Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Generazione di report sulla conformità delle patch csv
Puoi utilizzare la AWS Systems Manager console per generare report di conformità delle patch che vengono salvati come file.csv in un bucket Amazon Simple Storage Service (Amazon S3) di tua scelta. È possibile generare un singolo report su richiesta o specificare una pianificazione per la generazione automatica dei report.
I report possono essere generati per un singolo nodo gestito o per tutti i nodi gestiti nell'area selezionata. Account AWS Regione AWS Per un singolo nodo, un report contiene dettagli completi, incluse le patch relative alla non conformità IDs di un nodo. Per un report su tutti i nodi gestiti, vengono fornite solo le informazioni di riepilogo e i conteggi delle patch dei nodi non conformi.
Dopo aver generato un report, puoi utilizzare uno strumento come Amazon QuickSight per importare e analizzare i dati. Amazon QuickSight è un servizio di business intelligence (BI) che puoi utilizzare per esplorare e interpretare le informazioni in un ambiente visivo interattivo. Per ulteriori informazioni, consulta la Amazon QuickSight User Guide.
Nota
Quando si crea una patch di base personalizzata, è possibile specificare un livello di gravità di conformità per le patch approvate da quella patch di base, ad esempio Critical
o High
. Se lo stato delle patch approvate viene riportato come Missing
, la gravità di conformità complessiva riportata dalla patch di base corrisponde al livello di gravità specificato.
Puoi anche specificare un argomento Amazon Simple Notification Service (AmazonSNS) da utilizzare per l'invio di notifiche quando viene generato un report.
Ruoli del servizio per la generazione di report sulla conformità delle patch
La prima volta che generi un report, Systems Manager crea un ruolo di automazione denominato AWS-SystemsManager-PatchSummaryExportRole
da utilizzare per il processo di esportazione a S3.
Nota
Se stai esportando dati di conformità in un bucket S3 crittografato, devi aggiornare la politica delle AWS KMS chiavi associata per fornire le autorizzazioni necessarie per. AWS-SystemsManager-PatchSummaryExportRole
Ad esempio, aggiungi un'autorizzazione simile a questa alla politica del tuo bucket S3: AWS KMS
{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "
role-arn
" }
Replace (Sostituisci) role-arn
con l'Amazon Resource Name (ARN) del file creato nel tuo account, nel formatoarn:aws:iam::
.111222333444
:role/service-role/AWS-SystemsManager-PatchSummaryExportRole
Per ulteriori informazioni, consulta Policy delle chiavi in AWS KMS nella Guida per gli sviluppatori di AWS Key Management Service .
La prima volta che si genera un rapporto in base a una pianificazione, Systems Manager crea un altro ruolo di servizio denominatoAWS-EventBridge-Start-SSMAutomationRole
, insieme al ruolo di servizio AWS-SystemsManager-PatchSummaryExportRole
(se non è già stato creato) da utilizzare per il processo di esportazione. AWS-EventBridge-Start-SSMAutomationRole
consente EventBridge ad Amazon di avviare un'automazione utilizzando il runbook AWS- ExportPatchReportTo S3.
Si consiglia di non tentare di modificare questi criteri e ruoli. In questo modo, la generazione del report sulla conformità delle patch potrebbe non riuscire. Per ulteriori informazioni, consulta Risoluzione dei problemi relativi alla generazione del report sulla conformità delle patch.
Argomenti
- Cosa c'è in un report sulla conformità delle patch generato?
- Generazione di report sulla conformità delle patch per un singolo nodo
- Generazione di report sulla conformità delle patch per tutti i nodi gestiti
- Visualizzazione della cronologia dei rapporti sulla conformità delle patch
- Visualizzazione delle pianificazioni di report sulla conformità delle patch
- Risoluzione dei problemi relativi alla generazione del report sulla conformità delle patch
Cosa c'è in un report sulla conformità delle patch generato?
In questo argomento vengono fornite informazioni sui tipi di contenuto inclusi nei report di conformità delle patch generati e scaricati in un bucket S3 specificato.
Un report generato per un singolo nodo gestito fornisce informazioni di riepilogo e dettagliate.
Scaricare un report di esempio (singolo nodo)
Le informazioni di riepilogo per un singolo nodo gestito includono quanto segue:
-
Indice
-
ID istanza
-
Instance name (Nome dell'istanza)
-
IP istanza
-
Nome piattaforma
-
Versione della piattaforma
-
SSM Agent version
-
Base di patch
-
Gruppo di patch
-
Compliance status (Stato di conformità)
-
Gravità di conformità
-
Conteggio delle patch di gravità critica non conforme
-
Conteggio delle patch a gravità elevata non conforme
-
Conteggio delle patch di gravità media non conforme
-
Conteggio delle patch a bassa gravità non conforme
-
Conteggio delle patch di gravità delle informazioni non conforme
-
Conteggio delle patch di gravità non conforme non specificato
Le informazioni dettagliate per un singolo nodo gestito includono quanto segue:
-
Indice
-
ID istanza
-
Instance name (Nome dell'istanza)
-
Nome patch
-
ID KB /ID patch
-
Stato della patch
-
Ora dell'ultimo report
-
Livelli di conformità
-
Gravità della patch
-
Classificazione di patch
-
CVEID
-
Base di patch
-
Registri URL
-
IP istanza
-
Nome piattaforma
-
Versione della piattaforma
-
SSM Agent version
Nota
Quando si crea una patch di base personalizzata, è possibile specificare un livello di gravità di conformità per le patch approvate da quella patch di base, ad esempio Critical
o High
. Se lo stato delle patch approvate viene riportato come Missing
, la gravità di conformità complessiva riportata dalla patch di base corrisponde al livello di gravità specificato.
Un report generato per tutti i nodi gestiti fornisce solo informazioni di riepilogo.
Scarica un report di esempio (tutti i nodi gestiti)
Le informazioni di riepilogo per tutti i nodi gestiti includono:
-
Indice
-
ID istanza
-
Instance name (Nome dell'istanza)
-
IP istanza
-
Nome piattaforma
-
Versione della piattaforma
-
SSM Agent version
-
Base di patch
-
Gruppo di patch
-
Compliance status (Stato di conformità)
-
Gravità di conformità
-
Conteggio delle patch di gravità critica non conforme
-
Conteggio delle patch a gravità elevata non conforme
-
Conteggio delle patch di gravità media non conforme
-
Conteggio delle patch a bassa gravità non conforme
-
Conteggio delle patch di gravità delle informazioni non conforme
-
Conteggio delle patch di gravità non conforme non specificato
Generazione di report sulla conformità delle patch per un singolo nodo
Utilizzare la procedura seguente per generare un report di riepilogo delle patch per un singolo nodo nel tuo Account AWS. Il rapporto per un singolo nodo gestito fornisce dettagli su ogni patch non conforme, inclusi i nomi delle patch eIDs.
Per generare report sulla conformità delle patch per un singolo nodo gestito
Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/
. Nel riquadro di navigazione, scegli Patch Manager.
-
Seleziona la scheda Report di conformità.
-
Scegli il pulsante relativo alla riga del nodo gestito per il quale generare un report e quindi fai clic su Visualizza i dettagli.
-
Sulla sezione Pagina di riepilogo patch, scegli Esporta in S3.
-
Per Nome del report, immetti un nome per semplificare l'identificazione del report in un secondo momento.
-
Per Frequenza di report, scegli una delle opzioni seguenti:
-
On demand - Consente di creare un report una tantum. Passare alla fase 9.
-
In un programma - Specifica una pianificazione ricorrente per la generazione automatica dei report. Continua alla fase 8.
-
-
Per Tipo di pianificazione, specifica un'espressione di frequenza, ad esempio ogni 3 giorni, o fornire un'espressione cron per impostare la frequenza del report.
Per informazioni sulle espressioni cron, consulta Riferimento: espressioni Cron e Rate per Systems Manager.
-
Per Nome bucket, seleziona il nome di un bucket S3 in cui memorizzare i file di report CSV.
Importante
Se lavori in un Regione AWS bucket lanciato dopo il 20 marzo 2019, devi selezionare un bucket S3 nella stessa regione. Le regioni lanciate dopo tale data sono state disattivate per impostazione predefinita. Per ulteriori informazioni e un elenco di queste regioni, consulta Abilitazione di una regione in nella Riferimenti generali di Amazon Web Services.
-
(Facoltativo) Per inviare notifiche quando viene generato il report, espandi la sezione dell'SNSargomento, quindi scegli un SNS argomento Amazon esistente dall'SNSargomento Amazon Resource Name (ARN).
-
Scegli Invia.
Per informazioni sulla visualizzazione di una cronologia dei report generati, consulta Visualizzazione della cronologia dei rapporti sulla conformità delle patch.
Per informazioni sulla visualizzazione dei dettagli delle pianificazioni di report create, consulta Visualizzazione delle pianificazioni di report sulla conformità delle patch.
Generazione di report sulla conformità delle patch per tutti i nodi gestiti
Utilizza la procedura seguente per generare un report di riepilogo delle patch per tutti i nodi gestiti in Account AWS. Il report per tutti i nodi gestiti indica quali nodi non sono conformi e il numero di patch non conformi. Non fornisce i nomi o altri identificatori delle patch. Per questi dettagli aggiuntivi, è possibile generare un report sulla conformità delle patch per un singolo nodo gestito. Per ulteriori informazioni, consulta la sezione Generazione di report sulla conformità delle patch per un singolo nodo riportata in precedenza in questo argomento.
Per generare report sulla conformità delle patch per tutti i nodi gestiti
Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/
. Nel riquadro di navigazione, scegli Patch Manager.
-
Seleziona la scheda Report di conformità.
-
Scegli Esportazione in S3. (Non selezionare prima un ID nodo.)
-
Per Nome del report, immetti un nome per semplificare l'identificazione del report in un secondo momento.
-
Per Frequenza di report, scegli una delle opzioni seguenti:
-
On demand - Consente di creare un report una tantum. Passare alla fase 8.
-
In un programma - Specifica una pianificazione ricorrente per la generazione automatica dei report. Continuare con la fase 7.
-
-
Per Tipo di pianificazione, specifica un'espressione di frequenza, ad esempio ogni 3 giorni, o fornire un'espressione cron per impostare la frequenza del report.
Per informazioni sulle espressioni cron, consulta Riferimento: espressioni Cron e Rate per Systems Manager.
-
Per Nome bucket, seleziona il nome di un bucket S3 in cui memorizzare i file di report CSV.
Importante
Se lavori in un Regione AWS bucket lanciato dopo il 20 marzo 2019, devi selezionare un bucket S3 nella stessa regione. Le regioni lanciate dopo tale data sono state disattivate per impostazione predefinita. Per ulteriori informazioni e un elenco di queste regioni, consulta Abilitazione di una regione in nella Riferimenti generali di Amazon Web Services.
-
(Facoltativo) Per inviare notifiche quando viene generato il report, espandi la sezione dell'SNSargomento, quindi scegli un SNS argomento Amazon esistente dall'SNSargomento Amazon Resource Name (ARN).
-
Scegli Invia.
Per informazioni sulla visualizzazione di una cronologia dei report generati, consulta Visualizzazione della cronologia dei rapporti sulla conformità delle patch.
Per informazioni sulla visualizzazione dei dettagli delle pianificazioni di report create, consulta Visualizzazione delle pianificazioni di report sulla conformità delle patch.
Visualizzazione della cronologia dei rapporti sulla conformità delle patch
Utilizza le informazioni contenute in questo argomento per visualizzare i dettagli sui report di conformità delle patch generati nel tuo Account AWS.
Visualizzazione della cronologia dei rapporti sulla conformità delle patch
Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/
. Nel riquadro di navigazione, scegli Patch Manager.
-
Seleziona la scheda Report di conformità.
-
Scegliere Visualizza tutte le esportazioni di S3 e quindi selezionare la scheda Cronologia dell'esportazione.
Visualizzazione delle pianificazioni di report sulla conformità delle patch
Utilizza le informazioni contenute in questo argomento per visualizzare i dettagli sulle pianificazioni di segnalazione della conformità delle patch create nel tuo Account AWS.
Visualizzazione della cronologia dei rapporti sulla conformità delle patch
Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/
. Nel riquadro di navigazione, scegli Patch Manager.
-
Seleziona la scheda Report di conformità.
-
Sceglie Visualizza tutte le esportazioni di S3 e quindi selezionare la casella Regole di report pianificati.
Risoluzione dei problemi relativi alla generazione del report sulla conformità delle patch
Utilizza le seguenti informazioni per aiutarti a risolvere i problemi relativi alla generazione dei report di conformità delle patch in Patch Manager, una capacità di. AWS Systems Manager
Argomenti
Un messaggio segnala che la policy AWS-SystemsManager-PatchManagerExportRolePolicy
è danneggiata
Problema: viene visualizzato un messaggio di errore simile al seguente, indicando che AWS-SystemsManager-PatchManagerExportRolePolicy
è danneggiato:
An error occurred while updating the AWS-SystemsManager-PatchManagerExportRolePolicy
policy. If you have edited the policy, you might need to delete the policy, and any
role that uses it, then try again. Systems Manager recreates the roles and policies
you have deleted.
-
Soluzione: utilizzare Patch Manager console o AWS CLI per eliminare i ruoli e le politiche interessati prima di generare un nuovo rapporto di conformità delle patch.
Per eliminare la policy danneggiata utilizzando la console
Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/
. -
Esegui una di queste operazioni:
Report on demand - Se il problema si è verificato durante la generazione di un report su richiesta una tantum, nella navigazione a sinistra selezionare Policy, cercare
AWS-SystemsManager-PatchManagerExportRolePolicy
, quindi eliminare la policy. Quindi, selezionare Ruoli, cercareAWS-SystemsManager-PatchSummaryExportRole
ed eliminare il ruolo.Report pianificati - Se il problema si è verificato durante la generazione di un report in base a una pianificazione, nella navigazione a sinistra seleziona Policy, cerca uno alla volta per
AWS-EventBridge-Start-SSMAutomationRolePolicy
eAWS-SystemsManager-PatchManagerExportRolePolicy
ed elimina ogni policy. Quindi, selezionare Ruoli, cerca uno alla volta perAWS-EventBridge-Start-SSMAutomationRole
eAWS-SystemsManager-PatchSummaryExportRole
ed eliminare ogni ruolo.
Per eliminare la politica danneggiata, utilizzare il AWS CLI
Sostituire il
placeholder values
con l'ID del tuo account.-
Se il problema si è verificato durante la generazione di un report monouso su richiesta, esegui i seguenti comandi:
aws iam delete-policy --policy-arn arn:aws:iam::
account-id
:policy/AWS-SystemsManager-PatchManagerExportRolePolicyaws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole
Se il problema si è verificato durante la generazione di un report monouso su richiesta, esegui i seguenti comandi:
aws iam delete-policy --policy-arn arn:aws:iam::
account-id
:policy/AWS-EventBridge-Start-SSMAutomationRolePolicyaws iam delete-policy --policy-arn arn:aws:iam::
account-id
:policy/AWS-SystemsManager-PatchManagerExportRolePolicyaws iam delete-role --role-name AWS-EventBridge-Start-SSMAutomationRole
aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole
Dopo aver completato una delle due procedure, segui i passaggi per generare o pianificare un nuovo report sulla conformità delle patch.
Dopo aver eliminato i ruoli o i criteri di conformità delle patch, i report pianificati non vengono generati correttamente
Problema: la prima volta che si genera un report, Systems Manager crea un ruolo di servizio e una policy da utilizzare per il processo di esportazione (AWS-SystemsManager-PatchSummaryExportRole
e AWS-SystemsManager-PatchManagerExportRolePolicy
). La prima volta che si genera un report in base a una pianificazione, Systems Manager crea un altro ruolo di servizio e una policy (AWS-EventBridge-Start-SSMAutomationRole
e AWS-EventBridge-Start-SSMAutomationRolePolicy
). Questi consentono EventBridge ad Amazon di avviare un'automazione utilizzando il runbook AWS- ExportPatchReportTo S3.
Se elimini una di queste politiche o ruoli, le connessioni tra la tua pianificazione e il bucket S3 specificato e l'SNSargomento Amazon potrebbero andare perse.
-
Soluzione: per risolvere questo problema, si consiglia di eliminare la pianificazione precedente e di creare una nuova pianificazione per sostituire quella che si verificava problemi.