Visualizza i report sulle policy del sistema operativo

Dopo che VM Manager ha applicato un'assegnazione delle policy del sistema operativo a un'istanza di macchina virtuale (VM), viene generato un report. Il report contiene lo stato di conformità di tutte le policy del sistema operativo applicate a una VM specifica per una determinata assegnazione.

Questo documento descrive le seguenti attività:

Prima di iniziare

  • Esamina le quote di OS Config.
  • Se non l'hai ancora fatto, configura l'autenticazione. L'autenticazione è il processo mediante il quale la tua identità viene verificata per l'accesso a servizi e API di Google Cloud . Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su Compute Engine selezionando una delle seguenti opzioni:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

      1. After installing the Google Cloud CLI, initialize it by running the following command: 

        gcloud init

        If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

      2. Set a default region and zone.

        3. REST

        Per utilizzare gli esempi di API REST in questa pagina in un ambiente di sviluppo locale, utilizzi le credenziali che fornisci a gcloud CLI.

          After installing the Google Cloud CLI, initialize it by running the following command: 

          gcloud init

          If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

        Per saperne di più, consulta la sezione Autenticarsi per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud .

Ruoli e autorizzazioni richiesti

Per ottenere le autorizzazioni necessarie per visualizzare i dati relativi alla conformità delle policy del sistema operativo, chiedi all'amministratore di concederti i seguenti ruoli IAM:

  • Visualizza il riepilogo della conformità delle policy del sistema operativo per le VM in un'organizzazione o una cartella:
  • Visualizza i report sull'assegnazione delle policy del sistema operativo per le VM in un progetto: OSPolicyAssignmentReport Viewer (roles/osconfig.osPolicyAssignmentReportViewer) sul progetto

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per visualizzare i dati relativi alla conformità delle policy del sistema operativo. Per visualizzare le autorizzazioni obbligatorie corrette, espandi l'omonima sezione:

Autorizzazioni obbligatorie

Per visualizzare i dati relativi alla conformità delle policy del sistema operativo sono necessarie le seguenti autorizzazioni:

  • Visualizza il riepilogo della conformità delle policy del sistema operativo per le VM in un'organizzazione o una cartella:
    • osconfig.osPolicyAssignmentReports.searchSummaries
    • osconfig.osPolicyAssignments.searchPolicies
    • resourcemanager.projects.get
    • resourcemanager.projects.list

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Visualizza il riepilogo della conformità delle policy del sistema operativo per le VM in un'organizzazione o una cartella

Puoi visualizzare il riepilogo della conformità delle policy del sistema operativo per tutte le VM in un'organizzazione o in una cartella utilizzando la console Google Cloud .

VM Manager mostra il riepilogo della conformità delle policy del sistema operativo solo per i progetti che soddisfano uno dei seguenti requisiti:

  • Contiene una o più VM su cui VM Manager è abilitato e in esecuzione.
  • Contiene una o più VM su cui VM Manager era in esecuzione negli ultimi 7 giorni e per cui sono disponibili dati sulla conformità delle policy del sistema operativo.

Per visualizzare i dati relativi alla conformità delle policy del sistema operativo, segui questi passaggi:

  1. Nella console Google Cloud , vai alla pagina Compute Engine > VM Manager > Policy OS.

    Vai alle policy del sistema operativo

  2. Nell'elenco a discesa del progetto nella parte superiore della console Google Cloud , seleziona l'organizzazione o la cartella per cui vuoi visualizzare il riepilogo della conformità delle policy del sistema operativo.

  3. Per visualizzare i dati relativi alla conformità delle policy del sistema operativo, utilizza le seguenti opzioni:

    1. Per visualizzare il riepilogo della conformità delle policy del sistema operativo per progetto, fai clic sulla scheda Progetti.
    2. Per visualizzare il riepilogo della conformità delle policy del sistema operativo per policy, fai clic sulla scheda Policy del sistema operativo.

  4. Facoltativo: specifica i criteri per l'elaborazione del riepilogo della conformità delle policy del sistema operativo utilizzando Query Builder.

  5. Analizza il riepilogo della conformità delle policy del sistema operativo applicate alle VM. La tabella nella scheda Progetti include una riga per ogni progetto, come mostrato nella figura seguente:

    Riepilogo delle policy del sistema operativo per tutti i progetti.

    La tabella elenca le seguenti informazioni che soddisfano i criteri specificati in Query Builder:

    • Progetto: il nome dei progetti nell'organizzazione che contengono almeno una VM e in cui è abilitato VM Manager
    • VM totali: il numero totale di VM in ogni progetto
    • VM monitorate: il numero di VM nel progetto con l'agente VM Manager abilitato e in fase di analisi per verificare la conformità delle policy
    • VM con policy: il numero di VM con almeno una policy assegnata
    • Conforme: il numero di VM con tutte le policy assegnate segnalate come COMPLIANT
    • Non conforme: il numero di VM con almeno una policy assegnata segnalata come NON-COMPLIANT
    • Sconosciuto: il numero di VM con almeno una policy assegnata segnalata come UNKNOWN e non come NON-COMPLIANT. Lo stato UNKNOWN è dovuto a uno dei seguenti motivi:
      • La VM non è in esecuzione.
      • L'agente VM Manager non è abilitato per la VM.
      • Si è verificato un errore durante il processo.
    • Nessun report: il numero di VM con policy assegnate, ma prive di un report sulla conformità: per uno seguenti motivi:
      • L'agente VM Manager non è abilitato per la VM.
      • L'analisi di conformità è in corso. Il report non è ancora pronto.

  6. Facoltativo: se vuoi visualizzare righe specifiche nella tabella di riepilogo relativa alla conformità delle policy del sistema operativo, utilizza i filtri.

    Filtro nella tabella di riepilogo delle policy.

    Ad esempio, se vuoi visualizzare il riepilogo della conformità delle policy del sistema operativo per i progetti con più di 10 VM, imposta l'opzione di filtro VM totali su >= 10.

  7. Facoltativo: per visualizzare ulteriori dettagli sulle VM in un determinato stato fai clic sul numero di VM. Ad esempio, facendo clic sul numero di VM per un determinato progetto nella colonna Sconosciuto, si apre la scheda Istanze VM con un elenco di policy del sistema operativo sconosciute per ogni VM del progetto.

    Scheda Istanze VM con policy del sistema operativo sconosciute.

    Per ulteriori informazioni, consulta Visualizza i report sull'assegnazione delle policy del sistema operativo.

Utilizza Query Builder per filtrare i dati relativi alla conformità delle policy del sistema operativo

In base ai criteri specificati in Query Builder, VM Manager visualizza i dati sulla conformità delle policy del sistema operativo per le VM nei progetti della tua organizzazione o cartella. Puoi quindi utilizzare filtri nella tabella di conformità delle policy del sistema operativo per filtrare i dati visualizzati.

Ad esempio, quando imposti l'attributo OS in Query Builder come Debian, VM Manager mostra i dati relativi alla conformità delle policy del sistema operativo per le VM con sistema operativo Debian. Se vuoi visualizzare i dati sulla conformità di uno specifico progetto, utilizza il filtro della tabella per specificare l'ID progetto.

Query Builder con un attributo.

Per impostare una query in Query Builder nella scheda Progetti, segui questi passaggi:

  1. Seleziona un attributo. Query Builder supporta i seguenti attributi:

    • Sistema operativo: specifica i nomi brevi dei sistemi operativi, ad esempio Windows o Debian.
    • Versione sistema operativo: specifica la versione del sistema operativo. Ad esempio, 21.04 o 10.0.22000. Puoi utilizzare un asterisco singolo (*) alla fine della stringa della versione del sistema operativo per indicare una corrispondenza parziale, ad esempio 10*.
    • VM in esecuzione: specifica se vuoi visualizzare il riepilogo delle patch per le VM in stato RUNNING.
    • Impronta della policy: specifica l'impronta della policy univoca per le policy del sistema operativo. Quando imposti questo attributo, VM Manager rielabora il riepilogo della conformità solo per le policy del sistema operativo con impronta specificata.
    • Stato della conformità: specifica uno degli stati di conformità delle policy:
      • COMPLIANT: VM con tutte le policy assegnate segnalate come COMPLIANT
      • NON-COMPLIANT: VM con almeno una policy assegnata segnalata come NON-COMPLIANT
      • UNKNOWN: VM con almeno una policy assegnata segnalata come UNKNOWN

  2. Seleziona uno degli attributi e specifica un valore. Ad esempio, se vuoi visualizzare il riepilogo delle patch per le VM con un sistema operativo specifico, seleziona Sistema operativo. Viene visualizzato un elenco di operatori di confronto tra cui scegliere.

    1. Seleziona un operatore, ad esempio ==.
    2. Nel campo Valore, specifica il valore di confronto. Ad esempio Debian.

  3. Per aggiungere un altro attributo, fai clic su Aggiungi condizione.

  4. Fai clic su Cerca.

Visualizza i report sull'assegnazione delle policy del sistema operativo

Per visualizzare i report sull'assegnazione delle policy del sistema operativo, puoi utilizzare la console Google Cloud , Google Cloud CLI o REST.

Utilizza questa procedura per visualizzare un elenco di report sull'assegnazione delle policy del sistema operativo per una località specificata.

Console

  1. Se utilizzi i controlli di servizio VPC per proteggere i tuoi servizi, aggiungi Cloud Asset Inventory all'elenco dei servizi consentiti. Per maggiori informazioni, consulta Servizi accessibili da VPC.

  2. Nella console Google Cloud , vai alla pagina Policy del sistema operativo > Istanze VM.

    Vai a Istanze VM

    Visualizza la conformità delle VM.

gcloud

Per visualizzare un elenco di report sull'assegnazione delle policy del sistema operativo, utilizza il comando os-config os-policy-assignment-reports list.

Per visualizzare tutti i report sull'assegnazione delle policy del sistema operativo per una località specifica, segui questo comando. Sostituisci ZONE con la zona in cui si trovano le VM.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE

Comando e output di esempio (tutte le VM)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a

INSTANCE                   ASSIGNMENT_ID                   LOCATION       UPDATE_TIME                  SUMMARY
centos7                    my-test-assignment1             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
centos7                    my-test-assignment2             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                     my-test-assignment1             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
rhel-8                     my-test-assignment2             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos                  my-test-assignment1             us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos                  my-test-assignment2             us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant
deb-10                     my-test-assignment2             us-central1-a  2021-11-02T19:00:11.777748Z  0/1 policies compliant
windows                    my-test-assignment2             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
windows                    my-test-assignment3             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
sles15                     my-test-assignment2             us-central1-a  2021-11-02T18:38:07.335276Z  0/1 policies compliant

Puoi anche utilizzare flag facoltativi come --instance o --assignment-id per filtrare i risultati.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE \
    [--instance=VM_NAME | --assignment-id=ASSIGNMENT_ID]

Sostituisci quanto segue:

  • ZONE: la zona in cui si trova la VM
  • Facoltativo: fornisci uno dei seguenti elementi:
    • VM_NAME: il nome o l'ID della VM per cui vuoi visualizzare i report sull'assegnazione delle policy del sistema operativo
    • ASSIGNMENT_ID: l'ID dell'assegnazione delle policy del sistema operativo per cui vuoi visualizzare i report

Comando e output di esempio (VM specifica)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --instance=my-centos

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos               my-test-assignment2         us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant

Comando e output di esempio (assegnazione specifica)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --assignment-id=my-test-assignment1

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
centos7                 my-test-assignment1         us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                  my-test-assignment1         us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant

REST

Nell'API, crea una richiesta GET al metodo projects.locations.osPolicyAssignments.reports.list.

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report

Sostituisci quanto segue:

  • PROJECT_ID: il tuo ID progetto
  • ZONE: la zona in cui si trovano le VM
  • Facoltativo. Fornisci uno dei seguenti dati:
    • VM_NAME: il nome o l'ID della VM per cui vuoi visualizzare i report sull'assegnazione delle policy del sistema operativo. Se non è richiesto, utilizza - per il valore.
    • ASSIGNMENT_ID: l'ID dell'assegnazione delle policy del sistema operativo per cui vuoi visualizzare i report. Se non è richiesto, utilizza - per il valore.

Esempi:

  • Per visualizzare i report per tutte le VM nel progetto my-project-12345 e nella zona us-central1-a, utilizza il seguente URI: 
    projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/-/report
  • Per visualizzare i report per la VM my-test-vm nel progetto my-project-12345 situata nella zona us-central1-a, utilizza il seguente URI: 
    projects/my-project-12345/locations/us-central1-a/instances/my-test-vm/osPolicyAssignments/-/report
  • Per visualizzare i report per tutte le VM nel progetto my-project-12345 nella zona us-central1-a la cui assegnazione delle policy del sistema operativo è my-test-assignment, utilizza il seguente URI: 
    projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/my-test-assignment/report

Esamina un report sull'assegnazione delle policy del sistema operativo

Utilizza questa procedura per visualizzare una panoramica dettagliata di un report sull'assegnazione delle policy del sistema operativo associato a una VM specifica.

Console

  1. Se utilizzi i controlli di servizio VPC per proteggere i tuoi servizi, aggiungi Cloud Asset Inventory all'elenco dei servizi consentiti. Per maggiori informazioni, consulta Servizi accessibili da VPC.

  2. Nella console Google Cloud , vai alla pagina Policy del sistema operativo > Istanze VM.

    Vai alla console Google Cloud

  3. Per visualizzare il report sull'assegnazione delle policy del sistema operativo per una VM specifica, fai clic sul nome della VM.

    Visualizza la conformità delle VM.

  4. Esamina i campi Stato, Motivo stato e Log. Il campo Log fornisce un link alla dashboard di Cloud Logging, dove puoi accedere ai log di debug per l'agente OS Config in esecuzione sulla VM.

    Per risolvere questi problemi, puoi inoltre esaminare i log per la policy del sistema operativo e apportare gli aggiornamenti necessari. Per controllare i log, vedi Risoluzione dei problemi di VM Manager.

gcloud

  1. Per visualizzare il report sull'assegnazione delle policy del sistema operativo per una VM specifica, utilizza il comando os-config os-policy-assignment-reports describe.

    gcloud compute os-config os-policy-assignment-reports describe OS_POLICY_ASSIGNMENT_ID \
    --instance=VM_NAME \
    --location=ZONE

    Sostituisci quanto segue:

    • OS_POLICY_ASSIGNMENT_ID: l'ID dell'assegnazione delle policy del sistema operativo che vuoi esaminare per la VM specificata
    • VM_NAME: il nome o l'ID della VM per cui vuoi visualizzare il report sull'assegnazione delle policy del sistema operativo
    • ZONE: la zona in cui si trova la VM

    Esempio

    gcloud compute os-config os-policy-assignment-reports describe my-test-assignment1 \
    --instance=centos7 \
    --location=us-central1-a

    Output

    instance: centos7
lastRunId: 96a61b92-3e14-4155-a3e8-dd66520f49ae
name: projects/1234578882888/locations/us-central1-a/instances/29255009728795105/osPolicyAssignments/my-test-assignment1/report
osPolicyAssignment: projects/1234578882888/locations/us-central1-a/osPolicyAssignments/my-test-assignment1t@3428384d-fa61-478e-b7e2-3d5fae74bea3
osPolicyCompliances:
– complianceState: UNKNOWN
  complianceStateReason: os-policies-not-supported-by-agent
  osPolicyId: setup-repo-and-install-package-policy
  osPolicyResourceCompliances:
  – complianceState: UNKNOWN
    complianceStateReason: os-policy-execution-attempt-failed
    osPolicyResourceId: setup-repo
  – complianceState: UNKNOWN
    complianceStateReason: os-policy-execution-attempt-failed
    osPolicyResourceId: install-pkg
updateTime: '2021-11-02T19:14:34.314831Z'

  2. Esamina complianceState e complianceStateReason.

    Per risolvere questi problemi, puoi inoltre esaminare i log per la policy del sistema operativo e apportare gli aggiornamenti necessari. Per controllare i log, vedi Risoluzione dei problemi di VM Manager.

REST

  1. Nell'API, crea una richiesta GET al metodo projects.locations.osPolicyAssignments.reports.get.

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report

    Sostituisci quanto segue:

    • PROJECT_ID: il tuo ID progetto
    • ZONE: la zona in cui si trova la VM
    • VM_NAME: il nome o l'ID della VM per cui vuoi visualizzare il report sull'assegnazione delle policy del sistema operativo
    • OS_POLICY_ASSIGNMENT_ID: l'ID dell'assegnazione delle policy del sistema operativo per cui vuoi visualizzare il report

  2. Esamina complianceState e complianceStateReason.

    Per risolvere questi problemi, puoi inoltre esaminare i log per la policy del sistema operativo e apportare gli aggiornamenti necessari. Per controllare i log, vedi Risoluzione dei problemi di VM Manager.

Passaggi successivi