Valori dello stato di conformità delle patch - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Valori dello stato di conformità delle patch

Le informazioni sulle patch per un nodo gestito includono un rapporto sullo stato di ogni singola patch.

Nota

Se desideri assegnare uno stato di conformità delle patch specifico a un nodo gestito, puoi utilizzare il put-compliance-items AWS Command Line Interface comando (AWS CLI) o PutComplianceItemsAPIoperazione. L'assegnazione dello stato di conformità non è supportata nella console.

Utilizza le informazioni riportate nelle tabelle seguenti per riuscire a identificare i motivi per cui un nodo gestito potrebbe non essere conforme alle patch.

Valori di conformità delle patch per Debian Server, Raspberry Pi OSe Ubuntu Server

In Debian Server, Raspberry Pi OSe Ubuntu Server, le regole per la classificazione dei pacchetti nei diversi stati di conformità sono descritte nella tabella seguente.

Nota

Quando valuti i valori, e di MISSING stato INSTALLEDINSTALLED_OTHER, tieni presente quanto segue: se non selezioni la casella di controllo Includi aggiornamenti non relativi alla sicurezza durante la creazione o l'aggiornamento di una baseline di patch, le versioni candidate alle patch sono limitate alle patch incluse in (trusty-securityUbuntu Server 14.04), (LTSxenial-securityUbuntu Server 16,04LTS), (bionic-securityUbuntu Server 18,04LTS), (focal-securityUbuntu Server 20,04LTS), (groovy-securityUbuntu Server 20.10STR), (jammy-securityUbuntu Server 22.04LTS), oppure (debian-securityDebian Server e Raspberry Pi OS). Se si seleziona la casella di controllo Includi aggiornamenti non relativi alla sicurezza, vengono prese in considerazione anche le patch di altri repository.

Stato della patch Descrizione Compliance status (Stato di conformità)

INSTALLED

La patch non è inclusa nella patch di base, ma è installata nel nodo gestito. Potrebbe essere stato installato manualmente da un singolo utente o automaticamente da Patch Manager quando il AWS-RunPatchBaseline documento è stato eseguito sul nodo gestito.

Conforme

INSTALLED_OTHER

La patch non è inclusa nella base o non è approvata dalla base ma è installata nel nodo gestito. La patch potrebbe essere stata installata manualmente, il pacchetto potrebbe essere una dipendenza obbligatoria di un'altra patch approvata oppure la patch potrebbe essere stata inclusa in un' InstallOverrideList operazione. Se non indichi Block come azione Patch rifiutate, INSTALLED_OTHER include anche patch installate ma rifiutate.

Conforme

INSTALLED_PENDING_REBOOT

INSTALLED_PENDING_REBOOTpuò significare una delle due cose:

  • Il Patch Manager Installoperation ha applicato la patch al nodo gestito, ma il nodo non è stato riavviato da quando è stata applicata la patch. Ciò significa in genere che l'opzione NoReboot è stata selezionata per il parametro RebootOption quando il documento AWS-RunPatchBaseline è stato eseguito l'ultima volta sul nodo gestito. Per ulteriori informazioni, consulta Nome parametro: RebootOption.

  • È stata installata una patch all'esterno di Patch Manager dall'ultima volta che il nodo gestito è stato riavviato.

Non conforme

INSTALLED_REJECTED

La patch è installata nel nodo gestito, ma è specificata in un elenco di Patch rifiutate. Questo in genere significa che la patch è stata installata prima di essere aggiunta a un elenco di patch rifiutate.

Non conforme:

MISSING

Pacchetti filtrati attraverso la base e non già installati.

Non conforme

FAILED

Pacchetti la cui installazione non è andata a buon fine durante l'operazione di applicazione delle patch.

Non conforme:

Valori di conformità delle patch per altri sistemi operativi

Oltre a tutti i sistemi operativi Debian Server, Raspberry Pi OSe Ubuntu Server, le regole per la classificazione dei pacchetti nei diversi stati di conformità sono descritte nella tabella seguente.

Stato della patch Descrizione Valore di conformità

INSTALLED

La patch non è inclusa nella patch di base, ma è installata nel nodo gestito. Potrebbe essere stato installato manualmente da un singolo utente o automaticamente da Patch Manager quando il AWS-RunPatchBaseline documento è stato eseguito sul nodo.

Conforme

INSTALLED_OTHER¹

La patch non è inclusa nella baseline, ma è installata nel nodo. Ciò può essere dovuto a due possibili ragioni:

  1. La patch potrebbe essere stata installata manualmente.

  2. Solo Linux: il pacchetto potrebbe essere stato installato come dipendenza richiesta di una patch diversa e approvata. Se si specifica Allow as dependency come azione Rejected patches, alle patch installate come dipendenze viene assegnato lo stato di segnalazione. INSTALLED_OTHER

    Nota

    Windows Server non supporta il concetto di dipendenze dalle patch. Per informazioni su come Patch Manager gestisce le patch nell'elenco delle patch rifiutate su Windows Server, vedi Opzioni dell'elenco delle patch rifiutate nelle linee di base delle patch personalizzate.

Conforme

INSTALLED_REJECTED

La patch è installata nel nodo gestito, ma è specificata in un elenco di Patch rifiutate. Questo in genere significa che la patch è stata installata prima di essere aggiunta a un elenco di patch rifiutate.

Non conforme:

INSTALLED_PENDING_REBOOT

INSTALLED_PENDING_REBOOTpuò significare una delle due cose:

  • Il Patch Manager Installoperation ha applicato la patch al nodo gestito, ma il nodo non è stato riavviato da quando è stata applicata la patch. Ciò significa in genere che l'opzione NoReboot è stata selezionata per il parametro RebootOption quando il documento AWS-RunPatchBaseline è stato eseguito l'ultima volta sul nodo gestito. Per ulteriori informazioni, consulta Nome parametro: RebootOption.

  • È stata installata una patch all'esterno di Patch Manager dall'ultima volta che il nodo gestito è stato riavviato.

Non conforme

MISSING

La patch è approvata nella baseline, ma non è installata nel nodo gestito. Se configuri l'attività del documento AWS-RunPatchBaseline per l'analisi anziché per l'installazione, il sistema riporta questo stato per le patch individuate durante l'analisi ma non installate.

Non conforme

NOT_APPLICABLE¹

La patch è approvata nella baseline, ma la caratteristica o il servizio da cui viene utilizzata non è installato nel nodo gestito. Ad esempio, una patch per un servizio di server Web come Internet Information Services (IIS) mostrerebbe NOT_APPLICABLE se è stata approvata nella linea di base, ma il servizio Web non è installato sul nodo gestito. Una patch può anche essere contrassegnata NOT_APPLICABLE se è stata sostituita da un aggiornamento successivo. Ciò significa che è installato l'aggiornamento più recente e che l'aggiornamento NOT_APPLICABLE non è più richiesto.

Nota

Questo stato di conformità viene riportato solo su Windows Server sistemi operativi.

Non applicabile

FAILED

La patch è approvata nella baseline, ma non è stato possibile installarla. Per risolvere questa situazione, esamina l'output del comando per ottenere informazioni utili per comprendere il problema.

Non conforme

¹ Per le patch con lo stato INSTALLED_OTHER e, NOT_APPLICABLE Patch Manager omette alcuni dati dai risultati delle query in base a describe-instance-patchescomando, ad esempio i valori per Classification eSeverity. Questo viene fatto per evitare il superamento del limite di dati per i singoli nodi di Inventory, una funzionalità di AWS Systems Manager. Per visualizzare tutti i dettagli della patch, puoi utilizzare il describe-available-patchescomando.