修補程式合規狀態值 - AWS Systems Manager
Debian Server、Raspberry Pi OS 和 Ubuntu Server 修補程式的合規值適用於其他作業系統的修補程式合規值

修補程式合規狀態值

受管節點修補程式的相關資訊包括每個個別修補程式的狀態報告或狀態。

注意

如果您要將特定的修補程式合規狀態指派給受管節點,則可以使用 put-compliance-items AWS Command Line Interface (AWS CLI) 命令或 PutComplianceItems API 操作。主控台中不支援指派合規狀態。

使用下表中的資訊,協助您識別受管節點可能不符合修補程式規範的原因。

Debian Server、Raspberry Pi OS 和 Ubuntu Server 修補程式的合規值

對於 Debian Server、Raspberry Pi OS 和 Ubuntu Server,不同合規狀態的套件分類規則如以下資料表所示:

注意

請記住,當您評估 INSTALLEDINSTALLED_OTHERMISSING 狀態值時:如果您未在建立或更新修補基準時選取包含非安全性更新核取方塊,則修補程式候選版本僅限於 trusty-security (Ubuntu Server 14.04 LTS)、xenial-security (Ubuntu Server 16.04 LTS)、bionic-security (Ubuntu Server 18.04 LTS)、focal-security (Ubuntu Server 20.04 LTS)、 groovy-security (Ubuntu Server 20.10 STR)、jammy-security (Ubuntu Server 22.04 LTS) 或 debian-security (Debian Server 與 Raspberry Pi OS) 中包含的修補程式。如果選取 Include nonsecurity updates (包含非安全性更新) 核取方塊,則也會考慮來自其他儲存庫的修補程式。

修補程式狀態 描述 合規狀態

INSTALLED

修補程式列在修補基準中,而且已安裝在受管節點上。可能已經由個人手動安裝,或在受管節點上執行 AWS-RunPatchBaseline 文件時由 Patch Manager 自動安裝。

 合規

INSTALLED_OTHER

修補程式未包含在基準中,或未經基準核准,但已安裝在受管節點上。修補程式可能是手動安裝的,套件可能是另一個已核准修補程式的必要相依性,或者修補程式可能已包含在 InstallOverrideList 操作中。如果您不指定 Block 作為 Rejected patches (已拒絕的修補程式) 動作,則 INSTALLED_OTHER 修補程式也包含已安裝但拒絕的修補程式。

 合規

INSTALLED_PENDING_REBOOT

INSTALLED_PENDING_REBOOT 可表示下列兩種情況之一:

  • Patch Manager Install 操作已將修補程式套用至受管節點,但節點尚未在套用修補程式後重新啟動。這通常表示 NoReboot 文件上次在受管節點上執行時,已為 RebootOption 參數選取了 AWS-RunPatchBaseline 選項。

    如需詳細資訊,請參閱參數名稱:RebootOption

  • 自上次重新啟動受管節點以來,已在 Patch Manager 外部安裝修補程式。

在這兩種情況下,這都不表示具有此狀態的修補程式需要重新啟動,只表示自安裝修補程式以來尚未重新啟動節點。

 不合規

INSTALLED_REJECTED

修補程式已安裝在受管節點,但是列於 Rejected patches (已拒絕修補程式) 清單。這通常表示修補程式在加到遭拒的修補程式清單中前就已安裝。

 不合規

MISSING

透過基準篩選且尚未安裝的套件。

 不合規

FAILED

在修補程式操作過程中安裝失敗的套件。

 不合規

適用於其他作業系統的修補程式合規值

對於除 Debian Server、Raspberry Pi OS 和 Ubuntu Server 之外的所有作業系統,不同合規狀態的套件分類規則如以下資料表所示:

修補程式狀態 描述 合規值

INSTALLED

修補程式列在修補基準中,而且已安裝在受管節點上。可能已經由個人手動安裝,或在節點上執行 AWS-RunPatchBaseline 文件時由 Patch Manager 自動安裝。

 合規

INSTALLED_OTHER¹

修補程式不在基準範圍中,但安裝了受管節點。這有兩個可能的原因:

  1. 可能已手動安裝修補程式。

  2. 僅限 Linux:可能已安裝該套件,作為不同的已核准修補程式的必要相依性。如果將 Allow as dependency 指定為遭拒的修補程式動作,則安裝為相依性的修補程式會取得報告狀態 INSTALLED_OTHER

    注意

    Windows Server 不支援修補程式相依性的概念。如需有關 Patch Manager 如何處理 Windows Server 上遭拒的修補程式清單中之修補程式的資訊,請參閱自訂修補基準中遭拒的修補程式清單選項

 合規

INSTALLED_REJECTED

修補程式已安裝在受管節點,但是列於 Rejected patches (已拒絕修補程式) 清單。這通常表示修補程式在加到遭拒的修補程式清單中前就已安裝。

 不合規

INSTALLED_PENDING_REBOOT

INSTALLED_PENDING_REBOOT 可表示下列兩種情況之一:

  • Patch Manager Install 操作已將修補程式套用至受管節點,但節點尚未在套用修補程式後重新啟動。這通常表示 NoReboot 文件上次在受管節點上執行時,已為 RebootOption 參數選取了 AWS-RunPatchBaseline 選項。

    如需詳細資訊,請參閱參數名稱:RebootOption

  • 自上次重新啟動受管節點以來,已在 Patch Manager 外部安裝修補程式。

在這兩種情況下,這都不表示具有此狀態的修補程式需要重新啟動,只表示自安裝修補程式以來尚未重新啟動節點。

 不合規

MISSING

修補程式在基準中已核准,但未安裝在受管節點。如果您設定 AWS-RunPatchBaseline 文件任務掃描 (而不是安裝),系統會為在掃描期間找到,但尚未安裝的修補程式報告此狀態。

 不合規

NOT_APPLICABLE¹

修補程式在基準中已核准,但使用該修補程式的服務或功能尚未安裝在受管節點上。例如,若已在基準中核准,但尚未在受管節點上安裝 Web 服務,則 Internet Information Services (IIS) 等 Web 伺服器服務的修補程式會顯示 NOT_APPLICABLE。如果修補程式已由後續更新所取代,也可能標示為 NOT_APPLICABLE。這表示已安裝較新的更新,不再需要 NOT_APPLICABLE 更新。

注意

此合規狀態只會在 Windows Server 作業系統上報告。

 不適用

FAILED

修補程式在基準中已核准,但無法安裝在執行個體。若要排除這種情況,請檢視命令輸出的資訊,或許能幫助您了解問題。

 不合規

¹ 對於具有 INSTALLED_OTHERNOT_APPLICABLE 狀態的修補程式,Patch Manager 根據 describe-instance-patches 命令忽略了查詢結果中的一些資料,例如 ClassificationSeverity 的值。這樣做是為了防止超過 AWS Systems Manager 庫存功能中,對於個別節點的資料限制。若要檢視所有修補程式的詳細資訊,您可以使用 describe-available-patches 命令。