• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der [Amazon CloudWatch Dashboard-Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Statuswerte der Patch-Compliance
<a name="patch-manager-compliance-states"></a>

Zu den Informationen über Patches für einen verwalteten Knoten gehört ein Bericht über den Zustand oder den Status jedes einzelnen Patches.

**Tipp**  
Wenn Sie einem verwalteten Knoten einen bestimmten Patch-Compliance-Status zuweisen möchten, können Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ssm/put-compliance-items.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/put-compliance-items.html) AWS Command Line Interface (AWS CLI) oder die [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html)API-Operation verwenden. Das Zuweisen eines Compliance-Zustands wird in der Konsole nicht unterstützt.

Verwenden Sie die Informationen in den folgenden Tabellen, um zu ermitteln, warum ein verwalteter Knoten möglicherweise nicht die Patch-Compliance erfüllt.

## Patch-Compliance-Werte für Debian Server und Ubuntu Server
<a name="patch-compliance-values-ubuntu"></a>

Für Debian Server und Ubuntu Server werden die Regeln für die Paketklassifizierung in verschiedene Compliance-Zustände in der folgenden Tabelle beschrieben.

**Anmerkung**  
Beachten Sie bei der Auswertung der Statuswerte `INSTALLED`, `INSTALLED_OTHER` und `MISSING` Folgendes: Wenn Sie beim Erstellen oder Aktualisieren einer Patch-Baseline das Kontrollkästchen **Funktionsupdates einschließen** nicht aktivieren, sind Patch-Kandidaten-Versionen auf Patches in den folgenden Repositorys beschränkt:   
Ubuntu Server 16.04 LTS: `xenial-security`
Ubuntu Server 18.04 LTS: `bionic-security`
Ubuntu Server 20.04 LTS: `focal-security`
Ubuntu Server 22.04 LTS (`jammy-security`)
Ubuntu Server 24.04 LTS (`noble-security`)
Ubuntu Server 25.04 (`plucky-security`)
`debian-security` (Debian Server)
Wenn Sie die Option **Nicht sicherheitsrelevante Aktualisierungen einschließen** auswählen, werden auch Patches aus anderen Repositorys berücksichtigt.


| Patch-Status | Description | Compliance status (Compliance-Status) | 
| --- | --- | --- | 
| **`INSTALLED`** | Der Patch wird in der Patch-Baseline aufgeführt und ist auf dem verwalteten Knoten installiert. Er könnte entweder manuell von einer Person oder automatisch von Patch Manager installiert worden sein, wenn das `AWS-RunPatchBaseline`-Dokument auf dem verwalteten Knoten ausgeführt wurde. | Konform | 
| **`INSTALLED_OTHER`** | Der Patch ist nicht in der Baseline enthalten oder wird von der Baseline nicht genehmigt, ist aber auf dem verwalteten Knoten installiert. Der Patch wurde möglicherweise manuell installiert, das Paket könnte eine erforderliche Abhängigkeit von einem anderen genehmigten Patch sein, oder der Patch war möglicherweise Teil eines InstallOverrideList Vorgangs. Wenn Sie `Block` nicht als die **Zurückgewiesene Patches**-Aktion angeben, schließt `INSTALLED_OTHER` auch installiert, aber abgelehnte Patches ein.  | Konform | 
| **`INSTALLED_PENDING_REBOOT`** | `INSTALLED_PENDING_REBOOT` kann eines von zwei Dingen bedeuten:[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/patch-manager-compliance-states.html)<br />In keinem Fall bedeutet dies, dass ein Patch mit diesem Status einen Neustart *erfordert*, sondern nur, dass der Knoten seit der Installation des Patches nicht neu gestartet wurde. | Non-Compliant | 
| **`INSTALLED_REJECTED`** | Der Patch wird auf dem verwalteten Knoten installiert, jedoch in einer Liste der **Rejected patches** (Abgelehnte Patches) angegeben. Dies bedeutet normalerweise, dass der Patch installiert wurde, bevor er einer Liste der abgelehnten Patches hinzugefügt wurde. | Non-Compliant | 
| **`MISSING`** | Der Patch wurde in der Baseline genehmigt, aber nicht auf dem verwalteten Knoten installiert. Wenn Sie die `AWS-RunPatchBaseline`-Dokumentaufgabe zum Scannen (nicht Installieren) konfigurieren, meldet das System diesen Status bei Patches, die beim Scan gefunden wurden, aber noch nicht installiert sind. | Non-Compliant | 
| **`FAILED`** | Der Patch wurde an der Baseline genehmigt, konnte aber nicht installiert werden. Zum Beheben dieses Problems überprüfen Sie die Befehlsausgabe auf Informationen, die Ihnen helfen, das Problem zu verstehen. | Non-Compliant | 

## Patch-Compliance-Werte für andere Betriebssysteme
<a name="patch-compliance-values"></a>

Für alle Betriebssysteme außer Debian Server und Ubuntu Server werden die Regeln für die Paketklassifizierung in verschiedene Compliance-Zustände in der folgenden Tabelle beschrieben. 


|  Patch-Status | Description | Compliancewert | 
| --- | --- | --- | 
| **`INSTALLED`** | Der Patch wird in der Patch-Baseline aufgeführt und ist auf dem verwalteten Knoten installiert. Er könnte entweder manuell von einer Person oder automatisch von Patch Manager installiert worden sein, als das `AWS-RunPatchBaseline`-Dokument auf dem Knoten ausgeführt wurde. | Konform | 
| **`INSTALLED_OTHER`**¹ | Der Patch befindet sich nicht an der Baseline, ist aber auf dem verwalteten Knoten installiert. Hierfür gibt es zwei mögliche Gründe:[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/patch-manager-compliance-states.html) | Konform | 
| **`INSTALLED_REJECTED`** | Der Patch wird auf dem verwalteten Knoten installiert, jedoch in einer Liste der abgelehnten Patches angegeben. Dies bedeutet normalerweise, dass der Patch installiert wurde, bevor er einer Liste der abgelehnten Patches hinzugefügt wurde. | Non-Compliant | 
| **`INSTALLED_PENDING_REBOOT`** | `INSTALLED_PENDING_REBOOT` kann eines von zwei Dingen bedeuten:[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/patch-manager-compliance-states.html)<br />In keinem Fall bedeutet dies, dass ein Patch mit diesem Status einen Neustart *erfordert*, sondern nur, dass der Knoten seit der Installation des Patches nicht neu gestartet wurde. | Non-Compliant | 
| **`MISSING`** | Der Patch wurde in der Baseline genehmigt, aber nicht auf dem verwalteten Knoten installiert. Wenn Sie die `AWS-RunPatchBaseline`-Dokumentaufgabe zum Scannen (nicht Installieren) konfigurieren, meldet das System diesen Status bei Patches, die beim Scan gefunden wurden, aber noch nicht installiert sind. | Non-Compliant | 
| **`FAILED`** | Der Patch wurde an der Baseline genehmigt, konnte aber nicht installiert werden. Zum Beheben dieses Problems überprüfen Sie die Befehlsausgabe auf Informationen, die Ihnen helfen, das Problem zu verstehen. | Non-Compliant | 
| **`NOT_APPLICABLE`**¹ | *Dieser Compliance-Status wird nur in Windows Server-Betriebssystemen gemeldet.*<br />Der Patch wurde in der Baseline genehmigt, der Service oder dem Feature, die den Patch verwendet, wurde aber auf dem verwalteten Knoten nicht installiert. Beispielsweise würde ein Patch für einen Webserver-Service wie Internet Information Services (IIS) `NOT_APPLICABLE` anzeigen, wenn er in der Baseline genehmigt wurde, der Webservice jedoch nicht auf dem verwalteten Knoten installiert ist. Ein Patch kann auch als `NOT_APPLICABLE` markiert sein, wenn er durch ein nachfolgendes Update ersetzt wurde. Dies bedeutet, dass das spätere Update installiert ist und das `NOT_APPLICABLE`-Update nicht mehr benötigt wird. | Nicht zutreffend | 
| AVAILABLE\_SECURITY\_UPDATES | *Dieser Compliance-Status wird nur in Windows Server-Betriebssystemen gemeldet.*<br />Ein verfügbarer Sicherheitsupdate-Patch, der nicht von der Patch-Baseline genehmigt wurde, kann den Konformitätswert `Compliant` oder `Non-Compliant` haben, wie in einer benutzerdefinierten Patch-Baseline definiert.<br />Wenn Sie eine Patch-Baseline erstellen oder aktualisieren, wählen Sie den Status, den Sie Sicherheitspatches zuweisen möchten, die zwar verfügbar, aber nicht genehmigt sind, weil sie die in der Patch-Baseline angegebenen Installationskriterien nicht erfüllen. Beispielsweise können Sicherheitspatches, die Sie möglicherweise installieren möchten, übersprungen werden, wenn Sie eine lange Wartezeit für die Installation nach der Veröffentlichung eines Patches angegeben haben. Wenn während der von Ihnen angegebenen Wartezeit ein Update für den Patch veröffentlicht wird, beginnt die Wartezeit für die Installation des Patches von vorne. Wenn die Wartezeit zu lang ist, können mehrere Versionen des Patches veröffentlicht, aber nie installiert werden.<br />Bei der Anzahl der Patch-Zusammenfassungen gilt: Wenn ein Patch als `AvailableSecurityUpdate` gemeldet wird, ist er immer in `AvailableSecurityUpdateCount` enthalten. Wenn die Baseline so konfiguriert ist, dass diese Patches als `NonCompliant` gemeldet werden, ist sie auch in `SecurityNonCompliantCount` enthalten. Wenn die Baseline so konfiguriert ist, dass diese Patches als `Compliant` gemeldet werden, sind sie nicht in `SecurityNonCompliantCount` enthalten. Diese Patches werden immer mit einem nicht spezifizierten Schweregrad gemeldet und sind niemals in `CriticalNonCompliantCount` enthalten. | Konform oder Non-Compliant, abhängig von der ausgewählten Option für verfügbare Sicherheitsupdates. Wenn Sie die Konsole verwenden, um eine Patch-Baseline zu erstellen oder zu aktualisieren, geben Sie diese Option im Feld **Compliance-Status für verfügbare Sicherheitsupdates** an. Mit AWS CLI dem [https://docs.aws.amazon.com/cli/latest/reference/ssm/update-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/update-patch-baseline.html)Befehl [https://docs.aws.amazon.com/cli/latest/reference/ssm/create-patch-baseline.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/create-patch-baseline.html)oder geben Sie diese Option im `available-security-updates-compliance-status` Parameter an.  | 

¹ Für Patches mit dem Status `INSTALLED_OTHER` und `NOT_APPLICABLE`, lässt Patch Manager einige Daten aus Abfrageergebnissen aus, die auf dem Befehl [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patches.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-patches.html) basieren, z. B. die Werte für `Classification` und `Severity`. Dies geschieht, um zu verhindern, dass das Datenlimit für einzelne Knoten in Inventory, einem Tool in AWS Systems Manager, überschritten wird. Um alle Patch-Details anzuzeigen, können Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-available-patches.html) nutzen.