Generieren von Patch-Compliance-Berichten im .csv-Format - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Generieren von Patch-Compliance-Berichten im .csv-Format

Sie können die AWS Systems Manager Konsole verwenden, um Patch-Compliance-Berichte zu erstellen, die als CSV-Datei in einem Amazon Simple Storage Service (Amazon S3) -Bucket Ihrer Wahl gespeichert werden. Sie können einen einzelnen On-Demand-Bericht erstellen oder einen Zeitplan für die automatische Generierung der Berichte angeben.

Berichte können für einen einzelnen verwalteten Knoten oder für alle verwalteten Knoten in Ihrem ausgewählten AWS-Konto und AWS-Region generiert werden. Für einen einzelnen Knoten enthält ein Bericht umfassende Details, einschließlich der Patches, die IDs sich auf die Nichtkonformität eines Knotens beziehen. Für einen Bericht über alle verwaltete Knoten werden nur zusammenfassende Informationen und die Anzahl der Patches von nicht konformen Knoten bereitgestellt.

Nachdem ein Bericht generiert wurde, können Sie ein Tool wie Amazon verwenden, QuickSight um die Daten zu importieren und zu analysieren. Amazon QuickSight ist ein Business Intelligence (BI) -Service, mit dem Sie Informationen in einer interaktiven visuellen Umgebung untersuchen und interpretieren können. Weitere Informationen finden Sie im QuickSight Amazon-Benutzerhandbuch.

Anmerkung

Wenn Sie eine benutzerdefinierte Patch-Baseline erstellen, können Sie für Patches, die von dieser Patch-Baseline genehmigt wurden, einen Schweregrad für die Konformität angeben, beispielsweise Critical oder High. Wenn der Patch-Status eines genehmigten Patches als Missing gemeldet wird, dann ist der insgesamt gemeldete Konformitätsschweregrad der Patch-Baseline der von Ihnen angegebene Schweregrad.

Sie können auch ein Thema zum Amazon Simple Notification Service (Amazon SNS) angeben, um Benachrichtigungen zu senden, wenn ein Bericht erstellt wird.

Servicerollen zum Generieren von Patch-Compliance-Berichten

Wenn Sie zum ersten Mal einen Bericht erstellen, erstellt Systems Manager eine angenommene Automatisierungsrolle mit dem Namen AWS-SystemsManager-PatchSummaryExportRole, die für den Exportprozess zu S3 verwendet wird.

Anmerkung

Wenn Sie Compliance-Daten in einen verschlüsselten S3-Bucket exportieren, müssen Sie die zugehörige AWS KMS Schlüsselrichtlinie aktualisieren, um die erforderlichen Berechtigungen für bereitzustellenAWS-SystemsManager-PatchSummaryExportRole. Fügen Sie beispielsweise der AWS KMS Richtlinie Ihres S3-Buckets eine ähnliche Berechtigung hinzu:

{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "role-arn" }

role-arnErsetzen Sie es durch den Amazon-Ressourcennamen (ARN) der in Ihrem Konto erstellten Datei im Formatarn:aws:iam::111222333444:role/service-role/AWS-SystemsManager-PatchSummaryExportRole.

Weitere Informationen finden Sie unter Schlüsselrichtlinien in AWS KMS im Entwicklerhandbuch für AWS Key Management Service .

Wenn Sie zum ersten Mal einen Bericht nach einem Zeitplan generieren, erstellt Systems Manager eine weitere Servicerolle mit dem Namen AWS-EventBridge-Start-SSMAutomationRole zusammen mit der Servicerolle AWS-SystemsManager-PatchSummaryExportRole (falls nicht bereits erstellt), die für den Exportvorgang verwendet werden soll. AWS-EventBridge-Start-SSMAutomationRoleermöglicht Amazon EventBridge , eine Automatisierung mit dem Runbook AWS ExportPatchReportToS3 zu starten.

Es wird empfohlen, diese Richtlinien und Rollen zu ändern. Dies kann dazu führen, dass die Erstellung von Patch-Compliance-Berichten fehlschlägt. Weitere Informationen finden Sie unter Problembehandlung bei der Erstellung von Patch-Compliance-Berichten.

Was ist in einem generierten Patch-Compliance-Bericht enthalten?

Dieses Thema enthält Informationen zu den Inhaltstypen, die in den Patch-Compliance-Berichten enthalten sind, die generiert und in einen angegebenen S3-Bucket heruntergeladen werden.

Ein für einen einzelnen verwalteten Knoten generierter Bericht liefert sowohl zusammenfassende als auch detaillierte Informationen.

Herunterladen eines Beispielberichts (einzelner Knoten)

Zu den zusammenfassenden Informationen für einen einzelnen verwalteten Knoten gehört Folgendes:

  • Index

  • Instance-ID

  • Instance name

  • Instance IP

  • Plattformname

  • Plattformversion

  • SSM Agent version

  • Patch-Baseline

  • Patch-Gruppe

  • Compliance status (Compliance-Status)

  • Compliance-Schweregrad

  • Anzahl nicht konformer Patches mit kritischem Schweregrad

  • Anzahl nicht konformer Patches mit hohem Schweregrad

  • Anzahl nicht konformer Patches mit der Schweregrad Mittel

  • Anzahl nicht konformer Patches mit niedrigem Schweregrad

  • Anzahl nicht konformer Patches mit informativen Schweregrad

  • Anzahl nicht konformer Patches mit nicht spezifiziertem Schweregrad

Zu den detaillierten Informationen für einen verwalteten einzelnen Knoten gehört Folgendes:

  • Index

  • Instance-ID

  • Instance name

  • Patch-Name

  • KB-ID/Patch-ID

  • Patch-Status

  • Zeitpunkt des letzten Berichts

  • Compliance-Stufe

  • Patch-Schweregrad

  • Patch-Klassifizierung

  • CVE-ID

  • Patch-Baseline

  • Logs-URL

  • Instance IP

  • Plattformname

  • Plattformversion

  • SSM Agent version

Anmerkung

Wenn Sie eine benutzerdefinierte Patch-Baseline erstellen, können Sie für Patches, die von dieser Patch-Baseline genehmigt wurden, einen Schweregrad für die Konformität angeben, beispielsweise Critical oder High. Wenn der Patch-Status eines genehmigten Patches als Missing gemeldet wird, dann ist der insgesamt gemeldete Konformitätsschweregrad der Patch-Baseline der von Ihnen angegebene Schweregrad.

Ein für alle verwaltete Knoten generierter Bericht enthält nur zusammenfassende Informationen.

Herunterladen eines Beispielberichts (alle verwaltete Knoten)

Zu den zusammenfassenden Informationen für alle verwaltete Knoten gehört Folgendes:

  • Index

  • Instance-ID

  • Instance name

  • Instance IP

  • Plattformname

  • Plattformversion

  • SSM Agent version

  • Patch-Baseline

  • Patch-Gruppe

  • Compliance status (Compliance-Status)

  • Compliance-Schweregrad

  • Anzahl nicht konformer Patches mit kritischem Schweregrad

  • Anzahl nicht konformer Patches mit hohem Schweregrad

  • Anzahl nicht konformer Patches mit der Schweregrad Mittel

  • Anzahl nicht konformer Patches mit niedrigem Schweregrad

  • Anzahl nicht konformer Patches mit informativen Schweregrad

  • Anzahl nicht konformer Patches mit nicht spezifiziertem Schweregrad

Generieren von Patch-Compliance-Berichten für einen einzelnen verwalteten Knoten

Gehen Sie wie folgt vor, um einen Patch-Zusammenfassungs-Bericht für einen einzelnen verwalteten Knoten in Ihrem AWS-Konto zu generieren. Der Bericht für einen einzelnen verwalteten Knoten enthält Einzelheiten zu jedem Patch, der nicht richtlinientreu ist, einschließlich Patch-Namen und IDs.

So generieren Sie Patch-Compliance-Berichte für einen einzelnen verwalteten Knoten
  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Patch Manager.

  3. Wählen Sie die Registerkarte Compliance reporting (Compliance-Berichte) aus.

  4. Wählen Sie die Schaltfläche für die Zeile des verwalteten Knoten aus, für den Sie einen Bericht erstellen möchten, und wählen Sie dann View detail (Detail anzeigen) aus.

  5. Wählen Sie Abschnitt mit der Patch-Zusammenfassung Exportieren nach S3 aus.

  6. Für Berichtname geben Sie einen Namen ein, damit Sie den Bericht später leichter identifizieren können.

  7. Für Meldehäufigkeit wählen Sie eine der folgenden Optionen aus:

    • On Demand – Erstellen Sie einen einmaligen Bericht. Fahren Sie mit Schritt 9 fort.

    • Nach einem Plan – Geben Sie einen wiederkehrenden Zeitplan für die automatische Erstellung von Berichten an. Fahren Sie fort mit Schritt 8.

  8. Für den Typ „Nach einem Plan“ geben Sie entweder einen Kursausdruck an, z. B. alle 3 Tage, oder geben Sie einen Cron-Ausdruck an, um die Berichtshäufigkeit festzulegen.

    Informationen zu Cron-Ausdrücken finden Sie unter Referenz: Cron- und Rate-Ausdrücke für System Manager.

  9. Für Bucket-Name wählen Sie den Namen eines S3-Buckets aus, in dem die CSV-Berichtsdateien gespeichert werden sollen.

    Wichtig

    Wenn Sie in einem arbeiten AWS-Region , das nach dem 20. März 2019 gestartet wurde, müssen Sie einen S3-Bucket in derselben Region auswählen. Nach diesem Datum gestartete Regionen wurden standardmäßig deaktiviert. Weitere Informationen und eine Liste dieser Regionen finden Sie unter Aktivieren einer Region in der Allgemeine Amazon Web Services-Referenz.

  10. (Optional) Um Benachrichtigungen zu senden, wenn der Bericht erstellt wird, erweitern Sie den Abschnitt SNS-Thema und wählen Sie dann aus SNS-Thema Amazon-Ressourcenname (ARN) ein vorhandenes Amazon-SNS-Thema aus.

  11. Wählen Sie Absenden aus.

Informationen zum Anzeigen eines Verlaufs von generierten Berichten finden Sie unter Berichtsverlauf für Patch-Compliance anzeigen.

Informationen zum Anzeigen von Details zu von Ihnen erstellten Berichtszeitplänen finden Sie unter Zeitpläne für Patch-Compliance-Berichte anzeigen.

Generieren von Patch-Compliance-Berichten für alle verwaltete Knoten

Gehen Sie wie folgt vor, um einen Patch-Zusammenfassungs-Bericht für alle verwaltete Knoten in Ihrem AWS-Konto zu generieren. Der Bericht für alle verwalteten Knoten zeigt an, welche Knoten nicht konform sind und wie viele Patches nicht konform sind. Es gibt keine Namen oder andere Bezeichner der Patches. Für diese zusätzlichen Details können Sie einen Patch-Compliance-Bericht für einen einzelnen verwalteten Knoten erstellen. Informationen finden Sie unter Generieren von Patch-Compliance-Berichten für einen einzelnen verwalteten Knoten weiter vorne in diesem Thema.

Generieren von Patch-Compliance-Berichten für alle verwaltete Knoten
  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Patch Manager.

  3. Wählen Sie die Registerkarte Compliance reporting (Compliance-Berichte) aus.

  4. Klicken Sie auf Export to S3 (Exportieren nach S3). (Wählen Sie nicht zuerst eine Knoten-ID aus.)

  5. Für Berichtname geben Sie einen Namen ein, damit Sie den Bericht später leichter identifizieren können.

  6. Für Meldehäufigkeit wählen Sie eine der folgenden Optionen aus:

    • On Demand – Erstellen Sie einen einmaligen Bericht. Fahren Sie mit Schritt 8 fort.

    • Nach einem Plan – Geben Sie einen wiederkehrenden Zeitplan für die automatische Erstellung von Berichten an. Fahren Sie fort mit Schritt 7.

  7. Für den Typ „Nach einem Plan“ geben Sie entweder einen Kursausdruck an, z. B. alle 3 Tage, oder geben Sie einen Cron-Ausdruck an, um die Berichtshäufigkeit festzulegen.

    Informationen zu Cron-Ausdrücken finden Sie unter Referenz: Cron- und Rate-Ausdrücke für System Manager.

  8. Für Bucket-Name wählen Sie den Namen eines S3-Buckets aus, in dem die CSV-Berichtsdateien gespeichert werden sollen.

    Wichtig

    Wenn Sie in einem arbeiten AWS-Region , das nach dem 20. März 2019 gestartet wurde, müssen Sie einen S3-Bucket in derselben Region auswählen. Nach diesem Datum gestartete Regionen wurden standardmäßig deaktiviert. Weitere Informationen und eine Liste dieser Regionen finden Sie unter Aktivieren einer Region in der Allgemeine Amazon Web Services-Referenz.

  9. (Optional) Um Benachrichtigungen zu senden, wenn der Bericht erstellt wird, erweitern Sie den Abschnitt SNS-Thema und wählen Sie dann aus SNS-Thema Amazon-Ressourcenname (ARN) ein vorhandenes Amazon-SNS-Thema aus.

  10. Wählen Sie Absenden aus.

Informationen zum Anzeigen eines Verlaufs von generierten Berichten finden Sie unter Berichtsverlauf für Patch-Compliance anzeigen.

Informationen zum Anzeigen von Details zu von Ihnen erstellten Berichtszeitplänen finden Sie unter Zeitpläne für Patch-Compliance-Berichte anzeigen.

Berichtsverlauf für Patch-Compliance anzeigen

Mithilfe der Informationen in diesem Thema können Sie sich Details zu den Patch-Compliance-Berichten anzeigen lassen, die in Ihrem erstellt wurden AWS-Konto.

Anzeigen des Berichtsverlaufs für Patch-Compliance
  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Patch Manager.

  3. Wählen Sie die Registerkarte Compliance reporting (Compliance-Berichte) aus.

  4. Klicken Sie auf Alle S3-Exporte anzeigen und danach auf die Registerkarte Exportieren des Verlaufs.

Zeitpläne für Patch-Compliance-Berichte anzeigen

Mithilfe der Informationen in diesem Thema können Sie sich Details zu den in Ihrem erstellten Zeitplan für die Erstellung von Berichten zur Patch-Konformität anzeigen lassen AWS-Konto.

Anzeigen des Berichtsverlaufs für Patch-Compliance
  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Patch Manager.

  3. Wählen Sie die Registerkarte Compliance reporting (Compliance-Berichte) aus.

  4. Wählen Sie View all S3 exports (Alle S3-Exporte anzeigen) und danach die Registerkarte Report schedule rules (Regeln für die Berichtsplanung) aus.

Problembehandlung bei der Erstellung von Patch-Compliance-Berichten

Verwenden Sie die folgenden Informationen zur Behebung von Problemen bei der Generierung von Patch-Konformitätsberichten in Patch Manager, ein Tool in AWS Systems Manager.

Eine Nachricht meldet, dass die AWS-SystemsManager-PatchManagerExportRolePolicy-Richtlinie beschädigt ist

Problem: Sie erhalten eine Fehlermeldung ähnlich der folgenden, die angibt, dass AWS-SystemsManager-PatchManagerExportRolePolicy beschädigt ist:

An error occurred while updating the AWS-SystemsManager-PatchManagerExportRolePolicy
policy. If you have edited the policy, you might need to delete the policy, and any 
role that uses it, then try again. Systems Manager recreates the roles and policies 
you have deleted.
  • Lösung: Verwenden Sie die Patch Manager Konsole oder AWS CLI um die betroffenen Rollen und Richtlinien zu löschen, bevor ein neuer Patch-Compliance-Bericht generiert wird.

    So löschen Sie die beschädigte Richtlinie über die Konsole
    1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

    2. Führen Sie eine der folgenden Aktionen aus:

      On-Demand-Berichte – Wenn das Problem beim Generieren eines einmaligen On-Demand-Berichts aufgetreten ist, wählen Sie in der linken Navigation Richtlinien aus und suchen Sie nach AWS-SystemsManager-PatchManagerExportRolePolicy. Löschen Sie dann die Richtlinie. Wählen Sie anschließend Rollen aus, suchen Sie nach AWS-SystemsManager-PatchSummaryExportRole und löschen Sie sie.

      Geplante Berichte – Wenn der Fehler während der Erstellung eines geplanten Berichts aufgetreten ist, wählen Sie in der linken Navigation Richtlinien aus, suchen Sie nacheinander nach AWS-EventBridge-Start-SSMAutomationRolePolicy und AWS-SystemsManager-PatchManagerExportRolePolicy und löschen Sie jede Richtlinie. Wählen Sie anschließend Rollen aus, schen Sie nacheinander nach AWS-EventBridge-Start-SSMAutomationRole und AWS-SystemsManager-PatchSummaryExportRole und löschen Sie jede Rolle.

    Um die beschädigte Richtlinie mit dem zu löschen AWS CLI

    Ersetzen Sie das placeholder values durch Ihre Konto-ID.

    • Wenn das Problem bei der Erstellung eines einmaligen On-Demand-Berichts aufgetreten ist, führen Sie die folgenden Befehle aus:

      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
      aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole

      Wenn das Problem bei der Erstellung eines Zeitplanberichts auftritt, führen Sie die folgenden Befehle aus:

      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-EventBridge-Start-SSMAutomationRolePolicy
      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
      aws iam delete-role --role-name AWS-EventBridge-Start-SSMAutomationRole
      aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole

    Nachdem Sie eines der beiden Verfahren abgeschlossen haben, folgen Sie den Schritten, um einen neuen Patch-Compliance-Bericht zu erstellen oder zu planen.

Nach dem Löschen von Patch-Compliance-Richtlinien oder -Rollen werden geplante Berichte nicht erfolgreich generiert

Problem: Wenn Sie zum ersten Mal einen Bericht erstellen, erstellt Systems Manager eine Servicerolle und eine Richtlinie für den Exportprozess (AWS-SystemsManager-PatchSummaryExportRole und AWS-SystemsManager-PatchManagerExportRolePolicy). Wenn Sie zum ersten Mal einen geplanten Bericht erstellen, erstellt Systems Manager eine weitere Servicerolle und eine Richtlinie (AWS-EventBridge-Start-SSMAutomationRole und AWS-EventBridge-Start-SSMAutomationRolePolicy). Diese ermöglichen es Amazon, eine Automatisierung mithilfe des Runbooks AWS ExportPatchReportToS3 zu EventBridge starten.

Wenn Sie eine dieser Richtlinien oder Rollen löschen, gehen die Verbindungen zwischen Ihrem Zeitplan und Ihrem angegebenen S3-Bucket und Amazon SNS-Thema möglicherweise verloren.

  • Lösung: Um dieses Problem zu umgehen, empfehlen wir, den vorherigen Zeitplan zu löschen und einen neuen Zeitplan zu erstellen, um den zu ersetzen, bei dem Probleme aufgetreten sind.