Werte für den Patch-Konformitätsstatus - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Werte für den Patch-Konformitätsstatus

Zu den Informationen über Patches für einen verwalteten Knoten gehört ein Bericht über den Zustand oder den Status jedes einzelnen Patches.

Anmerkung

Wenn Sie einem verwalteten Knoten einen bestimmten Patch-Compliance-Status zuweisen möchten, können Sie den put-compliance-items AWS Command Line Interface (AWS CLI) Befehl oder PutComplianceItemsAPIOperation. Das Zuweisen eines Compliance-Zustands wird in der Konsole nicht unterstützt.

Verwenden Sie die Informationen in den folgenden Tabellen, um zu ermitteln, warum ein verwalteter Knoten möglicherweise nicht die Patch-Compliance erfüllt.

Patch-Compliance-Werte für Debian Server, Raspberry Pi OS, und Ubuntu Server

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Debian Server, Raspberry Pi OS, und Ubuntu Server, die Regeln für die Klassifizierung von Paketen in die verschiedenen Konformitätsstufen werden in der folgenden Tabelle beschrieben.

Anmerkung

Beachten Sie bei der Bewertung der MISSING Statuswerte INSTALLEDINSTALLED_OTHER, und Folgendes: Wenn Sie bei der Erstellung oder Aktualisierung einer Patch-Baseline das Kontrollkästchen Nicht sicherheitsrelevante Updates einbeziehen nicht aktivieren, sind Patchkandidatenversionen auf Patches beschränkt, die in trusty-security (Ubuntu Server 14.04)LTS, (xenial-securityUbuntu Server 16,04)LTS, (bionic-securityUbuntu Server 18,04)LTS, (focal-securityUbuntu Server 20,04LTS), (groovy-securityUbuntu Server 20,10)STR, (jammy-securityUbuntu Server 22.04LTS) oder (debian-securityDebian Server and Raspberry Pi OS). Wenn Sie das Kontrollkästchen Nicht sicherheitsrelevante Updates einbeziehen aktivieren, werden auch Patches aus anderen Repositorys berücksichtigt.

Patch-Status Beschreibung Compliance status (Compliance-Status)

INSTALLED

Der Patch wird in der Patch-Baseline aufgeführt und ist auf dem verwalteten Knoten installiert. Es könnte entweder manuell von einer Einzelperson oder automatisch von installiert worden sein Patch Manager als das AWS-RunPatchBaseline Dokument auf dem verwalteten Knoten ausgeführt wurde.

Konform

INSTALLED_OTHER

Der Patch ist nicht in der Baseline enthalten oder wird von der Baseline nicht genehmigt, ist aber auf dem verwalteten Knoten installiert. Der Patch wurde möglicherweise manuell installiert, das Paket könnte eine erforderliche Abhängigkeit von einem anderen genehmigten Patch sein, oder der Patch war möglicherweise Teil eines InstallOverrideList Vorgangs. Wenn Sie Block nicht als die Zurückgewiesene Patches-Aktion angeben, schließt INSTALLED_OTHER auch installiert, aber abgelehnte Patches ein.

Konform

INSTALLED_PENDING_REBOOT

INSTALLED_PENDING_REBOOTkann eines von zwei Dingen bedeuten:

  • Das Tool Patch Manager InstallDer Vorgang hat den Patch auf den verwalteten Knoten angewendet, aber der Knoten wurde seit der Installation des Patches nicht neu gestartet. Dies bedeutet in der Regel, dass für den Parameter RebootOption die Option NoReboot ausgewählt wurde, als das AWS-RunPatchBaseline-Dokument zuletzt auf dem verwalteten Knoten ausgeführt wurde. Weitere Informationen finden Sie unter Parametername: RebootOption.

  • Ein Patch wurde außerhalb von installiert Patch Manager seit dem letzten Neustart des verwalteten Knotens.

Nicht konform

INSTALLED_REJECTED

Der Patch wird auf dem verwalteten Knoten installiert, jedoch in einer Liste der Rejected patches (Abgelehnte Patches) angegeben. Dies bedeutet normalerweise, dass der Patch installiert wurde, bevor er einer Liste der abgelehnten Patches hinzugefügt wurde.

Nicht konform

MISSING

Pakete, die über die Baseline gefiltert und noch nicht installiert sind.

Nicht konform

FAILED

Pakete, die während des Patch-Vorgangs nicht installiert werden konnten.

Nicht konform

Patch-Compliance-Werte für andere Betriebssysteme

Für alle Betriebssysteme außer Debian Server, Raspberry Pi OS, und Ubuntu Server, die Regeln für die Klassifizierung von Paketen in die verschiedenen Konformitätsstufen werden in der folgenden Tabelle beschrieben.

Patch-Status Beschreibung Compliancewert

INSTALLED

Der Patch wird in der Patch-Baseline aufgeführt und ist auf dem verwalteten Knoten installiert. Es könnte entweder manuell von einer Einzelperson oder automatisch von installiert worden sein Patch Manager als das AWS-RunPatchBaseline Dokument auf dem Knoten ausgeführt wurde.

Konform

INSTALLED_OTHER¹

Der Patch befindet sich nicht an der Baseline, ist aber auf dem verwalteten Knoten installiert. Dafür gibt es zwei mögliche Gründe:

  1. Der Patch wurde möglicherweise manuell installiert.

  2. Nur Linux: Das Paket wurde möglicherweise als erforderliche Abhängigkeit von einem anderen, genehmigten Patch installiert. Wenn Sie die Aktion Abgelehnte Patches angebenAllow as dependency, erhalten Patches, die als Abhängigkeiten installiert wurden, den BerichtsstatusINSTALLED_OTHER.

    Anmerkung

    Windows Server unterstützt das Konzept der Patch-Abhängigkeiten nicht. Für Informationen darüber, wie Patch Manager verarbeitet Patches in der Liste „Abgelehnte Patches“ am Windows Server, siehe Optionen für die Liste der abgelehnten Patches in benutzerdefinierten Patch-Baselines.

Konform

INSTALLED_REJECTED

Der Patch wird auf dem verwalteten Knoten installiert, jedoch in einer Liste der abgelehnten Patches angegeben. Dies bedeutet normalerweise, dass der Patch installiert wurde, bevor er einer Liste der abgelehnten Patches hinzugefügt wurde.

Nicht konform

INSTALLED_PENDING_REBOOT

INSTALLED_PENDING_REBOOTkann eines von zwei Dingen bedeuten:

  • Das Tool Patch Manager InstallDer Vorgang hat den Patch auf den verwalteten Knoten angewendet, aber der Knoten wurde seit der Installation des Patches nicht neu gestartet. Dies bedeutet in der Regel, dass für den Parameter RebootOption die Option NoReboot ausgewählt wurde, als das AWS-RunPatchBaseline-Dokument zuletzt auf dem verwalteten Knoten ausgeführt wurde. Weitere Informationen finden Sie unter Parametername: RebootOption.

  • Ein Patch wurde außerhalb von installiert Patch Manager seit dem letzten Neustart des verwalteten Knotens.

Nicht konform

MISSING

Der Patch wurde in der Baseline genehmigt, aber nicht auf dem verwalteten Knoten installiert. Wenn Sie die AWS-RunPatchBaseline-Dokumentaufgabe zum Scannen (nicht Installieren) konfigurieren, meldet das System diesen Status bei Patches, die beim Scan gefunden wurden, aber noch nicht installiert sind.

Nicht konform

NOT_APPLICABLE¹

Der Patch wurde in der Baseline genehmigt, der Service oder dem Feature, die den Patch verwendet, wurde aber auf dem verwalteten Knoten nicht installiert. Beispielsweise würde ein Patch für einen Webserverdienst wie Internet Information Services (IIS) anzeigen, NOT_APPLICABLE ob er in der Baseline genehmigt wurde, der Webdienst aber nicht auf dem verwalteten Knoten installiert ist. Ein Patch kann auch als NOT_APPLICABLE markiert sein, wenn er durch ein nachfolgendes Update ersetzt wurde. Dies bedeutet, dass das spätere Update installiert ist und das NOT_APPLICABLE-Update nicht mehr benötigt wird.

Anmerkung

Dieser Konformitätsstatus wird nur gemeldet Windows Server Betriebssysteme.

Nicht zutreffend

FAILED

Der Patch wurde an der Baseline genehmigt, konnte aber nicht installiert werden. Zum Beheben dieses Problems überprüfen Sie die Befehlsausgabe auf Informationen, die Ihnen helfen, das Problem zu verstehen.

Nicht konform

¹ Für Patches mit dem Status INSTALLED_OTHER NOT_APPLICABLE und Patch Manager lässt einige Daten aus den Abfrageergebnissen weg, basierend auf describe-instance-patchesBefehl, z. B. die Werte für Classification undSeverity. Dadurch soll verhindert werden, dass das Datenlimit für einzelne Knoten im Inventar überschritten wird, eine Fähigkeit von AWS Systems Manager. Um alle Patch-Details anzuzeigen, können Sie den describe-available-patchesBefehl.