本頁面提供 OS Inventory Management 的總覽。如要瞭解如何設定及使用 OS 資產管理功能,請參閱「查看作業系統詳細資料」。
請使用 OS 資產管理功能,收集及查看虛擬機器 (VM) 執行個體的作業系統詳細資料。這些作業系統詳細資料包括主機名稱、作業系統和核心版本等資訊。您也可以取得已安裝的 OS 套件、可用的 OS 套件更新、Windows 應用程式和 OS 漏洞的相關資訊。
使用 OS Inventory Management 的時機
OS 資產管理功能可用於完成下列工作:
- 找出執行特定作業系統版本的 VM
- 查看 VM 上安裝的作業系統套件
- 產生每個 VM 可用的作業系統套件更新清單
- 找出 VM 缺少的作業系統套件、更新或修補程式
- 查看 VM 的安全漏洞報告
OS 庫存管理服務的運作方式
啟用 OS Inventory Management 後,OS Config 代理程式會執行庫存掃描以收集資料,然後將此資訊傳送至中繼資料伺服器、OS Config API 和各種記錄串流。這項掃描作業會在 VM 上每 10 分鐘執行一次。
如要啟用 OS 庫存管理功能,必須在 VM 上設定 VM 管理員。請參閱「設定 VM 管理員」一文。
設定 VM 管理員後,您可以查詢訪客屬性或 OS 設定 API,擷取在 VM 上執行的作業系統相關資訊。請參閱「查看作業系統詳細資料」。
作業系統資料的收集方式
對於 Linux VM,OS Config 代理程式會在 VM 上執行,並剖析 /etc/os-release 或 Linux 發行版的等效檔案,以收集作業系統詳細資料。OS Config 代理程式也會使用套件管理工具 (例如 apt、yum 或 GooGet),收集執行個體的已安裝套件和可用更新的相關資訊。
對於 Windows VM,OS Config 代理程式會使用 Windows 系統 API 收集 OS 資訊詳細資料。Windows Update 代理程式也會用於尋找已安裝和可用的更新。
作業系統資料的儲存位置
商品目錄資料會儲存在 OS Config API 中。系統會使用 gzip 壓縮已安裝套件和套件更新的內容,然後使用 base64 編碼以節省空間。
記錄
在收集和儲存資料期間,OS Config 代理程式會將活動記錄寫入 Compute Engine 上的各種記錄串流,包括:
- 序列埠
- 系統記錄 - Windows 事件記錄和 Linux syslog
- 標準串流 - stdout
- Cloud Logging 記錄 - 只有在 VM 執行個體上啟用 Cloud Logging 時,才能使用這些記錄。
OS 庫存管理服務提供的資訊
OS Inventory Management 可提供在 VM 執行個體上執行的作業系統的下列資訊:
- 主機名稱
- LongName - 詳細的作業系統名稱,例如
Microsoft Windows Server 2016 Datacenter。 - ShortName - 作業系統名稱的簡短形式,例如
Windows。 - 核心版本
- OS 架構
- OS 版本
- OS 設定代理程式版本
- 上次更新時間 - 上次代理程式成功掃描系統並使用 OS 庫存資料更新訪客屬性的時間戳記。
已安裝的作業系統套件和應用程式資訊
下表概略列出 OS Inventory Management 針對 Linux 和 Windows VM 上已安裝的作業系統套件提供的資訊。並概述在 Windows 上執行的應用程式可取得的資訊。
| 作業系統 | 套件管理工具 | 可用欄位 |
|---|---|---|
| Linux 和 Windows Server | 您可以利用下列套件管理工具取得已安裝套件資訊:
|
系統會針對每個已安裝的套件提供以下資訊:
|
| Windows Server | Windows Update 代理程式 | 系統會針對 Windows 更新提供下列欄位:
|
| Windows Server | Windows Quick Fix Engineering 更新 | 系統會針對 QuickFixEngineering 更新提供下列欄位:
|
| Windows Server | Windows Installer 2 | 系統會針對 Windows Installer 提供下列欄位:
|
1這個欄位在預設的 gcloud compute instances os-inventory describe 指令列輸出內容中是看不到的。如要查看此欄位,您必須查看 JSON 格式的輸出內容。如要查看 JSON 格式的輸出內容,請將 --format=JSON 附加到 gcloud 指令。如需進一步瞭解如何設定輸出內容的格式,請參閱 gcloud topic formats。
2如要查看 Windows 應用程式的安裝程式屬性,您需要 OS 設定代理程式 20210811 以上版本。如要查看代理程式版本,請參閱「查看 OS 設定代理程式版本」。
可用的作業系統套件更新資訊
下表大致列出 OS Inventory Management 為已安裝的作業系統套件提供的更新資訊。
| 作業系統 | 套件管理工具 | 可用欄位 |
|---|---|---|
| Linux 和 Windows Server | 您可以利用下列套件管理工具取得套件更新資訊:
|
系統會針對每個可用的套件更新提供以下資訊:
|
| Windows Server | Windows Update 代理程式 | 系統會針對 Windows 更新提供下列欄位:
|
1這個欄位在預設的 gcloud compute instances os-inventory describe 指令列輸出內容中是看不到的。如要查看此欄位,您必須查看 JSON 格式的輸出內容。如要查看 JSON 格式的輸出內容,請將 --format=JSON 附加到 gcloud 指令。如需進一步瞭解如何設定輸出內容的格式,請參閱 gcloud topic formats。
安全漏洞報告
軟體安全漏洞是指可能導致系統意外故障或惡意活動的弱點。對於 VM 而言,安全漏洞可能是作業系統套件或軟體應用程式的程式碼或運作邏輯中的問題。
與已安裝作業系統套件相關的安全漏洞通常會儲存在安全漏洞來源存放區中。如要進一步瞭解這些安全漏洞來源,請參閱「安全漏洞來源」。您可以使用 OS 庫存管理服務,查看已安裝 OS 套件的問題安全漏洞報表。
如要取得 VM 的漏洞資料,您必須設定 VM 管理員,且 VM 必須執行 20201110 以上版本的 OS 設定代理程式。請參閱「設定 VM 管理員」一文。
設定 OS Config 代理程式並回報商品目錄後,OS Config API 服務會持續掃描作業系統的漏洞來源,並根據可用的商品目錄資料進行檢查。當服務偵測到作業系統套件中的安全漏洞時,就會產生安全漏洞報告。這些報表的產生過程如下:
- 在 VM 的作業系統中安裝或更新套件時,您可以在變更後的兩小時內,在 VM 管理員、Security Command Center 和 Cloud Asset Inventory 中,查看 VM 的常見漏洞和曝露風險 (CVE) 資訊。
- 當作業系統發布新的安全性警示時,作業系統供應商通常會在發布警示後的 24 小時內提供更新的 CVE。
如要查看這些安全漏洞報告,請參閱「查看安全漏洞報告」。
安全漏洞報告的產生方式
VM Manager 會定期執行下列工作:
- 讀取從 VM 上的 OS 資產資料 收集到的報表。
- 掃描每個作業系統的漏洞來源,並根據嚴重性 (由高至低) 排序,每天至少執行一次。
- 在 Google Cloud 控制台上顯示 VM 的 CVE 資料。您也可以使用 Security Command Center 或 Cloud Asset Inventory 查看漏洞報告。
安全漏洞來源
下表列出各作業系統使用的漏洞來源。如需支援的作業系統及其版本完整清單,請參閱「作業系統詳細資訊」。
| 作業系統 | 安全漏洞來源套件 |
|---|---|
| RHEL 和 CentOS | https://access.redhat.com/security/data |
| Debian | https://security-tracker.debian.org/tracker |
| Ubuntu | https://launchpad.net/ubuntu-cve-tracker |
| SLES | https://ftp.suse.com/pub/projects/security/oval/ |
| Rocky Linux | https://errata.rockylinux.org/ |
| Windows | Microsoft Security Response Center 發布的安全漏洞資料。 |
資料保留
OS 庫存和安全漏洞報表資料會儲存到 VM 刪除為止。不過,如果 OS Config 代理程式因任何原因停止向 OS Config API 服務回報資料,VM 管理員就會刪除截至當下所收集到的 OS 庫存和安全漏洞報告資料。在 OS 設定代理程式重新啟動之前,該 VM 不會提供任何資料。
定價
如需定價資訊,請參閱 VM 管理員定價。
後續步驟
- 使用 OS 資產管理工具查看作業系統詳細資料。