本頁提供 OS 資訊清單管理總覽。如要瞭解如何設定及使用 OS 資產管理功能,請參閱查看作業系統的詳細資料。
使用 OS 資產管理功能,收集及查看虛擬機器 (VM) 執行個體的作業系統詳細資料。這些作業系統詳細資料包括主機名稱、作業系統和核心版本等資訊。您也可以取得已安裝的 OS 套件、可用的 OS 套件更新、Windows 應用程式和 OS 安全漏洞的相關資訊。
使用 OS Inventory Management 的時機
OS Inventory Management 可用於完成以下工作:
- 找出執行特定作業系統版本的 VM
- 查看 VM 上安裝的作業系統套件
- 產生每個 VM 可用的作業系統套件更新清單
- 找出 VM 缺少的作業系統套件、更新或修補程式
- 查看虛擬機的安全漏洞報告
OS 庫存管理服務的運作方式
啟用 OS Inventory Management 後,OS Config 代理程式會執行庫存掃描以收集資料,然後將此資訊傳送至中繼資料伺服器、OS Config API 和各種記錄串流。這項掃描作業會在 VM 上每 10 分鐘執行一次。
如要啟用 OS 庫存管理,必須在 VM 上設定 VM 管理員。 請參閱「設定 VM 管理員」。
設定 VM 管理員後,您就可以查詢訪客屬性或 OS 設定 API,以擷取在 VM 上執行的作業系統相關資訊。請參閱「查看作業系統詳細資料」。
作業系統資料的收集方式
對於 Linux VM,OS Config 代理程式會在 VM 上執行,並剖析 /etc/os-release 或 Linux 發行版的對等檔案,以便收集作業系統的詳細資料。OS Config 代理程式也會使用套件管理工具 (例如 apt、yum 或 GooGet),收集執行個體的已安裝套件和可用更新的相關資訊。
對於 Windows VM,OS Config 代理程式會使用 Windows 系統 API 來收集 OS 資訊的詳細資料。Windows Update 代理程式也會用於尋找已安裝和可用的更新。
作業系統資料的儲存位置
OS Config API 會儲存清查資料。系統會使用 gzip 壓縮已安裝套件和套件更新的內容,然後使用 base64 編碼以節省空間。
記錄
在收集和儲存資料期間,OS Config 代理程式會將活動記錄寫入 Compute Engine 上的各種記錄串流,包括:
- 序列埠
- 系統記錄 - Windows 事件記錄和 Linux syslog
- 標準串流 - stdout
- Cloud Logging 記錄 - 只有在 VM 執行個體上啟用 Cloud Logging 時,才能使用這些記錄。
OS 庫存管理服務提供的資訊
OS Inventory Management 可提供在 VM 執行個體上執行的作業系統的下列資訊:
- 主機名稱
- LongName - 詳細的作業系統名稱,例如
Microsoft Windows Server 2016 Datacenter。 - ShortName - 作業系統名稱的簡短形式,例如
Windows。 - 核心版本
- OS 架構
- 作業系統版本
- OS 設定代理程式版本
- 上次更新時間 - 上次代理程式成功掃描系統並使用 OS 庫存資料更新訪客屬性的時間戳記。
已安裝的作業系統套件和應用程式資訊
下表大致列出 OS Inventory Management 提供的資訊,包括 Linux 和 Windows VM 上已安裝的作業系統套件。此外,本文也說明 Windows 應用程式可用的資訊。
| 作業系統 | 套件管理工具 | 可用欄位 |
|---|---|---|
| Linux 和 Windows Server | 您可以利用下列套件管理工具取得已安裝套件資訊:
|
系統會針對每個已安裝的套件提供以下資訊:
|
| Windows Server | Windows Update 代理程式 | 系統會針對 Windows 更新提供下列欄位:
|
| Windows Server | Windows Quick Fix Engineering 更新 | 系統會針對 QuickFixEngineering 更新提供下列欄位:
|
| Windows Server | Windows 安裝程式 2 | 系統會針對 Windows 安裝程式提供下列欄位:
|
1這個欄位在預設的 gcloud compute instances os-inventory describe 指令列輸出內容中是看不到的。如要查看此欄位,您必須查看 JSON 格式的輸出內容。如要查看 JSON 格式的輸出內容,請將 --format=JSON 附加到 gcloud 指令。如需進一步瞭解如何設定輸出內容的格式,請參閱 gcloud topic formats。
2如要查看 Windows 應用程式的安裝程式屬性,您必須使用 OS 設定代理程式 20210811 以上版本。如要查看代理程式版本,請參閱「查看 OS 設定代理程式版本」。
可用的作業系統套件更新資訊
下表大致列出 OS Inventory Management 提供的已安裝作業系統套件更新資訊。
| 作業系統 | 套件管理工具 | 可用欄位 |
|---|---|---|
| Linux 和 Windows Server | 您可以利用下列套件管理工具取得套件更新資訊:
|
系統會針對每個可用的套件更新提供以下資訊:
|
| Windows Server | Windows Update 代理程式 | 系統會針對 Windows 更新提供下列欄位:
|
1這個欄位在預設的 gcloud compute instances os-inventory describe 指令列輸出內容中是看不到的。如要查看此欄位,您必須查看 JSON 格式的輸出內容。如要查看 JSON 格式的輸出內容,請將 --format=JSON 附加到 gcloud 指令。如需進一步瞭解如何設定輸出內容的格式,請參閱 gcloud topic formats。
安全漏洞報告
軟體安全漏洞是指可能導致系統意外故障的弱點,或是惡意活動。以 VM 來說,安全漏洞可能是作業系統套件或軟體應用程式的程式碼或作業邏輯問題。
與已安裝作業系統套件相關的安全性漏洞通常會儲存在安全性漏洞來源存放區。如要進一步瞭解這些安全漏洞來源,請參閱「安全漏洞來源」。您可以使用 OS 庫存管理服務,查看已安裝 OS 套件問題的安全性弱點報告。
如要取得 VM 的安全漏洞資料,必須設定 VM 管理員,且 VM 必須執行 20201110 或更新版本的 OS 設定代理程式。請參閱「設定 VM 管理員」。
設定 OS Config 代理程式並回報清查資料後,OS Config API 服務會持續掃描並根據可用的清查資料,檢查作業系統的安全性弱點來源。如果偵測到作業系統套件有安全漏洞,這項服務就會產生安全漏洞報告。這些報表的產生過程如下:
- 在 VM 的作業系統中安裝或更新套件後,您應該會在兩小時內,於 VM 管理工具、Security Command Center 和 Cloud Asset Inventory 中,看到 VM 的常見弱點和曝光 (CVE) 資訊。
- 作業系統發布新的安全諮詢後,更新的 CVE 通常會在 24 小時內提供。
如要查看這些安全漏洞報告,請參閱「查看安全漏洞報告」。
安全漏洞報告的產生方式
VM 管理工具會定期完成下列工作:
- 讀取從 VM 的作業系統資產資料 收集的報表。
- 每天至少一次掃描每個作業系統的弱點來源,取得分類資料,並依嚴重程度排序 (從高到低)。
- 在 Google Cloud 控制台上顯示 VM 的 CVE 資料。您也可以使用 Security Command Center 或 Cloud Asset Inventory 查看安全漏洞報告。
安全漏洞來源
下表摘要說明各作業系統使用的安全漏洞來源。如需支援的作業系統和版本完整清單,請參閱「作業系統詳細資料」。
| 作業系統 | 安全漏洞來源套件 |
|---|---|
| RHEL 和 CentOS | https://access.redhat.com/security/data
請參閱「限制」。 |
| Debian | https://security-tracker.debian.org/tracker |
| Ubuntu | https://launchpad.net/ubuntu-cve-tracker |
| SLES | https://ftp.suse.com/pub/projects/security/oval/ |
| Rocky Linux | https://errata.rockylinux.org/ |
| Windows | Microsoft Security Response Center 發布的安全漏洞資料。 |
資料保留
OS 庫存和安全漏洞報表資料會儲存到 VM 刪除為止。 不過,如果 OS Config 代理程式因任何原因停止向 OS Config API 服務回報幾天,VM 管理員就會刪除當時收集到的可用 OS 庫存和安全漏洞報表資料。OS 設定代理程式重新開始執行前,該 VM 不會提供任何資料。
定價
如需定價資訊,請參閱 VM 管理員定價。
限制
OS 資訊清單管理功能有以下限制:
- VM 管理員會根據發布的每個主要版本,提供 RHEL 最新子版本的安全漏洞掃描結果。如果 VM 執行的是較舊的 RHEL 次要版本,安全漏洞報告可能會顯示不準確的結果。
後續步驟
- 使用 OS 資產管理工具查看作業系統詳細資料。