Valores de conformidade de patch para Debian Server, Raspberry Pi OS e Ubuntu Server Valores de conformidade de patches para outros sistemas operacionais

Valores de estados de conformidade de patches

As informações sobre patches de um nó gerenciado incluem um relatório do estado, ou status, de cada patch individual.

nota

Para atribuir um estado de conformidade de patch específico a um nó gerenciado, você pode usar o comando put-compliance-items da AWS Command Line Interface (AWS CLI) ou a operação de API PutComplianceItems. A atribuição do estado da conformidade não tem suporte no console.

Use as informações nas tabelas a seguir para ajudar você a identificar por que um nó gerenciado pode estar fora de conformidade com patches.

Valores de conformidade de patch para Debian Server, Raspberry Pi OS e Ubuntu Server

No Debian Server, Raspberry Pi OS e Ubuntu Server, as regras de classificação de pacotes em diferentes estados de conformidade estão descritas na tabela abaixo.

nota

Tenha em mente o seguinte ao avaliar os valores de status INSTALLED, INSTALLED_OTHER, e MISSING: se você não marcar a caixa de seleção Incluir atualizações não relacionadas à segurança ao criar ou atualizar listas de referência de patches, as versões candidatas de patch serão limitadas aos patches incluídos no trusty-security (Ubuntu Server 14.04 LTS), xenial-security (Ubuntu Server 16.04 LTS), bionic-security (Ubuntu Server 18.04 LTS), focal-security (Ubuntu Server 20.04 LTS), groovy-security (Ubuntu Server 20.10 STR), jammy-security (Ubuntu Server 22.04 LTS), ou debian-security (Debian Server e Raspberry Pi OS). Se você selecionar a caixa de seleção Incluir atualizações não relacionadas à segurança, os patches de outros repositórios também são considerados.

Estado do patch	Descrição	Compliance status (Status de conformidade)
`INSTALLED`	O patch está listado na lista de referência de patches e está instalado em seu nó gerenciado. Ele poderia ter sido instalado manualmente por um indivíduo, ou automaticamente pelo Patch Manager, quando o documento `AWS-RunPatchBaseline` foi executado em seu nó gerenciado.	Compatível
`INSTALLED_OTHER`	O patch não está incluído na lista de referência ou não é aprovado por ela, mas está instalado em seu nó gerenciado. O patch pode ter sido instalado manualmente, o pacote pode ser uma dependência necessária de outro patch aprovado ou o patch pode ter sido incluído em uma operação InstallOverrideList. Se você não especificar `Block` como a ação Rejected patches (Patches rejeitados), os patches `INSTALLED_OTHER` também incluirão os patches instalados, porém rejeitados.	Compatível
`INSTALLED_PENDING_REBOOT`	`INSTALLED_PENDING_REBOOT` pode significar uma de duas possibilidades: A operação Patch Manager `Install` aplicou o patch ao nó gerenciado, mas o nó não foi reinicializado desde que o patch foi aplicado. Isso geralmente significa que a opção `NoReboot` foi selecionada para o parâmetro `RebootOption` quando o documento `AWS-RunPatchBaseline` foi executado pela última vez em seu nó gerenciado. Para ter mais informações, consulte Nome do parâmetro: RebootOption. Um patch foi instalado fora do Patch Manager desde a última vez que o nó gerenciado foi reinicializado.	incompatível:
`INSTALLED_REJECTED`	O patch está instalado em seu nó gerenciado, mas está especificado em uma lista de patches rejeitados. Isso geralmente significa que o patch foi instalado antes de ser adicionado a uma lista de patches rejeitados.	incompatível:
`MISSING`	Pacotes que são filtrados através da linha de base e ainda não instalados.	incompatível:
`FAILED`	Failed: pacotes cuja instalação na operação de patch foi malsucedida.	incompatível:

Valores de conformidade de patches para outros sistemas operacionais

Para todos os sistemas operacionais além do Debian Server, Raspberry Pi OS e Ubuntu Server, as regras de classificação de pacotes em diferentes estados de conformidade estão descritas na tabela abaixo.

Estado do patch	Descrição	Valor da conformidade
`INSTALLED`	O patch está listado na lista de referência de patches e está instalado em seu nó gerenciado. Ele poderia ter sido instalado manualmente por um indivíduo, ou automaticamente pelo Patch Manager, quando o documento `AWS-RunPatchBaseline` foi executado em seu nó.	Compatível
6	O patch não está na lista de referência, mas está instalado em seu nó gerenciado. Há dois motivos possíveis para isso: O patch pode ter sido instalado manualmente. Somente Linux: o pacote pode ter sido instalado como uma dependência necessária de um patch diferente aprovado. Se você especificar `Allow as dependency` como a ação Patches rejeitados, os patches instalados como dependências receberão o status `INSTALLED_OTHER` de relatório. nota O Windows Server não é compatível com o conceito de dependências de patches. Para obter informações sobre como o Patch Manager lida com patches na lista de patches rejeitadosWindows Server, consulte Opções de lista de patches rejeitados em listas de referência de patches personalizados.	Compatível
`INSTALLED_REJECTED`	O patch está instalado em seu nó gerenciado, mas está especificado em uma lista de patches rejeitados. Isso geralmente significa que o patch foi instalado antes de ser adicionado a uma lista de patches rejeitados.	incompatível:
`INSTALLED_PENDING_REBOOT`	`INSTALLED_PENDING_REBOOT` pode significar uma de duas possibilidades: A operação Patch Manager `Install` aplicou o patch ao nó gerenciado, mas o nó não foi reinicializado desde que o patch foi aplicado. Isso geralmente significa que a opção `NoReboot` foi selecionada para o parâmetro `RebootOption` quando o documento `AWS-RunPatchBaseline` foi executado pela última vez em seu nó gerenciado. Para ter mais informações, consulte Nome do parâmetro: RebootOption. Um patch foi instalado fora do Patch Manager desde a última vez que o nó gerenciado foi reinicializado.	incompatível:
`MISSING`	O patch foi aprovado na lista de referência, mas não está instalado em seu nó gerenciado. Se você configurar a tarefa do documento `AWS-RunPatchBaseline` para verificar (em vez de instalar), o sistema relatará esse status para os patches que foram localizados durante a verificação, mas que não foram instalados.	incompatível:
6	O patch está aprovado na lista de referência, mas o serviço ou recurso que o utiliza não está instalado em seu nó gerenciado. Por exemplo, um patch para o serviço do servidor Web, como os Serviços de Informações da Internet (IIS), mostraria `NOT_APPLICABLE` se fosse aprovado na linha de base, mas o serviço da Web não está instalado em seu nó gerenciado. Um patch também pode ser marcado como `NOT_APPLICABLE` se tiver sido substituído por uma atualização subsequente. Isso significa que a atualização posterior está instalada e a atualização `NOT_APPLICABLE` não é mais necessária. nota Esse estado de conformidade só é indicado em sistemas operacionais Windows Server.	Não aplicável
`FAILED`	FAILED: o patch foi aprovado na linha de base, mas não pôde ser instalado. Para solucionar essa situação, reveja o resultado do comando para obter informações que possam ajudar você a entender o problema.	incompatível:

¹ Para patches com o estado INSTALLED_OTHER e NOT_APPLICABLE, o Patch Manager omite alguns dados dos resultados de consultas com base no comando describe-instance-patches, como os valores para Classification e Severity. Isso é feito para ajudar a evitar ultrapassar o limite de dados para nós individuais no Inventory, uma capacidade do AWS Systems Manager. Para visualizar todos os detalhes do patch, você pode usar o comando describe-available-patches.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Identificar nós gerenciados fora de conformidade

Aplicação de patches em nós gerenciados fora de conformidade