Berichte zu Betriebssystemrichtlinien ansehen


Nachdem VM Manager eine Betriebssystemrichtlinienzuweisung auf eine VM-Instanz angewendet hat, wird ein Bericht zur Betriebssystemrichtlinienzuweisung generiert. Der Bericht enthält den Compliancestatus aller Betriebssystemrichtlinien, die für eine bestimmte Betriebssystemrichtlinien-Zuweisung auf eine bestimmte VM angewendet werden.

In diesem Dokument werden die folgenden Aufgaben beschrieben:

Hinweise

  • Prüfen Sie die OS Config-Kontingente.
  • Richten Sie die Authentifizierung ein, falls Sie dies noch nicht getan haben. Bei der Authentifizierung wird Ihre Identität für den Zugriff auf Google Cloud-Dienste und APIs überprüft. Zur Ausführung von Code oder Beispielen aus einer lokalen Entwicklungsumgebung können Sie sich so bei Compute Engine authentifizieren.

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init
    2. Set a default region and zone.
    3. REST

      Verwenden Sie die von der gcloud CLI bereitgestellten Anmeldedaten, um die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung zu verwenden.

        Install the Google Cloud CLI, then initialize it by running the following command:

        gcloud init

      Weitere Informationen finden Sie unter Für die Verwendung von REST authentifizieren in der Dokumentation zur Google Cloud-Authentifizierung.

Erforderliche Rollen und Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Aufrufen von Compliancedaten der Betriebssystemrichtlinien benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Aufrufen von Compliancedaten für die Betriebssystemrichtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um Daten zur Compliance von Betriebssystemrichtlinien aufzurufen:

  • Zusammenfassung der Betriebssystemrichtlinien für VMs in einer Organisation oder einem Ordner ansehen (Vorschau):
    • osconfig.osPolicyAssignmentReports.searchSummaries
    • osconfig.osPolicyAssignments.searchPolicies
    • resourcemanager.projects.get
    • resourcemanager.projects.list

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Zusammenfassung der Betriebssystemrichtlinien für alle VMs in einer Organisation oder einem Ordner ansehen

Mit der Google Cloud Console können Sie die Zusammenfassung der Betriebssystemrichtlinien für alle VMs in einer Organisation oder einem Ordner aufrufen.

VM Manager zeigt die Zusammenfassung der Betriebssystemrichtlinie nur für Projekte an, die eine der folgenden Anforderungen erfüllen:

  • Enthält eine oder mehrere VMs, auf denen VM Manager aktiviert ist und ausgeführt wird.
  • Enthält eine oder mehrere VMs, auf denen VM Manager in den letzten 7 Tagen ausgeführt wurde und Daten zur Compliance der Betriebssystemrichtlinie verfügbar sind.

So rufen Sie Compliance-Daten für Betriebssystemrichtlinien auf:

  1. Rufen Sie in der Google Cloud Console die Seite Compute Engine > VM Manager > Betriebssystemrichtlinien auf.

    Zu den Betriebssystemrichtlinien

  2. Wählen Sie in der Drop-down-Liste für Projekte oben in der Google Cloud Console die Organisation oder den Ordner aus, für den bzw. den Sie die Zusammenfassung der Betriebssystemrichtlinie aufrufen möchten.

  3. Verwenden Sie die folgenden Optionen, um die Compliancedaten für die Betriebssystemrichtlinien aufzurufen:

    1. Klicken Sie auf den Tab Projekte, um eine Zusammenfassung der projektspezifischen Compliance mit Betriebssystemrichtlinien aufzurufen.
    2. Klicken Sie auf den Tab Betriebssystemrichtlinien, um eine Zusammenfassung der richtlinienspezifischen Betriebssystemrichtlinien aufzurufen.
  4. Optional: Geben Sie mit Query Builder die Kriterien für die Berechnung der Zusammenfassung der Compliance der Betriebssystemrichtlinie an.

  5. Zusammenfassung der Zusammenfassung der Compliance der Betriebssystemrichtlinie für VMs prüfen. Die Tabelle auf dem Tab Projekte enthält eine Zeile für jedes Projekt, wie in der folgenden Abbildung dargestellt:

    Zusammenfassung der Betriebssystemrichtlinien für alle Projekte.

    Die Tabelle enthält die folgenden Informationen, die die in der Query Builder angegebenen Kriterien erfüllen:

    • Projekt: Der Name der Projekte in der Organisation, die mindestens eine VM enthalten und für die VM Manager aktiviert ist.
    • Gesamtzahl der VMs: Gesamtzahl der VMs in jedem Projekt.
    • Überwachte VMs: Anzahl der VMs im Projekt, für die der VM Manager-Agent aktiviert ist und die auf Richtliniencompliance gescannt werden.
    • VMs mit Richtlinie: Anzahl der VMs mit mindestens einer Richtlinie.
    • Konform: Die Anzahl der VMs mit allen zugewiesenen Richtlinien, die als COMPLIANT gemeldet werden.
    • Nicht konform: Anzahl der VMs mit mindestens einer zugewiesenen Richtlinie, die als NON-COMPLIANT gemeldet wird.
    • Unbekannt: Anzahl der VMs mit mindestens einer zugewiesenen Richtlinie, die als UNKNOWN gemeldet wird, und ohne Richtlinie, die als NON-COMPLIANT gemeldet wird. Der Status UNKNOWN hat einen der folgenden Gründe:
      • Die VM wird nicht ausgeführt.
      • Der VM Manager-Agent ist für die VM nicht aktiviert.
      • Beim Prozess ist ein Fehler aufgetreten.
    • Kein Bericht: Anzahl der VMs mit zugewiesenen Richtlinien, aber aus einem der folgenden Gründe wurde kein Bericht zur Richtliniencompliance gefunden:
      • Der VM Manager-Agent ist für die VM nicht aktiviert.
      • Compliancescan läuft. Der Bericht ist noch nicht fertig.
  6. Optional: Wenden Sie Tabellenfilter an, wenn Sie bestimmte Zeilen in der Übersichtstabelle der Compliance der Betriebssystemrichtlinie ansehen möchten.

    Tabellenfilter in der Übersichtstabelle der Richtlinien.

    Wenn Sie beispielsweise die Zusammenfassung der Compliance der Betriebssystemrichtlinie für Projekte mit mehr als zehn VMs aufrufen möchten, setzen Sie die Filteroption Gesamt-VMs auf >= 10.

  7. Optional: Klicken Sie auf die Anzahl der VMs, um weitere Details zu den VMs in einem bestimmten Status aufzurufen. Wenn Sie beispielsweise in der Spalte Unbekannt auf die Anzahl der VMs für ein bestimmtes Projekt klicken, wird der Tab VM-Instanzen mit einer Liste unbekannter Betriebssystemrichtlinien für jede VM in diesem Projekt geöffnet.

    Tab "VM-Instanzen" mit unbekannten Betriebssystemrichtlinien.

    Weitere Informationen finden Sie unter Berichte zu Zuweisungen der Betriebssystemrichtlinien ansehen.

Mit Query Builder die Daten der Compliance der Betriebssystemrichtlinie filtern

Basierend auf den Kriterien, die Sie im Query Builder angegeben haben, zeigt VM Manager die Daten der Compliance der Betriebssystemrichtlinie für VMs in den Projekten in Ihrer Organisation oder Ihrem Ordner an. Sie können dann die Tabellenfilter in der Compliance-Tabelle der Betriebssystemrichtlinie verwenden, um die angezeigten Daten zu filtern.

Wenn Sie beispielsweise im Query Builder das Attribut OS als Debian festlegen, zeigt VM Manager Daten zur Compliance der Betriebssystemrichtlinie für VMs mit Debian-Betriebssystem an. Wenn Sie die Compliancedaten für ein bestimmtes Projekt aufrufen möchten, verwenden Sie den Tabellenfilter, um die Projekt-ID anzugeben.

Query Builder mit einem einzelnen Attribut.

So legen Sie eine Abfrage im Query Builder auf dem Tab Projekte fest:

  1. Attribut auswählen Der Query Builder unterstützt die folgenden Attribute:

    • Betriebssystem: Geben Sie die Kurznamen der Betriebssysteme an, z. B. Windows oder Debian.
    • Betriebssystemversion: Geben Sie die Version des Betriebssystems an. Beispiel: 21.04 oder 10.0.22000. Sie können am Ende des Versionsstrings des Betriebssystems ein einzelnes Sternchen (*) angeben, um einen teilweisen Abgleich zu kennzeichnen, z. B. 10*.
    • VM-Ausführung: Geben Sie an, ob Sie die Patchzusammenfassung für VMs im Status RUNNING aufrufen möchten.
    • Richtlinien-Fingerabdruck: Geben Sie den eindeutigen Richtlinien-Fingerabdruck für die Betriebssystemrichtlinie an. Wenn Sie dieses Attribut festlegen, berechnet VM Manager die Compliancezusammenfassung nur für diese Betriebssystemrichtlinien mit dem angegebenen Fingerabdruck.
    • Compliancestatus: Geben Sie einen der Compliancestatus für die Richtlinie an:
      • COMPLIANT: VMs mit allen zugewiesenen Richtlinien, die als COMPLIANT gemeldet werden
      • NON-COMPLIANT: VMs mit mindestens einer zugewiesenen Richtlinie, die als NON-COMPLIANT gemeldet wird
      • UNKNOWN: VMs mit mindestens einer zugewiesenen Richtlinie, die als UNKNOWN gemeldet wird
  2. Wählen Sie eines der Attribute aus und geben Sie einen Wert für das Attribut an. Wenn Sie beispielsweise die Patchübersicht für VMs mit einem bestimmten Betriebssystem aufrufen möchten, wählen Sie Betriebssystem aus. Anschließend erhalten Sie eine Liste mit Vergleichsoperatoren zur Auswahl.

    1. Wählen Sie einen Operator aus, z. B. ==.
    2. Geben Sie im Feld Wert den Vergleichswert ein. Beispiel: Debian.
  3. Wenn Sie ein weiteres Attribut hinzufügen möchten, klicken Sie auf Bedingung hinzufügen.

  4. Klicken Sie auf Suchen.

Berichte zu Zuweisungen von Betriebssystemrichtlinien ansehen

Zum Aufrufen der Berichte zur Betriebssystemrichtlinienzuweisung können Sie entweder die Google Cloud Console, die Google Cloud CLI oder REST verwenden.

Mit diesem Verfahren können Sie eine Liste der Berichte für Betriebssystemrichtlinienzuweisungen für einen bestimmten Standort anzeigen.

Console

  1. Fügen Sie den Cloud Asset Inventory-Dienst der Liste der zulässigen Dienste hinzu, wenn Sie Ihre Dienste mit VPC Service Controls schützen. Weitere Informationen finden Sie unter Über VPC zugängliche Dienste.

  2. Rufen Sie in der Google Cloud Console die Seite Betriebssystemrichtlinien > VM-Instanzen auf.

    Zur Seite „VM-Instanzen“

    VM-Compliance ansehen.

gcloud

Mit dem Befehl os-config os-policy-assignment-reports list können Sie eine Liste der Berichte für Betriebssystemrichtlinienzuweisungen aufrufen.

Führen Sie den folgenden Befehl aus, um alle Berichte zur Betriebssystemrichtlinie für einen bestimmten Standort aufzurufen. Ersetzen Sie ZONE durch die Zone, in der sich die VMs befinden.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE

Beispielbefehl und -ausgabe (alle VMs)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a

INSTANCE                   ASSIGNMENT_ID                   LOCATION       UPDATE_TIME                  SUMMARY
centos7                    my-test-assignment1             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
centos7                    my-test-assignment2             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                     my-test-assignment1             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
rhel-8                     my-test-assignment2             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos                  my-test-assignment1             us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos                  my-test-assignment2             us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant
deb-10                     my-test-assignment2             us-central1-a  2021-11-02T19:00:11.777748Z  0/1 policies compliant
windows                    my-test-assignment2             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
windows                    my-test-assignment3             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
sles15                     my-test-assignment2             us-central1-a  2021-11-02T18:38:07.335276Z  0/1 policies compliant

Sie können auch optionale Flags wie --instance oder --assignment-id verwenden, um die Ergebnisse zu filtern.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE \
    [--instance=VM_NAME | --assignment-id=ASSIGNMENT_ID]

Dabei gilt:

  • ZONE: die Zone, in der sich die VM befindet
  • Optional: Geben Sie eine der folgenden Optionen an:
    • VM_NAME: der Name oder die ID der VM, für die Sie Berichte zur Betriebssystemrichtlinienzuweisung ansehen möchten
    • ASSIGNMENT_ID: die ID der Zuweisung von Betriebssystemrichtlinien, für die Sie den Bericht zur Betriebssystemrichtlinienzuweisung ansehen möchten

Beispielbefehl und -ausgabe (bestimmte VM)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --instance=my-centos

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos               my-test-assignment2         us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant

Beispielbefehl und -ausgabe (bestimmte Zuweisung)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --assignment-id=my-test-assignment1

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
centos7                 my-test-assignment1         us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                  my-test-assignment1         us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant

REST

Erstellen Sie in der API eine GET-Anfrage an die Methode projects.locations.osPolicyAssignments.reports.list.

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report

Dabei gilt:

  • PROJECT_ID: Ihre Projekt-ID
  • ZONE: die Zone, in der sich die VMs befinden
  • Optional. Geben Sie eine der folgenden Optionen an:
    • VM_NAME: der Name oder die ID der VM, für die Sie Berichte zur Betriebssystemrichtlinienzuweisung ansehen möchten Wenn dies nicht erforderlich ist, verwenden Sie für den Wert einen -.
    • ASSIGNMENT_ID: die ID der Zuweisung von Betriebssystemrichtlinien, für die Sie den Bericht zur Betriebssystemrichtlinienzuweisung ansehen möchten. Verwenden Sie für den Wert einen -, wenn dies nicht erforderlich ist.

Beispiele:

  • Verwenden Sie den folgenden URI, um Berichte für alle VMs im Projekt my-project-12345 und Zone us-central1-a aufzurufen:
    projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/-/report
  • Verwenden Sie den folgenden URI, um Berichte für die VM my-test-vm im Projekt my-project-12345 und in der Zone us-central1-a aufzurufen:
    projects/my-project-12345/locations/us-central1-a/instances/my-test-vm/osPolicyAssignments/-/report
  • Verwenden Sie den folgenden URI, um Berichte für alle VMs im Projekt my-project-12345 und Zone us-central1-a anzuzeigen, die die Betriebssystemrichtlinienzuweisung my-test-assignment haben:
    projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/my-test-assignment/report

Bericht zu Zuweisungen von Betriebssystemrichtlinien prüfen

Mit diesem Verfahren können Sie eine detaillierte Ansicht eines Berichts zu Betriebssystemrichtlinienzuweisung aufrufen, der einer bestimmten VM zugeordnet ist.

Console

  1. Fügen Sie den Cloud Asset Inventory-Dienst der Liste der zulässigen Dienste hinzu, wenn Sie Ihre Dienste mit VPC Service Controls schützen. Weitere Informationen finden Sie unter Über VPC zugängliche Dienste.

  2. Rufen Sie in der Google Cloud Console die Seite Betriebssystemrichtlinien > VM-Instanzen auf.

    Zur Google Cloud Console

  3. Klicken Sie auf den Namen der VM, um den Bericht zur Betriebssystemrichtlinienzuweisung für eine bestimmte VM aufzurufen.

    VM-Compliance ansehen.

  4. Prüfen Sie die Felder Status, Statusgrund und Logs. Das Feld Logs enthält einen Link zum Cloud Logging-Dashboard, in dem Sie auf Debug-Logs für den OS Config-Agent zugreifen können, der auf der VM ausgeführt wird.

    Um diese Probleme zu beheben, können Sie auch die Logs für die Betriebssystemrichtlinie prüfen und die erforderlichen Aktualisierungen vornehmen. Informationen zur Prüfung der Logs finden Sie unter Fehlerbehebung bei VM Manager.

gcloud

  1. Mit dem Befehl os-config os-policy-assignment-reports describe können Sie den Bericht zur Betriebssystemrichtlinienzuweisung für eine bestimmte VM aufrufen.

    gcloud compute os-config os-policy-assignment-reports describe OS_POLICY_ASSIGNMENT_ID \
        --instance=VM_NAME \
        --location=ZONE
    

    Dabei gilt:

    • OS_POLICY_ASSIGNMENT_ID: die ID der Zuweisung der Betriebssystemrichtlinie, die Sie für die angegebene VM prüfen möchten
    • VM_NAME: der Name oder die ID der VM, für die Sie Bericht zur Betriebssystemrichtlinienzuweisung ansehen möchten
    • ZONE: die Zone, in der sich die VM befindet

    Beispiel

    gcloud compute os-config os-policy-assignment-reports describe my-test-assignment1 \
        --instance=centos7 \
        --location=us-central1-a
    

    Ausgabe

    instance: centos7
    lastRunId: 96a61b92-3e14-4155-a3e8-dd66520f49ae
    name: projects/1234578882888/locations/us-central1-a/instances/29255009728795105/osPolicyAssignments/my-test-assignment1/report
    osPolicyAssignment: projects/1234578882888/locations/us-central1-a/osPolicyAssignments/my-test-assignment1t@3428384d-fa61-478e-b7e2-3d5fae74bea3
    osPolicyCompliances:
    – complianceState: UNKNOWN
      complianceStateReason: os-policies-not-supported-by-agent
      osPolicyId: setup-repo-and-install-package-policy
      osPolicyResourceCompliances:
      – complianceState: UNKNOWN
        complianceStateReason: os-policy-execution-attempt-failed
        osPolicyResourceId: setup-repo
      – complianceState: UNKNOWN
        complianceStateReason: os-policy-execution-attempt-failed
        osPolicyResourceId: install-pkg
    updateTime: '2021-11-02T19:14:34.314831Z'
    
  2. Prüfen Sie complianceState und complianceStateReason.

    Um diese Probleme zu beheben, können Sie auch die Logs für die Betriebssystemrichtlinie prüfen und die erforderlichen Aktualisierungen vornehmen. Informationen zur Prüfung der Logs finden Sie unter Fehlerbehebung bei VM Manager.

REST

  1. Erstellen Sie in der API eine GET-Anfrage an die Methode projects.locations.osPolicyAssignments.reports.get.

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
    

    Dabei gilt:

    • PROJECT_ID: Ihre Projekt-ID
    • ZONE: die Zone, in der sich die VM befindet
    • VM_NAME: der Name oder die ID der VM, für die Sie Bericht zur Betriebssystemrichtlinienzuweisung ansehen möchten
    • OS_POLICY_ASSIGNMENT_ID: Die ID der Betriebssystemrichtlinienzuweisung, für die Sie den Bericht zur Betriebssystemrichtlinienzuweisung ansehen möchten
  2. Prüfen Sie complianceState und complianceStateReason.

    Um diese Probleme zu beheben, können Sie auch die Logs für die Betriebssystemrichtlinie prüfen und die erforderlichen Aktualisierungen vornehmen. Informationen zur Prüfung der Logs finden Sie unter Fehlerbehebung bei VM Manager.

Nächste Schritte