OS Inventory Management

Questa pagina fornisce una panoramica di OS Inventory Management. Per informazioni sulla configurazione e sull'utilizzo di OS Inventory Management, vedi Visualizzare i dettagli del sistema operativo.

Utilizza OS Inventory Management per raccogliere e visualizzare i dettagli del sistema operativo per le tue istanze di macchine virtuali (VM). Questi dettagli del sistema operativo includono informazioni come nome host, sistema operativo e versione del kernel. Puoi anche ottenere informazioni sui pacchetti del sistema operativo installati, sugli aggiornamenti dei pacchetti del sistema operativo disponibili, sulle applicazioni Windows e sulle vulnerabilità del sistema operativo.

Quando utilizzare OS Inventory Management

OS Inventory Management può essere utilizzato per completare le seguenti attività:

  • Identificare le VM che eseguono una versione specifica di un sistema operativo
  • Visualizzare i pacchetti del sistema operativo installati su una VM
  • Genera un elenco degli aggiornamenti dei pacchetti del sistema operativo disponibili per ogni VM
  • Identificare pacchetti, aggiornamenti o patch del sistema operativo mancanti per una VM
  • Visualizzare i report sulle vulnerabilità per una VM

Come funziona OS Inventory Management

Quando la gestione dell'inventario del sistema operativo è abilitata, l'agente OS Config esegue una scansione dell'inventario per raccogliere i dati, quindi invia queste informazioni al server dei metadati, all'API OS Config e a vari flussi di log. Questa scansione viene eseguita ogni 10 minuti sulla VM.

Per attivare la gestione dell'inventario del sistema operativo, VM Manager deve essere configurato sulla VM. Consulta Configura VM Manager.

Dopo aver configurato VM Manager, puoi eseguire query sull'API OS Config o sugli attributi guest per recuperare informazioni sul sistema operativo in esecuzione su una VM. Vedi Visualizzare i dettagli del sistema operativo.

Come vengono raccolti i dati del sistema operativo

Per le VM Linux, l'agente OS Config viene eseguito sulla VM e analizza /etc/os-release o il file equivalente per la distribuzione Linux per raccogliere i dettagli del sistema operativo. L'agente OS Config utilizza anche gestori di pacchetti come apt, yum o GooGet per raccogliere informazioni sui pacchetti installati e sugli aggiornamenti disponibili per l'istanza.

Per le VM Windows, l'agente OS Config utilizza le API di sistema Windows per raccogliere i dettagli delle informazioni sul sistema operativo. L'agente Windows Update viene utilizzato anche per trovare gli aggiornamenti installati e disponibili.

Dove vengono memorizzati i dati del sistema operativo

I dati di inventario vengono archiviati nell'API OS Config. I contenuti dei pacchetti installati e degli aggiornamenti dei pacchetti vengono compressi utilizzando gzip per risparmiare spazio e poi codificati in base64.

Logging

Durante la raccolta e l'archiviazione dei dati, l'agente OS Config scrive i log attività nei vari flussi di log su Compute Engine. tra cui:

  • La porta seriale
  • Log di sistema: log eventi di Windows e syslog di Linux
  • Flussi standard - stdout
  • Log di Cloud Logging: questi log sono disponibili solo se Cloud Logging è abilitato nell'istanza VM.

Informazioni fornite da OS Inventory Management

La gestione dell'inventario del sistema operativo può fornire le seguenti informazioni sul sistema operativo in esecuzione sulla tua istanza VM:

  • Nome host
  • LongName: il nome dettagliato del sistema operativo. Ad esempio, Microsoft Windows Server 2016 Datacenter.
  • ShortName: la forma abbreviata del nome del sistema operativo. Ad esempio, Windows.
  • Versione kernel
  • Architettura del sistema operativo
  • Versione sistema operativo
  • Versione agente OS Config
  • Ultimo aggiornamento: un timestamp dell'ultima volta che l'agente ha eseguito correttamente la scansione del sistema e ha aggiornato gli attributi guest con i dati dell'inventario del sistema operativo.

Informazioni sul pacchetto del sistema operativo e sull'applicazione installati

La tabella seguente riassume le informazioni fornite da OS Inventory Management per i pacchetti del sistema operativo installati sulle VM Linux e Windows. Inoltre, descrive le informazioni disponibili per le applicazioni in esecuzione su Windows.

Sistema operativo Gestore di pacchetti Campi disponibili
Linux e Windows Server Le informazioni sui pacchetti installati sono disponibili dai seguenti gestori di pacchetti:
  • RPM per Red Hat Enterprise Linux (RHEL)
  • DEB per Debian e Ubuntu
  • GooGet per Windows Server
 Per ogni pacchetto installato vengono fornite le seguenti informazioni:
  • Nome del pacchetto
  • Architettura
  • Versione
Windows Server Agente Windows Update I seguenti campi sono elencati per gli aggiornamenti di Windows:
  • Titolo
  • Descrizione
  • Categorie
  • CategoryIDs1
  • KBArticleIDs
  • SupportURL
  • UpdateID1
  • RevisionNumber1
  • LastDeploymentChangeTime
Windows Server Aggiornamenti di Windows Quick Fix Engineering I seguenti campi sono elencati per gli aggiornamenti di QuickFixEngineering
  • Didascalia
  • Descrizione
  • HotFixID
  • InstalledOn
Windows Server Windows Installer 2 I seguenti campi sono elencati per Windows Installer:
  • DisplayName
  • DisplayVersion
  • Publisher
  • InstallDate
  • HelpLink

1Questo campo è nascosto nell'output predefinito della riga di comando gcloud compute instances os-inventory describe. Per visualizzare questo campo, devi visualizzare l'output in formato JSON. Per visualizzare l'output in formato JSON, aggiungi --format=JSON al comando gcloud. Per ulteriori informazioni sulla formattazione dell'output, consulta gcloud topic formats.

2Per visualizzare le proprietà del programma di installazione per le applicazioni Windows, devi utilizzare l'agente OS Config versione 20210811 o successive. Per visualizzare la versione dell'agente, vedi Visualizza la versione dell'agente OS Config.

Informazioni sugli aggiornamenti dei pacchetti del sistema operativo disponibili

La tabella seguente riassume le informazioni di aggiornamento che OS Inventory Management fornisce per i pacchetti del sistema operativo installati.

Sistema operativo Gestore di pacchetti Campi disponibili
Linux e Windows Server Le informazioni sugli aggiornamenti dei pacchetti sono disponibili dai seguenti gestori di pacchetti:
  • Yum per Red Hat Enterprise Linux (RHEL)
  • Apt per Debian e Ubuntu
  • GooGet per Windows Server
 Per ogni aggiornamento del pacchetto disponibile vengono fornite le seguenti informazioni:
  • Nome del pacchetto
  • Architettura
  • Versione
Windows Server Agente Windows Update I seguenti campi sono elencati per gli aggiornamenti di Windows:
  • Titolo
  • Descrizione
  • Categorie
  • CategoryIDs1
  • KBArticleIDs
  • SupportURL
  • UpdateID1
  • RevisionNumber1
  • LastDeploymentChangeTime

1Questo campo è nascosto nell'output predefinito della riga di comando gcloud compute instances os-inventory describe. Per visualizzare questo campo, devi visualizzare l'output in formato JSON. Per visualizzare l'output in formato JSON, aggiungi --format=JSON al comando gcloud. Per ulteriori informazioni sulla formattazione dell'output, consulta gcloud topic formats.

Report sulle vulnerabilità

Le vulnerabilità del software sono debolezze che possono causare un guasto accidentale del sistema o attività dannose. Per le VM, una vulnerabilità può essere un problema nel codice o nella logica di funzionamento dei pacchetti del sistema operativo o delle applicazioni software.

Le vulnerabilità associate ai pacchetti del sistema operativo installati vengono normalmente archiviate in un repository di origine delle vulnerabilità. Per ulteriori informazioni su queste fonti di vulnerabilità, consulta Fonti di vulnerabilità. Puoi utilizzare OS Inventory Management per visualizzare i report sulle vulnerabilità relative a problemi con i pacchetti del sistema operativo installati.

Per ottenere i dati sulle vulnerabilità per una VM, è necessario configurare VM Manager e sulla VM deve essere in esecuzione l'agente OS Config della versione 20201110 o successiva. Consulta Configurazione di VM Manager.

Dopo aver configurato l'agente OS Config e aver generato report sull'inventario, il servizio API OS Config esegue continuamente la scansione e il controllo dell'origine delle vulnerabilità del sistema operativo rispetto ai dati di inventario disponibili. Quando viene rilevata una vulnerabilità nei pacchetti del sistema operativo, il servizio genera un report sulle vulnerabilità. Questi report vengono generati come segue:

  • Quando un pacchetto viene installato o aggiornato nel sistema operativo di una VM, puoi aspettarti di visualizzare le informazioni sulle vulnerabilità ed esposizioni comuni (CVE) per la VM in VM Manager, Security Command Center e Cloud Asset Inventory entro due ore dalla modifica.
  • Quando vengono pubblicati nuovi avvisi di sicurezza per un sistema operativo, i CVE aggiornati sono normalmente disponibili entro 24 ore dalla pubblicazione dell'avviso da parte del fornitore del sistema operativo.

Per visualizzare questi report sulle vulnerabilità, consulta Visualizzare i report sulle vulnerabilità.

Come vengono generati i report sulle vulnerabilità

VM Manager completa periodicamente le seguenti attività:

  1. Legge i report raccolti dai dati di inventario del sistema operativo su una VM.
  2. Esegue la scansione dei dati di classificazione dall'origine della vulnerabilità per ogni sistema operativo e ordina questi dati in base alla gravità (dal più alto al più basso), almeno una volta al giorno.
  3. Mostra i dati CVE per una VM nella console Google Cloud . Puoi anche visualizzare i report sulle vulnerabilità utilizzando Security Command Center o Cloud Asset Inventory.

Fonti di vulnerabilità

La tabella seguente riepiloga l'origine delle vulnerabilità utilizzata per ciascun sistema operativo. Per un elenco completo dei sistemi operativi supportati e delle relative versioni, consulta Dettagli del sistema operativo.

Sistema operativo Pacchetto di origine delle vulnerabilità
RHEL e CentOS https://access.redhat.com/security/data

Vedi Limitazioni
Debian https://security-tracker.debian.org/tracker
Ubuntu https://launchpad.net/ubuntu-cve-tracker
SLES https://ftp.suse.com/pub/projects/security/oval/
Rocky Linux https://errata.rockylinux.org/
Windows Dati sulle vulnerabilità pubblicati dal Microsoft Security Response Center.

Conservazione dei dati

I dati dell'inventario e dei report sulle vulnerabilità del sistema operativo vengono archiviati fino all'eliminazione della VM. Tuttavia, se per qualsiasi motivo l'agente OS Config smette di inviare report al servizio API OS Config per alcuni giorni, VM Manager elimina i dati disponibili dell'inventario del sistema operativo e del report sulle vulnerabilità raccolti fino a quel momento. Nessun dato sarà disponibile per quella VM finché l'agente OS Config non riprende l'esecuzione.

Prezzi

Per informazioni sui prezzi, consulta Prezzi di VM Manager.

Limitazioni

La seguente limitazione si applica alla gestione dell'inventario del sistema operativo:

  • VM Manager fornisce i risultati dell'analisi delle vulnerabilità per RHEL in base all'ultima versione secondaria per ogni versione principale rilasciata. Se la tua VM esegue una versione secondaria precedente di RHEL, potresti ottenere risultati imprecisi nei report sulle vulnerabilità.

Passaggi successivi