Menghasilkan laporan kepatuhan patch .csv - AWS Systems Manager
Apa yang ada dalam laporan kepatuhan patch yang dibuat?Membuat laporan kepatuhan patch untuk satu node terkelolaMembuat laporan kepatuhan patch untuk semua node terkelolaMelihat riwayat pelaporan kepatuhan patchMelihat jadwal pelaporan kepatuhan patchMemecahkan masalah pembuatan laporan kepatuhan patch

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menghasilkan laporan kepatuhan patch .csv

Anda dapat menggunakan AWS Systems Manager konsol untuk membuat laporan kepatuhan patch yang disimpan sebagai file.csv ke bucket Amazon Simple Storage Service (Amazon S3) pilihan Anda. Anda dapat membuat laporan sesuai permintaan tunggal atau menentukan jadwal untuk menghasilkan laporan secara otomatis.

Laporan dapat dibuat untuk satu node terkelola atau untuk semua node terkelola di yang Anda pilih Akun AWS dan Wilayah AWS. Untuk satu node, laporan berisi detail komprehensif, termasuk IDs tambalan yang terkait dengan node yang tidak sesuai. Untuk laporan tentang semua node terkelola, hanya informasi ringkasan dan jumlah patch node yang tidak sesuai yang disediakan.

Setelah laporan dibuat, Anda dapat menggunakan alat seperti Amazon QuickSight untuk mengimpor dan menganalisis data. Amazon QuickSight adalah layanan intelijen bisnis (BI) yang dapat Anda gunakan untuk mengeksplorasi dan menafsirkan informasi dalam lingkungan visual yang interaktif. Untuk informasi selengkapnya, lihat Panduan QuickSight Pengguna Amazon.

catatan

Saat membuat baseline patch kustom, Anda dapat menentukan tingkat keparahan kepatuhan untuk tambalan yang disetujui oleh baseline patch tersebut, seperti atau. Critical High Jika status tambalan dari tambalan yang disetujui dilaporkan sebagaiMissing, maka tingkat keparahan kepatuhan keseluruhan baseline patch yang dilaporkan adalah tingkat keparahan yang Anda tentukan.

Anda juga dapat menentukan topik Amazon Simple Notification Service (AmazonSNS) yang akan digunakan untuk mengirim notifikasi saat laporan dibuat.

Peran layanan untuk membuat laporan kepatuhan patch

Saat pertama kali Anda membuat laporan, Systems Manager membuat peran Automation asumsi bernama AWS-SystemsManager-PatchSummaryExportRole untuk digunakan untuk proses ekspor ke S3.

catatan

Jika Anda mengekspor data kepatuhan ke bucket S3 terenkripsi, Anda harus memperbarui kebijakan AWS KMS kunci terkait untuk memberikan izin yang diperlukan. AWS-SystemsManager-PatchSummaryExportRole Misalnya, tambahkan izin yang serupa dengan ini ke AWS KMS kebijakan bucket S3 Anda:

{
    "Effect": "Allow",
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "role-arn"
}

Ganti role-arn dengan Nama Sumber Daya Amazon (ARN) yang dibuat di akun Anda, dalam formatarn:aws:iam::111222333444:role/service-role/AWS-SystemsManager-PatchSummaryExportRole.

Untuk informasi selengkapnya, lihat Kebijakan kunci di AWS KMS di Panduan Developer AWS Key Management Service .

Pertama kali Anda membuat laporan pada jadwal, Systems Manager membuat peran layanan lain bernamaAWS-EventBridge-Start-SSMAutomationRole, bersama dengan peran layanan AWS-SystemsManager-PatchSummaryExportRole (jika belum dibuat) untuk digunakan untuk proses ekspor. AWS-EventBridge-Start-SSMAutomationRolememungkinkan Amazon EventBridge untuk memulai otomatisasi menggunakan runbook AWS- ExportPatchReportTo S3.

Kami merekomendasikan agar tidak mencoba mengubah kebijakan dan peran ini. Melakukan hal itu dapat menyebabkan pembuatan laporan kepatuhan patch gagal. Untuk informasi selengkapnya, lihat Memecahkan masalah pembuatan laporan kepatuhan patch.

Apa yang ada dalam laporan kepatuhan patch yang dibuat?

Topik ini menyediakan informasi tentang jenis konten yang disertakan dalam laporan kepatuhan patch yang dihasilkan dan diunduh ke bucket S3 tertentu.

Laporan yang dihasilkan untuk satu node terkelola memberikan ringkasan dan informasi rinci.

Unduh laporan sampel (simpul tunggal)

Informasi ringkasan untuk satu node terkelola mencakup yang berikut:

  • Indeks

  • ID instans

  • Nama instans

  • IP instans

  • Nama platform

  • Versi platform

  • SSM Agent versi

  • Dasar patch

  • Grup patch

  • Status kepatuhan

  • Kepelikan kepatuhan

  • Jumlah patch dengan kepelikan Kritis yang tidak patuh

  • Jumlah patch dengan kepelikan Tinggi yang tidak patuh

  • Jumlah patch dengan kepelikan Medium yang tidak patuh

  • Jumlah patch dengan kepelikan Rendah yang tidak patuh

  • Jumlah patch dengan kepelikan Informasional yang tidak patuh

  • Jumlah patch dengan kepelikan Tidak Ditentukan yang tidak patuh

Informasi terperinci untuk satu node terkelola mencakup yang berikut:

  • Indeks

  • ID instans

  • Nama instans

  • Nama patch

  • ID KB/ID Patch

  • Keadaan patch

  • Waktu laporan terakhir

  • Tingkat kepatuhan

  • Kepelikan patch

  • Klasifikasi patch

  • CVEID

  • Garis dasar patch

  • Log URL

  • IP instans

  • Nama platform

  • Versi platform

  • SSM Agent versi

catatan

Saat membuat baseline patch kustom, Anda dapat menentukan tingkat keparahan kepatuhan untuk tambalan yang disetujui oleh baseline patch tersebut, seperti atau. Critical High Jika status tambalan dari tambalan yang disetujui dilaporkan sebagaiMissing, maka tingkat keparahan kepatuhan keseluruhan baseline patch yang dilaporkan adalah tingkat keparahan yang Anda tentukan.

Laporan yang dibuat untuk semua node terkelola hanya menyediakan informasi ringkasan.

Unduh contoh laporan (semua node terkelola)

Informasi ringkasan untuk semua node terkelola meliputi:

  • Indeks

  • ID instans

  • Nama instans

  • IP instans

  • Nama platform

  • Versi platform

  • SSM Agent versi

  • Dasar patch

  • Grup patch

  • Status kepatuhan

  • Kepelikan kepatuhan

  • Jumlah patch dengan kepelikan Kritis yang tidak patuh

  • Jumlah patch dengan kepelikan Tinggi yang tidak patuh

  • Jumlah patch dengan kepelikan Medium yang tidak patuh

  • Jumlah patch dengan kepelikan Rendah yang tidak patuh

  • Jumlah patch dengan kepelikan Informasional yang tidak patuh

  • Jumlah patch dengan kepelikan Tidak Ditentukan yang tidak patuh

Membuat laporan kepatuhan patch untuk satu node terkelola

Gunakan prosedur berikut untuk menghasilkan laporan ringkasan tambalan untuk satu node terkelola di Anda Akun AWS. Laporan untuk satu node terkelola memberikan detail tentang setiap tambalan yang tidak sesuai, termasuk nama tambalan danIDs.

Untuk menghasilkan laporan kepatuhan tambalan untuk satu node terkelola

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Patch Manager.

  3. Pilih tab Pelaporan kepatuhan.

  4. Pilih tombol untuk baris node terkelola yang ingin Anda hasilkan laporannya, lalu pilih Lihat detail.

  5. Di bagian Ringkasan tambalan, pilih Ekspor ke S3.

  6. Untuk Nama laporan, masukkan nama untuk membantu Anda mengidentifikasi laporan nanti.

  7. Untuk Frekuensi pelaporan, pilih salah satu hal berikut:

    • Sesuai permintaan — Buat laporan satu kali. Lewati ke Langkah 9.

    • Sesuai jadwal — Tentukan jadwal berulang untuk membuat laporan secara otomatis. Lanjutkan ke Langkah 8.

  8. Untuk Jenis jadwal, tentukan ekspresi rate, seperti setiap 3 hari, atau berikan ekspresi cron untuk mengatur frekuensi laporan.

    Untuk informasi tentang ekspresi cron, lihat Referensi: Ekspresi cron dan rate untuk Systems Manager.

  9. Untuk Nama bucket, pilih nama bucket S3 tempat Anda ingin menyimpan file laporan .csv.

    penting

    Jika Anda bekerja di sebuah Wilayah AWS yang diluncurkan setelah 20 Maret 2019, Anda harus memilih bucket S3 di Wilayah yang sama. Region yang diluncurkan setelah tanggal tersebut dimatikan secara default. Untuk informasi selengkapnya dan daftar Wilayah ini, lihat Mengaktifkan Wilayah di. Referensi Umum Amazon Web Services

  10. (Opsional) Untuk mengirim pemberitahuan saat laporan dibuat, keluarkan bagian SNStopik, lalu pilih topik Amazon yang ada dari SNS SNStopik Amazon Resource Name (ARN).

  11. Pilih Kirim.

Untuk informasi tentang melihat riwayat laporan yang dibuat, lihat Melihat riwayat pelaporan kepatuhan patch.

Untuk informasi tentang melihat detail jadwal pelaporan yang telah Anda buat, lihat Melihat jadwal pelaporan kepatuhan patch.

Membuat laporan kepatuhan patch untuk semua node terkelola

Gunakan prosedur berikut untuk menghasilkan laporan ringkasan tambalan untuk semua node terkelola di Anda Akun AWS. Laporan untuk semua node terkelola menunjukkan node mana yang tidak sesuai dan jumlah tambalan yang tidak sesuai. Ini tidak memberikan nama atau pengidentifikasi lain dari patch. Untuk detail tambahan ini, Anda dapat membuat laporan kepatuhan patch untuk satu node terkelola. Untuk informasi, lihat Membuat laporan kepatuhan patch untuk satu node terkelola sebelumnya dalam topik ini.

Untuk menghasilkan laporan kepatuhan patch untuk semua node terkelola

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Patch Manager.

  3. Pilih tab Pelaporan kepatuhan.

  4. Pilih Ekspor ke S3. (Jangan pilih ID node terlebih dahulu.)

  5. Untuk Nama laporan, masukkan nama untuk membantu Anda mengidentifikasi laporan nanti.

  6. Untuk Frekuensi pelaporan, pilih salah satu hal berikut:

    • Sesuai permintaan — Buat laporan satu kali. Lewati ke Langkah 8.

    • Sesuai jadwal — Tentukan jadwal berulang untuk membuat laporan secara otomatis. Lanjutkan ke Langkah 7.

  7. Untuk Jenis jadwal, tentukan ekspresi rate, seperti setiap 3 hari, atau berikan ekspresi cron untuk mengatur frekuensi laporan.

    Untuk informasi tentang ekspresi cron, lihat Referensi: Ekspresi cron dan rate untuk Systems Manager.

  8. Untuk Nama bucket, pilih nama bucket S3 tempat Anda ingin menyimpan file laporan .csv.

    penting

    Jika Anda bekerja di sebuah Wilayah AWS yang diluncurkan setelah 20 Maret 2019, Anda harus memilih bucket S3 di Wilayah yang sama. Region yang diluncurkan setelah tanggal tersebut dimatikan secara default. Untuk informasi selengkapnya dan daftar Wilayah ini, lihat Mengaktifkan Wilayah di. Referensi Umum Amazon Web Services

  9. (Opsional) Untuk mengirim pemberitahuan saat laporan dibuat, keluarkan bagian SNStopik, lalu pilih topik Amazon yang ada dari SNS SNStopik Amazon Resource Name (ARN).

  10. Pilih Kirim.

Untuk informasi tentang melihat riwayat laporan yang dibuat, lihat Melihat riwayat pelaporan kepatuhan patch.

Untuk informasi tentang melihat detail jadwal pelaporan yang telah Anda buat, lihat Melihat jadwal pelaporan kepatuhan patch.

Melihat riwayat pelaporan kepatuhan patch

Gunakan informasi dalam topik ini untuk membantu Anda melihat detail tentang laporan kepatuhan tambalan yang dihasilkan di Anda Akun AWS.

Untuk melihat riwayat pelaporan kepatuhan patch

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Patch Manager.

  3. Pilih tab Pelaporan kepatuhan.

  4. Pilih Lihat semua ekspor S3, lalu pilih tab Riwayat ekspor.

Melihat jadwal pelaporan kepatuhan patch

Gunakan informasi dalam topik ini untuk membantu Anda melihat detail tentang jadwal pelaporan kepatuhan tambalan yang dibuat di situs Anda Akun AWS.

Untuk melihat riwayat pelaporan kepatuhan patch

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Patch Manager.

  3. Pilih tab Pelaporan kepatuhan.

  4. Pilih Lihat semua ekspor S3, lalu pilih tab Aturan jadwal laporan.

Memecahkan masalah pembuatan laporan kepatuhan patch

Gunakan informasi berikut untuk membantu Anda memecahkan masalah dengan menghasilkan pembuatan laporan kepatuhan tambalan di Patch Manager, kemampuan AWS Systems Manager.

Pesan melaporkan bahwa kebijakan AWS-SystemsManager-PatchManagerExportRolePolicy rusak

Masalah: Anda menerima pesan kesalahan yang serupa dengan berikut ini, menunjukkan AWS-SystemsManager-PatchManagerExportRolePolicy rusak:

An error occurred while updating the AWS-SystemsManager-PatchManagerExportRolePolicy
policy. If you have edited the policy, you might need to delete the policy, and any 
role that uses it, then try again. Systems Manager recreates the roles and policies 
you have deleted.

  • Solusi: Gunakan Patch Manager konsol atau AWS CLI untuk menghapus peran dan kebijakan yang terpengaruh sebelum membuat laporan kepatuhan patch baru.

    Untuk menghapus kebijakan korup menggunakan konsol

    1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

    2. Lakukan salah satu hal berikut ini:

      Laporan sesuai permintaan — Jika masalah terjadi saat membuat laporan sesuai permintaan satu kali, di navigasi sebelah kiri, pilih Kebijakan, cari AWS-SystemsManager-PatchManagerExportRolePolicy, lalu hapus kebijakan tersebut. Selanjutnya, pilih Peran, cari AWS-SystemsManager-PatchSummaryExportRole, lalu hapus peran tersebut.

      Laporan terjadwal — Jika masalah terjadi saat membuat laporan sesuai jadwal, di navigasi kiri, pilih Kebijakan, cari satu per satuAWS-SystemsManager-PatchManagerExportRolePolicy, AWS-EventBridge-Start-SSMAutomationRolePolicy dan hapus setiap kebijakan. Selanjutnya, pilih Peran, cari satu per satu untuk AWS-EventBridge-Start-SSMAutomationRole dan AWS-SystemsManager-PatchSummaryExportRole, dan hapus masing-masing peran.

    Untuk menghapus kebijakan korup menggunakan AWS CLI

    Ganti placeholder values dengan ID akun Anda.

    • Jika masalah terjadi saat membuat laporan on-demand satu kali, jalankan perintah berikut:

      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
      aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole

      Jika masalah terjadi saat membuat laporan pada jadwal, jalankan perintah berikut:

      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-EventBridge-Start-SSMAutomationRolePolicy
      aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy
      aws iam delete-role --role-name AWS-EventBridge-Start-SSMAutomationRole
      aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole

    Setelah menyelesaikan salah satu prosedur, ikuti langkah-langkah untuk membuat atau menjadwalkan laporan kepatuhan patch baru.

Setelah menghapus kebijakan atau peran kepatuhan patch, laporan terjadwal tidak berhasil dibuat

Masalah: Pertama kali Anda membuat laporan, Systems Manager membuat peran layanan dan kebijakan untuk digunakan untuk proses ekspor (AWS-SystemsManager-PatchSummaryExportRole dan AWS-SystemsManager-PatchManagerExportRolePolicy). Pertama kali Anda membuat laporan terjadwal, Systems Manager membuat peran layanan lain dan kebijakan (AWS-EventBridge-Start-SSMAutomationRole dan AWS-EventBridge-Start-SSMAutomationRolePolicy). Ini memungkinkan Amazon EventBridge memulai otomatisasi menggunakan runbook AWS- ExportPatchReportTo S3.

Jika Anda menghapus salah satu kebijakan atau peran ini, koneksi antara jadwal Anda dan bucket S3 yang ditentukan dan SNS topik Amazon mungkin hilang.

  • Solusi: Untuk mengatasi masalah ini, kami merekomendasikan untuk menghapus jadwal sebelumnya dan membuat jadwal baru untuk menggantikan jadwal yang mengalami masalah.