Valeurs de l’état de conformité des correctifs - AWS Systems Manager
Valeurs de conformité des correctifs pour Debian Server, Raspberry Pi OS et Ubuntu ServerValeurs de conformité des correctifs pour les autres systèmes d'exploitation

Valeurs de l’état de conformité des correctifs

Les informations relatives aux correctifs d'un nœud géré incluent un rapport sur l'état ou le statut de chaque correctif.

Note

Pour affecter un état de conformité spécifique à un nœud géré, vous pouvez utiliser la commande put-compliance-items de la AWS Command Line Interface (AWS CLI) ou l'opération d'API PutComplianceItems. L'attribution d'un état de conformité n'est pas prise en charge dans la console.

Utilisez les informations figurant dans les tableaux suivants pour identifier les raisons pour lesquelles une nœud géré peut ne pas être conforme en matière de correctifs.

Valeurs de conformité des correctifs pour Debian Server, Raspberry Pi OS et Ubuntu Server

Pour Debian Server, Raspberry Pi OS et Ubuntu Server, les règles de classification des packages dans les différents états de conformité sont décrites dans le tableau suivant.

Note

Lorsque vous évaluez les valeurs de statut INSTALLED, INSTALLED_OTHER et MISSING, n’oubliez pas que : si vous ne cochez pas la case Inclure les mises à jour non liées à la sécurité lors de la création ou de la mise à jour d’un référentiel de correctifs, les versions des correctifs candidates se limitent aux correctifs inclus dans trusty-security (Ubuntu Server 14.04 LTS), xenial-security (Ubuntu Server 16.04 LTS), bionic-security (Ubuntu Server 18.04 LTS), focal-security (Ubuntu Server 20.04 LTS), groovy-security (Ubuntu Server 20.10 STR), jammy-security (Ubuntu Server 22.04 LTS) ou debian-security (Debian Server et Raspberry Pi OS). Si vous cochez la case Inclure les mises à jour non liées à la sécurité, les correctifs provenant d'autres référentiels sont également pris en compte.

État du correctif Description Statut de conformité

INSTALLED

Le correctif est répertorié dans le référentiel de correctifs et est installé sur le nœud géré. Il a pu être installé manuellement par une personne ou automatiquement par Patch Manager lors de l'exécution du document AWS-RunPatchBaseline sur le nœud géré.

 Conforme

INSTALLED_OTHER

Le correctif n'est pas inclus dans le référentiel ou n'est pas approuvé par le référentiel, mais il est installé sur le nœud géré. Il se peut que le correctif ait été installé manuellement, que le package soit une dépendance obligatoire d'un autre correctif approuvé, ou que le correctif ait été inclus dans une opération InstallOverrideList. Si vous ne spécifiez pas Block comme l'action Correctifs rejetés, INSTALLED_OTHERinclut également les correctifs installés mais rejetés.

Conforme

INSTALLED_PENDING_REBOOT

INSTALLED_PENDING_REBOOT peut signifier une des deux choses suivantes :

  • L'opération Install de Patch Manager a appliqué le correctif sur le nœud géré, mais le nœud n'a pas été redémarré depuis l'application du correctif. Cela signifie généralement que le paramètre RebootOption a été défini sur NoReboot lors de la dernière exécution du document AWS-RunPatchBaseline sur le nœud géré.

    Pour en savoir plus, consultez Nom du paramètre: RebootOption.

  • Un correctif a été installé en dehors de Patch Manager depuis le dernier redémarrage du nœud géré.

Dans les deux cas, cela ne signifie pas qu’un correctif ayant cet état nécessite un redémarrage, mais seulement que le nœud n’a pas été redémarré depuis l’installation du correctif.

 Non-Compliant (Non conforme)

INSTALLED_REJECTED

Le correctif est installé sur le nœud géré, mais il figure dans une liste Rejected patches (Correctifs rejetés). Cela signifie généralement que le correctif a été installé avant d'être ajouté à la liste des correctifs rejetés.

 Non-Compliant (Non conforme)

MISSING

Packages qui sont filtrés via le référentiel, mais ne sont pas encore installés.

 Non-Compliant (Non conforme)

FAILED

Packages dont l'installation a échoué pendant l'opération d'application de correctif.

 Non-Compliant (Non conforme)

Valeurs de conformité des correctifs pour les autres systèmes d'exploitation

Pour tous les systèmes d'exploitation autres que Debian Server, Raspberry Pi OS et Ubuntu Server, les règles de classification des packages dans les différents états de conformité sont décrites dans le tableau suivant.

État du correctif Description Valeur de conformité

INSTALLED

Le correctif est répertorié dans le référentiel de correctifs et est installé sur le nœud géré. Il a pu être installé manuellement par une personne ou automatiquement par Patch Manager lors de l'exécution du document AWS-RunPatchBaseline sur le nœud.

 Conforme

INSTALLED_OTHER¹

Le correctif ne figure pas dans le référentiel, mais il est installé sur le nœud géré. Il y a deux raisons possibles à cela :

  1. Le correctif peut avoir été installé manuellement.

  2. Linux uniquement : le package a pu être installé en tant que dépendance obligatoire d’un correctif différent et approuvé. Si vous spécifiez Allow as dependency comme action de correctifs rejetés, les correctifs installés en tant que dépendances se voient attribuer l’état de signalement INSTALLED_OTHER.

    Note

    Windows Server ne prend pas en charge le concept de dépendances de correctifs. Pour plus d’informations sur la manière dont Patch Manager gère les correctifs dans la liste des correctifs rejetés sur Windows Server, consultez Options de la liste des correctifs rejetés dans les référentiels de correctifs personnalisés.

 Conforme

INSTALLED_REJECTED

Le correctif est installé sur le nœud géré, mais il figure dans une liste Rejected patches (Correctifs rejetés). Cela signifie généralement que le correctif a été installé avant d'être ajouté à la liste des correctifs rejetés.

 Non-Compliant (Non conforme)

INSTALLED_PENDING_REBOOT

INSTALLED_PENDING_REBOOT peut signifier une des deux choses suivantes :

  • L'opération Install de Patch Manager a appliqué le correctif sur le nœud géré, mais le nœud n'a pas été redémarré depuis l'application du correctif. Cela signifie généralement que le paramètre RebootOption a été défini sur NoReboot lors de la dernière exécution du document AWS-RunPatchBaseline sur le nœud géré.

    Pour en savoir plus, consultez Nom du paramètre: RebootOption.

  • Un correctif a été installé en dehors de Patch Manager depuis le dernier redémarrage du nœud géré.

Dans les deux cas, cela ne signifie pas qu’un correctif ayant cet état nécessite un redémarrage, mais seulement que le nœud n’a pas été redémarré depuis l’installation du correctif.

 Non-Compliant (Non conforme)

MISSING

Le correctif est approuvé dans le référentiel, mais il n'est pas installé sur le nœud géré. Si vous configurez la tâche de document AWS-RunPatchBaseline pour l'analyse (au lieu de l'installation), le système signale ce statut pour les correctifs qui ont été détectés lors de l'analyse, mais qui n'ont pas été installés.

 Non-Compliant (Non conforme)

NOT_APPLICABLE¹

Le correctif est approuvé dans le référentiel, mais le service ou la fonction qui l'utilise n'est pas installé sur le nœud géré. Par exemple, un correctif relatif à un service de serveur web tel qu'Internet Information Services (IIS) indique NOT_APPLICABLE s'il a été approuvé dans le référentiel, alors que le service web n'est pas installé sur le nœud géré. Un patch peut également être marqué NOT_APPLICABLE s'il a été remplacé par une mise à jour ultérieure. Cela signifie que la mise à jour ultérieure est installée et que la NOT_APPLICABLE mise à jour n'est plus requise.

Note

Ce statut de conformité est uniquement signalé sur les systèmes d'exploitation Windows Server.

Ne s’applique pas

FAILED

Le correctif est approuvé dans la référence, mais il n'a pas pu être installé. Pour résoudre ce problème, passez en revue la sortie de commande afin d'accéder à des informations supplémentaires susceptibles de vous aider à comprendre ce qui se passe.

 Non-Compliant (Non conforme)

¹ Pour les correctifs avec l’état INSTALLED_OTHER et NOT_APPLICABLE, Patch Manager omet certaines données dans les résultats des requêtes basées sur la commande describe-instance-patches, comme les valeurs pour Classification et Severity. Cela permet d'éviter de dépasser la limite de données pour les nœuds individuels dans l'iventaire, une fonctionnalité de AWS Systems Manager. Pour voir tous les détails des correctifs, vous pouvez utiliser la commande describe-available-patches.