Valores de estado de conformidad de las revisiones - AWS Systems Manager
Valores de conformidad de revisiones para Debian Server, Raspberry Pi OS y Ubuntu ServerValores de conformidad de parches para otros sistemas operativos

Valores de estado de conformidad de las revisiones

La información sobre las revisiones de un nodo administrado incluye un informe sobre el estado de cada revisión individual.

nota

Si desea asignar un estado de conformidad de revisiones específico a un nodo administrado, puede utilizar el comando de la AWS Command Line Interface (AWS CLI) put-compliance-items o la operación de la API PutComplianceItems. La asignación del estado de conformidad no se admite en la consola.

Utilice la información que aparece en las siguientes tablas para que pueda identificar el motivo por el cual un nodo administrado podría no estar en conformidad con las revisiones.

Valores de conformidad de revisiones para Debian Server, Raspberry Pi OS y Ubuntu Server

En el caso de Debian Server, Raspberry Pi OS y Ubuntu Server, las reglas para la clasificación de los paquetes en los diferentes estados de conformidad se describen en la siguiente tabla.

nota

Tenga en cuenta lo siguiente a la hora de evaluar los valores de estado INSTALLED, INSTALLED_OTHER y MISSING: si no selecciona la casilla de verificación Incluir actualizaciones no relacionadas con la seguridad cuando cree o actualice una línea de base de revisiones, las versiones candidatas a revisiones se limitan a las revisiones incluidas en trusty-security (Ubuntu Server 14.04 LTS), xenial-security (Ubuntu Server 16.04 LTS), bionic-security (Ubuntu Server 18.04 LTS), focal-security (Ubuntu Server 20.04 LTS), groovy-security (Ubuntu Server 20.10 STR), jammy-security (Ubuntu Server 22.04 LTS), o debian-security (Debian Server y Raspberry Pi OS). Si selecciona la casilla Include nonsecurity updates (Incluir actualizaciones no relacionadas con la seguridad), también se tendrán en cuenta los parches de otros repositorios.

Estado del parche Descripción Compliance status (Estado de conformidad)

INSTALLED

La revisión aparece en la base de referencia de revisiones y se instala en el nodo administrado. Podría haberse instalado de forma manual por un usuario o de forma automática por Patch Manager cuando se ejecutó el documento AWS-RunPatchBaseline en el nodo administrado.

 Conforme

INSTALLED_OTHER

La revisión no se incluye en la base de referencia ni se encuentra aprobada por ella, pero se instala en el nodo administrado. Es posible que el parche se haya instalado manualmente, que el paquete sea una dependencia necesaria de otro parche aprobado o que se haya incluido en una operación InstallOverrideList. Si no especifica Block como acción de parches rechazados, los parches INSTALLED_OTHER también incluyen los parches instalados pero que han sido rechazados.

Conforme

INSTALLED_PENDING_REBOOT

INSTALLED_PENDING_REBOOT puede significar cualquiera de las siguientes posibilidades:

  • La operación Install de Patch Manager aplicó la revisión al nodo administrado, pero el nodo no se ha reiniciado desde que se aplicó la revisión. Normalmente esto significa que se seleccionó la opción NoReboot para el parámetro RebootOption cuando el documento AWS-RunPatchBaseline se ejecutó por última vez en el nodo administrado. Para obtener más información, consulte Nombre del parámetro: RebootOption.

  • Se instaló un parche por fuera de Patch Manager desde última vez que se reinició el nodo administrado.

 No conforme

INSTALLED_REJECTED

La revisión está instalada en el nodo administrado, pero se especifica en una lista de revisiones rechazadas. Normalmente esto significa que el parche se instaló antes de que se añadiera a una lista de parches rechazados.

 No conforme

MISSING

Paquetes que se filtran a través de la base de referencia y aún no están instalados.

 No conforme

FAILED

Los paquetes que no se pudieron instalar durante la operación de aplicación de parches.

 No conforme

Valores de conformidad de parches para otros sistemas operativos

Para todos los sistemas operativos además de Debian Server, Raspberry Pi OS y Ubuntu Server, las reglas para la clasificación de los paquetes en los diferentes estados de conformidad se describen en la siguiente tabla.

Estado del parche Descripción Valor de conformidad

INSTALLED

La revisión aparece en la base de referencia de revisiones y se instala en el nodo administrado. Podría haberse instalado de forma manual por un usuario o de forma automática por Patch Manager cuando se ejecutó el documento AWS-RunPatchBaseline en el nodo.

 Conforme

INSTALLED_OTHER¹

La revisión no está en la base de referencia, pero se ha instalado en el nodo administrado. Existen dos razones posibles para ello:

  1. Es posible que la revisión se haya instalado manualmente.

  2. Solo para Linux: es posible que el paquete se haya instalado como una dependencia obligatoria de una revisión diferente aprobada. Si especifica Allow as dependency como la acción Revisiones rechazadas, las revisiones que se instalan como dependencias reciben el estado de notificación INSTALLED_OTHER.

    nota

    Windows Server no admite el concepto de dependencias de revisiones. Para obtener información sobre cómo Patch Manager gestiona las revisiones en la lista de revisiones rechazadasWindows Server, consulte las opciones de la lista de revisiones rechazadas en las líneas de base de revisiones personalizadas.

 Conforme

INSTALLED_REJECTED

La revisión está instalada en el nodo administrado, pero se especifica en una lista de revisiones rechazadas. Normalmente esto significa que el parche se instaló antes de que se añadiera a una lista de parches rechazados.

 No conforme

INSTALLED_PENDING_REBOOT

INSTALLED_PENDING_REBOOT puede significar cualquiera de las siguientes posibilidades:

  • La operación Install de Patch Manager aplicó la revisión al nodo administrado, pero el nodo no se ha reiniciado desde que se aplicó la revisión. Normalmente esto significa que se seleccionó la opción NoReboot para el parámetro RebootOption cuando el documento AWS-RunPatchBaseline se ejecutó por última vez en el nodo administrado. Para obtener más información, consulte Nombre del parámetro: RebootOption.

  • Se instaló un parche por fuera de Patch Manager desde última vez que se reinició el nodo administrado.

 No conforme

MISSING

La revisión está aprobada en la base de referencia, pero no se ha instalado en el nodo administrado. Si configura la tarea de documento AWS-RunPatchBaseline para analizar (en vez de instalar), el sistema informa este estado para los parches que se encontraron durante el análisis, pero que no se han instalado.

 No conforme

NOT_APPLICABLE¹

La revisión está aprobada en la base de referencia, pero el servicio o la característica que usa la revisión no se ha instalado en el nodo administrado. Por ejemplo, una revisión de un servicio de servidor web como Internet Information Services (IIS) mostrará NOT_APPLICABLE si se ha aprobado en la base de referencia, pero el servicio web no se ha instalado en el nodo administrado. También se puede marcar un parche NOT_APPLICABLE si se ha reemplazado por una actualización posterior. Esto significa que la actualización posterior está instalada y la actualización NOT_APPLICABLE ya no es necesaria.

nota

Este estado de conformidad solo se notifica en los sistemas operativos de Windows Server.

No aplicable

FAILED

El parche está aprobado en la base de referencia, pero no se ha podido instalar. Para resolver esta situación, revise la salida del comando para buscar información que pueda ayudarle a comprender el problema.

 No conforme

¹ Para revisiones con el estado INSTALLED_OTHER y NOT_APPLICABLE, Patch Manager omite algunos datos de los resultados de la consulta en función del comando describe-instance-patches, como los valores de Classification y Severity. Esto se hace para ayudar a evitar que se supere el límite de datos en los nodos individuales de Inventory, una función de AWS Systems Manager. Para ver todos los detalles de la revisión, puede utilizar el comando describe-available-patches.