Melihat laporan kebijakan OS

Setelah VM Manager menerapkan penetapan kebijakan OS ke instance virtual machine (VM), laporan penetapan kebijakan OS akan dibuat. Laporan ini berisi status kepatuhan semua kebijakan OS yang diterapkan ke VM tertentu untuk penetapan kebijakan OS tertentu.

Dokumen ini menjelaskan tugas-tugas berikut:

Sebelum memulai

  • Tinjau kuota OS Config.
  • Jika Anda belum melakukannya, siapkan autentikasi. Authentication adalah proses yang digunakan untuk memverifikasi identitas Anda agar dapat mengakses layanan dan API Google Cloud. Untuk menjalankan kode atau sampel dari lingkungan pengembangan lokal, Anda dapat mengautentikasi ke Compute Engine sebagai berikut.

    Pilih tab untuk melihat bagaimana Anda berencana menggunakan contoh di halaman ini:

    Konsol

    Saat menggunakan Konsol Google Cloud untuk mengakses API dan layanan Google Cloud, Anda tidak perlu menyiapkan autentikasi.

    gcloud

    1. Instal Google Cloud CLI, lalu initialize dengan menjalankan perintah berikut:

      gcloud init
    2. Menetapkan region dan zona default.

    REST

    Untuk menggunakan contoh REST API di halaman ini dalam lingkungan pengembangan lokal, gunakan kredensial yang Anda berikan ke gcloud CLI.

      Instal Google Cloud CLI, lalu initialize dengan menjalankan perintah berikut:

      gcloud init

Peran dan izin yang diperlukan

Untuk mendapatkan izin akses yang Anda butuhkan untuk melihat data kepatuhan kebijakan OS, minta administrator untuk memberi Anda peran IAM berikut:

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk melihat data kepatuhan kebijakan OS. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk melihat data kepatuhan kebijakan OS:

  • Lihat ringkasan kepatuhan kebijakan OS untuk VM di organisasi atau folder:
    • osconfig.osPolicyAssignmentReports.searchSummaries
    • osconfig.osPolicyAssignments.searchPolicies
    • resourcemanager.projects.get
    • resourcemanager.projects.list

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Melihat ringkasan kepatuhan kebijakan OS untuk semua VM di organisasi atau folder

Anda dapat melihat ringkasan kepatuhan kebijakan OS untuk semua VM di organisasi atau folder menggunakan konsol Google Cloud.

VM Manager menampilkan ringkasan kepatuhan kebijakan OS hanya untuk project yang memenuhi salah satu persyaratan berikut:

  • Berisi satu atau beberapa VM tempat VM Manager diaktifkan dan dijalankan.
  • Berisi satu atau beberapa VM yang menjalankan VM Manager dalam 7 hari terakhir dan menyediakan data kepatuhan kebijakan OS.

Untuk melihat data kepatuhan kebijakan OS, lakukan hal berikut:

  1. Di konsol Google Cloud, buka halaman Compute Engine > VM Manager > OS policies.

    Buka halaman OS policies

  2. Dalam menu drop-down project di bagian atas konsol Google Cloud, pilih organisasi atau folder tempat Anda ingin melihat ringkasan kepatuhan kebijakan OS.

  3. Gunakan opsi berikut untuk melihat data kepatuhan kebijakan OS:

    1. Untuk melihat ringkasan kepatuhan kebijakan OS per project, klik tab Projects.
    2. Untuk melihat ringkasan kepatuhan kebijakan OS per kebijakan, klik tab OS policies.
  4. Opsional: Tentukan kriteria untuk menghitung ringkasan kepatuhan kebijakan OS dengan menggunakan query builder.

  5. Meninjau ringkasan kepatuhan kebijakan OS untuk VM. Tabel di tab Projects berisi satu baris untuk setiap project seperti yang ditampilkan dalam gambar berikut:

    Ringkasan kebijakan OS untuk semua project.

    Tabel ini mencantumkan informasi berikut yang memenuhi kriteria yang telah Anda tentukan di query builder:

    • Project: Nama project dalam organisasi yang berisi setidaknya satu VM dan mengaktifkan VM Manager.
    • Total VMs: Jumlah total VM di setiap project.
    • Monitored VMs: Jumlah VM dalam project yang mengaktifkan agen VM Manager dan sedang dipindai untuk memeriksa kepatuhannya terhadap kebijakan.
    • VMs with policy: Jumlah VM yang memiliki minimal satu kebijakan.
    • Compliant: Jumlah VM dengan semua kebijakan yang telah ditetapkan dan dilaporkan sebagai COMPLIANT.
    • Non compliant: Jumlah VM dengan minimal satu kebijakan yang telah ditetapkan dan dilaporkan sebagai NON-COMPLIANT.
    • Unknown: Jumlah VM dengan minimal satu kebijakan yang telah ditetapkan dan dilaporkan sebagai UNKNOWN, dan tidak ada kebijakan yang dilaporkan sebagai NON-COMPLIANT. Status UNKNOWN disebabkan oleh salah satu alasan berikut:
      • VM tidak berjalan.
      • Agen VM Manager tidak diaktifkan untuk VM.
      • Terjadi error selama proses berlangsung.
    • No report: Jumlah VM dengan kebijakan yang telah ditetapkan, tetapi tidak ditemukan laporan kepatuhan kebijakan karena salah satu alasan berikut:
      • Agen VM Manager tidak diaktifkan untuk VM.
      • Pemindaian kepatuhan sedang berlangsung. Laporan belum siap.
  6. Opsional: Terapkan filter tabel jika Anda ingin melihat baris tertentu di tabel ringkasan kepatuhan kebijakan OS.

    Filter tabel di tabel ringkasan kebijakan.

    Misalnya, jika Anda ingin melihat ringkasan kepatuhan kebijakan OS untuk project yang memiliki lebih dari 10 VM, tetapkan opsi filter Total VMs ke >= 10.

  7. Opsional: Klik jumlah VM untuk melihat detail selengkapnya tentang VM dalam status tertentu. Misalnya, mengklik jumlah VM untuk project tertentu di kolom Unknown akan membuka tab VM instances dengan daftar kebijakan OS yang tidak diketahui untuk setiap VM dalam project tersebut.

    Tab instance VM dengan kebijakan OS yang tidak diketahui.

    Untuk informasi selengkapnya, lihat Melihat laporan penetapan kebijakan OS.

Menggunakan query builder untuk memfilter data kepatuhan kebijakan OS

Berdasarkan kriteria yang Anda tentukan dalam query builder, VM Manager menampilkan data kepatuhan kebijakan OS untuk VM dalam project di organisasi atau folder Anda. Selanjutnya, Anda dapat menggunakan filter tabel di tabel kepatuhan kebijakan OS untuk memfilter data yang ditampilkan.

Misalnya, saat Anda menetapkan atribut OS di Query builder sebagai Debian, VM Manager akan menampilkan data kepatuhan kebijakan OS untuk VM dengan Debian OS. Jika Anda ingin melihat data kepatuhan untuk project tertentu, gunakan filter tabel untuk menentukan project ID.

Query builder dengan satu atribut.

Untuk menetapkan kueri dalam query builder di tab Projects, lakukan hal berikut:

  1. Pilih sebuah Atribut. Query builder mendukung atribut berikut:

    • OS: Menentukan nama pendek sistem operasi, seperti Windows atau Debian.
    • OS versions: Menentukan versi sistem operasi. Misalnya, 21.04 atau 10.0.22000. Anda dapat menentukan satu tanda bintang (*) di akhir string versi OS untuk menunjukkan kecocokan parsial, misalnya 10*.
    • VM running: Menentukan apakah Anda ingin melihat ringkasan patch untuk VM yang ada dalam status RUNNING atau tidak.
    • Policy fingerprint: Menentukan sidik jari kebijakan unik untuk kebijakan OS. Saat Anda menetapkan atribut ini, VM Manager hanya menghitung ringkasan kepatuhan untuk kebijakan OS yang memiliki sidik jari yang telah ditentukan.
    • Compliance state: Menentukan salah satu status kepatuhan untuk kebijakan:
      • COMPLIANT: VM dengan semua kebijakan yang telah ditetapkan dan dilaporkan sebagai COMPLIANT
      • NON-COMPLIANT: VM dengan setidaknya satu kebijakan yang telah ditetapkan dan dilaporkan sebagai NON-COMPLIANT
      • UNKNOWN: VM dengan setidaknya satu kebijakan yang telah ditetapkan dan dilaporkan sebagai UNKNOWN
  2. Pilih salah satu atribut dan tentukan nilai untuk atribut tersebut. Misalnya, jika Anda ingin melihat ringkasan patch untuk VM dengan sistem operasi tertentu, pilih OS. Anda kemudian mendapatkan daftar operator perbandingan untuk dipilih.

    1. Pilih Operator, misalnya, ==.
    2. Di kolom Value, tentukan nilai perbandingan. Contoh Debian.
  3. Untuk menambahkan atribut lain, klik Add condition.

  4. Klik Search.

Melihat laporan penetapan kebijakan OS

Untuk melihat laporan penetapan kebijakan OS, Anda dapat menggunakan konsol Google Cloud, Google Cloud CLI, atau REST.

Gunakan prosedur ini untuk melihat daftar laporan penetapan kebijakan OS untuk lokasi yang ditentukan.

Konsol

  1. Jika Anda menggunakan Kontrol Layanan VPC untuk melindungi layanan Anda, menambahkan layanan Inventaris Aset Cloud ke daftar layanan yang diizinkan. Untuk selengkapnya lihat Layanan yang dapat diakses VPC.

  2. Di konsol Google Cloud, buka halaman OS policies > VM instances.

    Buka halaman VM instances

    Lihat kepatuhan VM.

gcloud

Untuk melihat daftar laporan penetapan kebijakan OS, gunakan perintah os-config os-policy-assignment-reports list.

Untuk melihat semua laporan penetapan kebijakan OS untuk lokasi tertentu, jalankan perintah berikut. Ganti ZONE dengan zona tempat VM berada.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE

Contoh perintah dan output (semua VM)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a

INSTANCE                   ASSIGNMENT_ID                   LOCATION       UPDATE_TIME                  SUMMARY
centos7                    my-test-assignment1             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
centos7                    my-test-assignment2             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                     my-test-assignment1             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
rhel-8                     my-test-assignment2             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos                  my-test-assignment1             us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos                  my-test-assignment2             us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant
deb-10                     my-test-assignment2             us-central1-a  2021-11-02T19:00:11.777748Z  0/1 policies compliant
windows                    my-test-assignment2             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
windows                    my-test-assignment3             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
sles15                     my-test-assignment2             us-central1-a  2021-11-02T18:38:07.335276Z  0/1 policies compliant

Anda juga dapat menggunakan flag opsional, seperti --instance atau --assignment-id, untuk memfilter hasil.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE \
    [--instance=VM_NAME | --assignment-id=ASSIGNMENT_ID]

Ganti kode berikut:

  • ZONE: zona tempat VM berada
  • Opsional: memberikan salah satu kode berikut:
    • VM_NAME: nama atau ID VM yang laporan penetapan kebijakan OS-nya ingin Anda lihat
    • ASSIGNMENT_ID: ID penetapan kebijakan OS yang ingin Anda lihat laporan penetapan kebijakan OS-nya

Contoh perintah dan output (VM tertentu)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --instance=my-centos

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos               my-test-assignment2         us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant

Contoh perintah dan output (penetapan tertentu)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --assignment-id=my-test-assignment1

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
centos7                 my-test-assignment1         us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                  my-test-assignment1         us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant

REST

Di API, buat permintaan GET ke metode projects.locations.osPolicyAssignments.reports.list.

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report

Ganti kode berikut:

  • PROJECT_ID: Project ID Anda.
  • ZONE: zona tempat VM berada
  • Opsional. Berikan salah satu kode berikut:
    • VM_NAME: nama atau ID VM yang ingin Anda lihat laporan penetapan kebijakan OS-nya. Jika tidak diperlukan, gunakan - untuk nilainya.
    • ASSIGNMENT_ID: ID penetapan kebijakan OS yang ingin Anda lihat laporan penetapan kebijakan OS-nya. Jika tidak diperlukan, gunakan - untuk nilainya.

Contoh:

  • Untuk melihat laporan semua VM dalam project my-project-12345 dan zona us-central1-a, gunakan URI berikut:
    projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/-/report
  • Untuk melihat laporan VM my-test-vm dalam project my-project-12345 dan berada di zona us-central1-a, gunakan URI berikut:
    projects/my-project-12345/locations/us-central1-a/instances/my-test-vm/osPolicyAssignments/-/report
  • Untuk melihat laporan semua VM di project my-project-12345 dan zona us-central1-a yang memiliki penetapan kebijakan OS my-test-assignment, gunakan URI berikut:
    projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/my-test-assignment/report

Meninjau laporan penetapan kebijakan OS

Gunakan prosedur ini untuk mendapatkan tampilan mendetail dari laporan penetapan kebijakan OS yang terkait dengan VM tertentu.

Konsol

  1. Jika Anda menggunakan Kontrol Layanan VPC untuk melindungi layanan Anda, menambahkan layanan Inventaris Aset Cloud ke daftar layanan yang diizinkan. Untuk selengkapnya lihat Layanan yang dapat diakses VPC.

  2. Di konsol Google Cloud, buka halaman OS policies > VM instances.

    Buka konsol Google Cloud

  3. Untuk melihat laporan penetapan kebijakan OS untuk VM tertentu, klik nama VM tersebut.

    Lihat kepatuhan VM.

  4. Tinjau kolom State, State reason, dan Logs. Kolom Logs menyediakan link ke dasbor Cloud Logging tempat Anda dapat mengakses log debug untuk agen OS Config yang berjalan di VM.

    Untuk memperbaiki masalah ini, Anda juga dapat meninjau log kebijakan OS dan melakukan update yang diperlukan. Untuk memeriksa log, lihat Memecahkan masalah VM Manager.

gcloud

  1. Untuk melihat laporan penetapan kebijakan OS untuk VM tertentu, gunakan perintah os-config os-policy-assignment-reports describe.

    gcloud compute os-config os-policy-assignment-reports describe OS_POLICY_ASSIGNMENT_ID \
        --instance=VM_NAME \
        --location=ZONE
    

    Ganti kode berikut:

    • OS_POLICY_ASSIGNMENT_ID: ID penetapan kebijakan OS yang ingin Anda tinjau untuk VM tertentu
    • VM_NAME: nama atau ID VM yang Anda inginkan untuk melihat laporan penetapan kebijakan OS bagi
    • ZONE: zona tempat VM berada

    Contoh

    gcloud compute os-config os-policy-assignment-reports describe my-test-assignment1 \
        --instance=centos7 \
        --location=us-central1-a
    

    Output

    instance: centos7
    lastRunId: 96a61b92-3e14-4155-a3e8-dd66520f49ae
    name: projects/1234578882888/locations/us-central1-a/instances/29255009728795105/osPolicyAssignments/my-test-assignment1/report
    osPolicyAssignment: projects/1234578882888/locations/us-central1-a/osPolicyAssignments/my-test-assignment1t@3428384d-fa61-478e-b7e2-3d5fae74bea3
    osPolicyCompliances:
    – complianceState: UNKNOWN
      complianceStateReason: os-policies-not-supported-by-agent
      osPolicyId: setup-repo-and-install-package-policy
      osPolicyResourceCompliances:
      – complianceState: UNKNOWN
        complianceStateReason: os-policy-execution-attempt-failed
        osPolicyResourceId: setup-repo
      – complianceState: UNKNOWN
        complianceStateReason: os-policy-execution-attempt-failed
        osPolicyResourceId: install-pkg
    updateTime: '2021-11-02T19:14:34.314831Z'
    
  2. Tinjau complianceState dan complianceStateReason.

    Untuk memperbaiki masalah ini, Anda juga dapat meninjau log kebijakan OS dan melakukan update yang diperlukan. Untuk memeriksa log, lihat Memecahkan masalah VM Manager.

REST

  1. Di API, buat permintaan GET ke metode projects.locations.osPolicyAssignments.reports.get.

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
    

    Ganti kode berikut:

    • PROJECT_ID: project ID Anda.
    • ZONE: zona tempat VM berada
    • VM_NAME: nama atau ID VM yang Anda inginkan untuk melihat laporan penetapan kebijakan OS bagi
    • OS_POLICY_ASSIGNMENT_ID: ID penetapan kebijakan OS yang ingin Anda lihat laporan penetapan kebijakan OS-nya
  2. Tinjau complianceState dan complianceStateReason.

    Untuk memperbaiki masalah ini, Anda juga dapat meninjau log untuk kebijakan OS dan melakukan update yang diperlukan. Untuk memeriksa log, lihat Memecahkan masalah VM Manager.

Apa langkah selanjutnya?