema operativo.
(Facoltativo) Specifica i criteri per il calcolo del riepilogo della conformità ai criteri del sistema operativo utilizzando Query Builder.
Esamina il riepilogo della conformità ai criteri del sistema operativo per le VM. La tabella nella scheda Progetti include una riga per ogni progetto, come mostrato nella figura seguente:
La tabella elenca le seguenti informazioni che soddisfano i criteri specificati nel generatore di query:
- Project (Progetto): il nome dei progetti nell'organizzazione che contengono almeno una VM e in cui è abilitato VM Manager.
- VM totali: numero totale di VM in ogni progetto.
- VM monitorate: numero di VM nel progetto per le quali l'agente VM Manager è abilitato e in fase di analisi per verificare la conformità ai criteri.
- VM con criterio: numero di VM con almeno un criterio assegnato.
- Conforme: numero di VM con tutti i criteri assegnati segnalati come
COMPLIANT
. - Non conforme: numero di VM con almeno un criterio assegnato segnalato come
NON-COMPLIANT
. - Sconosciuto: numero di VM con almeno un criterio assegnato segnalato come
UNKNOWN
e nessun criterio segnalato comeNON-COMPLIANT
. Lo statoUNKNOWN
è dovuto a uno dei seguenti motivi:- La VM non è in esecuzione.
- L'agente VM Manager non è abilitato per la VM.
- Si è verificato un errore durante la procedura.
- Nessun report: numero di VM con criteri assegnati, ma nessun report sulla conformità dei criteri è stato trovato per uno dei seguenti motivi:
- L'agente VM Manager non è abilitato per la VM.
- La verifica della conformità è in corso. Il report non è ancora pronto.
(Facoltativo) Applica i filtri della tabella se vuoi visualizzare righe specifiche nella tabella di riepilogo della conformità ai criteri del sistema operativo.
Ad esempio, se vuoi visualizzare il riepilogo della conformità ai criteri del sistema operativo per i progetti con più di 10 VM, imposta l'opzione di filtro VM totali su
>= 10
.(Facoltativo) Fai clic sul numero di VM per visualizzare ulteriori dettagli sulle VM in un determinato stato. Ad esempio, facendo clic sul numero di VM per un determinato progetto nella colonna Sconosciuto si apre la scheda Istanze VM con un elenco di criteri del sistema operativo sconosciuti per ogni VM del progetto.
Per ulteriori informazioni, consulta Visualizzare i report sull'assegnazione dei criteri del sistema operativo.
Seleziona un attributo. Lo strumento per la creazione di query supporta i seguenti attributi:
- OS: specifica i nomi brevi dei sistemi operativi, ad esempio
Windows
oDebian
. - Versione sistema operativo: specifica la versione del sistema operativo. Ad esempio,
21.04
o10.0.22000
. Puoi specificare un asterisco singolo (*
) alla fine della stringa della versione del sistema operativo per indicare una corrispondenza parziale, ad esempio10*
. - VM in esecuzione: specifica se vuoi visualizzare il riepilogo delle patch per le VM
in stato
RUNNING
. - Impronta del criterio: specifica l'impronta del criterio univoca per il criterio del sistema operativo. Quando imposti questo attributo, VM Manager calcola il riepilogo della conformità solo per i criteri del sistema operativo con l'impronta specificata.
- Stato della conformità: specifica uno degli stati di conformità per il criterio:
COMPLIANT
: VM con tutti i criteri assegnati segnalati comeCOMPLIANT
NON-COMPLIANT
: VM con almeno un criterio assegnato segnalato comeNON-COMPLIANT
UNKNOWN
: VM con almeno un criterio assegnato segnalato comeUNKNOWN
- OS: specifica i nomi brevi dei sistemi operativi, ad esempio
Scegli uno degli attributi e specifica un valore per l'attributo. Ad esempio, se vuoi visualizzare il riepilogo delle patch per le VM con un sistema operativo specifico, seleziona OS. Viene visualizzato un elenco di operatori di confronto tra cui scegliere.
- Seleziona un operatore, ad esempio
==
. - Nel campo Valore, specifica il valore di confronto. Ad esempio
Debian
.
- Seleziona un operatore, ad esempio
Per aggiungere un altro attributo, fai clic su Aggiungi condizione.
Fai clic su Cerca.
Se utilizzi i Controlli di servizio VPC per proteggere i tuoi servizi, aggiungi il servizio Cloud Asset Inventory all'elenco dei servizi consentiti. Per maggiori informazioni, consulta Servizi accessibili da VPC.
Nella console Google Cloud, vai alla pagina Norme del sistema operativo > Istanze VM.
ZONE
: la zona in cui si trova la VM- (Facoltativo) Fornisci uno dei seguenti elementi:
VM_NAME
: il nome o l'ID della VM per cui vuoi visualizzare i report sull'assegnazione dei criteri del sistema operativoASSIGNMENT_ID
: l'ID dell'assegnazione dei criteri del sistema operativo per cui vuoi visualizzare i report sull'assegnazione dei criteri del sistema operativo
PROJECT_ID
: il tuo ID progettoZONE
: la zona in cui si trovano le VM- Facoltativo. Fornisci uno dei seguenti dati:
VM_NAME
: il nome o l'ID della VM per cui vuoi visualizzare i report sull'assegnazione dei criteri del sistema operativo. Se non è obbligatorio, utilizza un-
per il valore.ASSIGNMENT_ID
: l'ID dell'assegnazione dei criteri del sistema operativo per cui vuoi visualizzare i report. Se non è obbligatorio, utilizza-
per il valore.
- Per visualizzare i report per tutte le VM nel progetto
my-project-12345
e nella zonaus-central1-a
, utilizza il seguente URI:projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/-/report
- Per visualizzare i report per la VM
my-test-vm
nel progettomy-project-12345
e situata nella zonaus-central1-a
, utilizza il seguente URI:projects/my-project-12345/locations/us-central1-a/instances/my-test-vm/osPolicyAssignments/-/report
- Per visualizzare i report per tutte le VM del progetto
my-project-12345
e della zonaus-central1-a
che hanno l'assegnazione del criterio del sistema operativomy-test-assignment
, utilizza il seguente URI:projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/my-test-assignment/report
Se utilizzi i Controlli di servizio VPC per proteggere i tuoi servizi, aggiungi il servizio Cloud Asset Inventory all'elenco dei servizi consentiti. Per maggiori informazioni, consulta Servizi accessibili da VPC.
Nella console Google Cloud, vai alla pagina Norme del sistema operativo > Istanze VM.
Per visualizzare il report sull'assegnazione dei criteri del sistema operativo per una VM specifica, fai clic sul nome della VM.
Esamina i campi State (Stato), State reason (Motivo stato) e Logs (Log). Il campo Log fornisce un link alla dashboard di Cloud Logging, dove puoi accedere ai log di debug per l'agente OS Config in esecuzione sulla VM.
- Per ulteriori informazioni sugli stati di conformità restituiti, consulta la sezione
ComplianceState
nella documentazione di riferimento dell'API. - Per ulteriori informazioni sui motivi di conformità restituiti, esamina il campo
complianceStateReason
nellaOSPolicyResourceCompliance
documentazione di riferimento dell'API.
Per risolvere questi problemi, puoi anche esaminare i log relativi al criterio del sistema operativo e apportare gli aggiornamenti necessari. Per controllare i log, consulta la sezione Risoluzione dei problemi di VM Manager.
- Per ulteriori informazioni sugli stati di conformità restituiti, consulta la sezione
Per visualizzare il report sull'assegnazione dei criteri del sistema operativo per una VM specifica, utilizza il comando
os-config os-policy-assignment-reports describe
.gcloud compute os-config os-policy-assignment-reports describe OS_POLICY_ASSIGNMENT_ID \ --instance=VM_NAME \ --location=ZONE
Sostituisci quanto segue:
OS_POLICY_ASSIGNMENT_ID
: l'ID dell'assegnazione del criterio OS che vuoi esaminare per la VM specificataVM_NAME
: il nome o l'ID della VM per cui vuoi visualizzare il report sull'assegnazione dei criteri del sistema operativoZONE
: la zona in cui si trova la VM
Esempio
gcloud compute os-config os-policy-assignment-reports describe my-test-assignment1 \ --instance=centos7 \ --location=us-central1-a
Output
instance: centos7 lastRunId: 96a61b92-3e14-4155-a3e8-dd66520f49ae name: projects/1234578882888/locations/us-central1-a/instances/29255009728795105/osPolicyAssignments/my-test-assignment1/report osPolicyAssignment: projects/1234578882888/locations/us-central1-a/osPolicyAssignments/my-test-assignment1t@3428384d-fa61-478e-b7e2-3d5fae74bea3 osPolicyCompliances: – complianceState: UNKNOWN complianceStateReason: os-policies-not-supported-by-agent osPolicyId: setup-repo-and-install-package-policy osPolicyResourceCompliances: – complianceState: UNKNOWN complianceStateReason: os-policy-execution-attempt-failed osPolicyResourceId: setup-repo – complianceState: UNKNOWN complianceStateReason: os-policy-execution-attempt-failed osPolicyResourceId: install-pkg updateTime: '2021-11-02T19:14:34.314831Z'
Esamina i
complianceState
e l'complianceStateReason
.- Per ulteriori informazioni sugli stati di conformità restituiti, consulta la sezione
ComplianceState
nella documentazione di riferimento dell'API. - Per ulteriori informazioni sui motivi di conformità restituiti, esamina il campo
complianceStateReason
nellaOSPolicyResourceCompliance
documentazione di riferimento dell'API.
Per risolvere questi problemi, puoi anche esaminare i log per il criterio del sistema operativo e apportare gli aggiornamenti necessari. Per controllare i log, consulta la sezione Risoluzione dei problemi di VM Manager.
- Per ulteriori informazioni sugli stati di conformità restituiti, consulta la sezione
Nell'API, crea una richiesta
GET
al metodoprojects.locations.osPolicyAssignments.reports.get
.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
Sostituisci quanto segue:
PROJECT_ID
: il tuo ID progettoZONE
: la zona in cui si trova la VMVM_NAME
: il nome o l'ID della VM per cui vuoi visualizzare il report sull'assegnazione dei criteri del sistema operativoOS_POLICY_ASSIGNMENT_ID
: l'ID dell'assegnazione del criterio del sistema operativo per cui vuoi visualizzare il report
Esamina i
complianceState
e l'complianceStateReason
.- Per ulteriori informazioni sugli stati di conformità restituiti, consulta la sezione
ComplianceState
nella documentazione di riferimento dell'API. - Per ulteriori informazioni sui motivi di conformità restituiti, esamina il campo
complianceStateReason
nellaOSPolicyResourceCompliance
documentazione di riferimento dell'API.
Per risolvere questi problemi, puoi anche esaminare i log per il criterio del sistema operativo e apportare gli aggiornamenti necessari. Per controllare i log, consulta la sezione Risoluzione dei problemi di VM Manager.
- Per ulteriori informazioni sugli stati di conformità restituiti, consulta la sezione
- Scopri di più sui criteri del sistema operativo.
- Gestisci i criteri del sistema operativo.
REST
Per utilizzare gli esempi dell'API REST in questa pagina in un ambiente di sviluppo locale, utilizza le credenziali fornite a gcloud CLI.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Per saperne di più, consulta Eseguire l'autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.
Ruoli e autorizzazioni richiesti
Per ottenere le autorizzazioni necessarie per visualizzare i dati relativi alla conformità ai criteri del sistema operativo, chiedi all'amministratore di concederti i seguenti ruoli IAM:
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per visualizzare i dati relativi alla conformità ai criteri del sistema operativo. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per visualizzare i dati relativi alla conformità ai criteri del sistema operativo sono necessarie le seguenti autorizzazioni:
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Visualizza il riepilogo della conformità ai criteri del sistema operativo per tutte le VM in un'organizzazione o una cartella
Puoi visualizzare il riepilogo della conformità alle norme del sistema operativo per tutte le VM di un'organizzazione o di una cartella utilizzando la console Google Cloud.
VM Manager mostra il riepilogo della conformità ai criteri del sistema operativo solo per i progetti che soddisfano uno dei seguenti requisiti:
Per visualizzare i dati relativi alla conformità ai criteri del sistema operativo:
Utilizzare Query Builder per filtrare i dati relativi alla conformità ai criteri del sistema operativo
In base ai criteri specificati in Query Builder, VM Manager visualizza i dati sulla conformità ai criteri del sistema operativo per le VM nei progetti della tua organizzazione o cartella. Puoi quindi utilizzare i filtri della tabella nella tabella Conformità ai criteri del sistema operativo per filtrare i dati visualizzati.
Ad esempio, quando imposti l'attributo
OS
in Query Builder comeDebian
, VM Manager mostra i dati relativi alla conformità ai criteri del sistema operativo per le VM con sistema operativo Debian. Se vuoi visualizzare i dati sulla conformità di un progetto specifico, utilizza il filtro della tabella per specificare l'ID progetto.Per impostare una query in Query Builder nella scheda Progetti, segui questi passaggi:
Visualizzare i report sull'assegnazione dei criteri del sistema operativo
Per visualizzare i report sulle assegnazioni dei criteri del sistema operativo, puoi utilizzare la console Google Cloud, Google Cloud CLI o REST.
Utilizza questa procedura per visualizzare un elenco di report di assegnazione dei criteri del sistema operativo per una località specificata.
Console
gcloud
Per visualizzare un elenco di report sulle assegnazioni dei criteri del sistema operativo, utilizza il comando
os-config os-policy-assignment-reports list
.Per visualizzare tutti i report di assegnazione dei criteri del sistema operativo per una località specifica, esegui il seguente comando. Sostituisci
ZONE
con la zona in cui si trovano le VM.gcloud compute os-config os-policy-assignment-reports list --location=ZONE
Comando ed output di esempio (tutte le VM)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY centos7 my-test-assignment1 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant centos7 my-test-assignment2 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant rhel-8 my-test-assignment1 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant rhel-8 my-test-assignment2 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliant my-centos my-test-assignment2 us-central1-a 2021-11-02T18:14:37.418883Z 0/1 policies compliant deb-10 my-test-assignment2 us-central1-a 2021-11-02T19:00:11.777748Z 0/1 policies compliant windows my-test-assignment2 us-central1-a 2021-11-02T18:24:07.935711Z 0/1 policies compliant windows my-test-assignment3 us-central1-a 2021-11-02T18:24:07.935711Z 0/1 policies compliant sles15 my-test-assignment2 us-central1-a 2021-11-02T18:38:07.335276Z 0/1 policies compliant
Puoi anche utilizzare flag facoltativi come
--instance
o--assignment-id
per filtrare i risultati.gcloud compute os-config os-policy-assignment-reports list --location=ZONE \ [--instance=VM_NAME | --assignment-id=ASSIGNMENT_ID]
Sostituisci quanto segue:
Comando e output di esempio (VM specifica)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \ --instance=my-centos INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliant my-centos my-test-assignment2 us-central1-a 2021-11-02T18:14:37.418883Z 0/1 policies compliant
Comando e output di esempio (assegnazione specifica)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \ --assignment-id=my-test-assignment1 INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY centos7 my-test-assignment1 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant rhel-8 my-test-assignment1 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliant
REST
Nell'API, crea una richiesta
GET
al metodoprojects.locations.osPolicyAssignments.reports.list
.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
Sostituisci quanto segue:
Esempi:
Esaminare un report sull'assegnazione dei criteri del sistema operativo
Utilizza questa procedura per visualizzare una panoramica dettagliata di un report di assegnazione dei criteri del sistema operativo associato a una VM specifica.
Console
gcloud
REST
Passaggi successivi
Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2024-11-23 UTC.
-