Gere relatórios .csv de conformidade de patches

Você pode usar o console do AWS Systems Manager para gerar relatórios de conformidade de patch que são salvos como um arquivo.csv em um bucket do Amazon Simple Storage Service (Amazon S3) de sua escolha. Você pode gerar um único relatório sob demanda ou especificar uma programação para gerar os relatórios automaticamente.

Os relatórios podem ser gerados para um único nó gerenciado ou para todos os nós gerenciados na sua Conta da AWS e Região da AWS selecionadas. Para um único nó, um relatório contém detalhes abrangentes, incluindo os IDs de patches relacionados a um nó que não esteja compatível. Para obter um relatório sobre todos os nós gerenciados, apenas informações resumidas e contagens de patches de nós não compatíveis são fornecidas.

Depois que um relatório é gerado, você pode usar uma ferramenta, como o Amazon QuickSight, para importar e analisar os dados. O Amazon QuickSight é um serviço de business intelligence (BI) que você pode usar para explorar e interpretar informações em um ambiente visual interativo. Para obter mais informações, consulte o Manual do usuário do Amazon QuickSight.

nota

Ao criar uma linha de lista de referência personalizada, é possível especificar um nível de gravidade de conformidade para patches aprovados por essa lista de referência de patches, como Critical ou High. Se o estado do patch de qualquer patch aprovado for relatado como Missing, a gravidade geral da conformidade relatada pela lista de referência de patches será o nível de gravidade especificado.

Você também pode especificar um tópico do Amazon Simple Notification Service (Amazon SNS) a ser usado para enviar notificações quando um relatório for gerado.

Funções de serviço para gerar relatórios de conformidade de patch

Na primeira vez que você gera um relatório, o Systems Manager cria um perfil de admissão do Automation chamado AWS-SystemsManager-PatchSummaryExportRole para usar com o processo de exportação para o S3.

nota

Se você estiver exportando dados de conformidade para um bucket criptografado do S3, será necessário atualizar a política de chave do AWS KMS associada para fornecer as permissões necessárias para AWS-SystemsManager-PatchSummaryExportRole. Por exemplo, adicione uma permissão semelhante a essa à política do AWS KMS de seu bucket do S3:

{
    "Effect": "Allow",
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "role-arn"
}

Substitua role-arn pelo nome do recurso da Amazon (ARN) criado em sua conta no formato arn:aws:iam::111222333444:role/service-role/AWS-SystemsManager-PatchSummaryExportRole.

Para obter mais informações, consulte Políticas de chaves no AWS KMS no Guia do desenvolvedor do AWS Key Management Service.

Na primeira vez que você gerar um relatório em um agendamento, o Systems Manager cria outra função de serviço chamadaAWS-EventBridge-Start-SSMAutomationRole, juntamente com a função de serviçoAWS-SystemsManager-PatchSummaryExportRole(se ainda não tiver sido criado) para usar para o processo de exportação.AWS-EventBridge-Start-SSMAutomationRolepermite que o Amazon EventBridge inicie uma automação usando o runbookAWS-ExportPatchReporttos3.

Recomendamos que não tente modificar essas políticas e funções. Isso pode causar falha na geração do relatório de conformidade do patch. Para ter mais informações, consulte Solução de problemas da geração de relatórios de conformidade de patches.

O que está em um relatório de conformidade de patch gerado?

Este tópico fornece informações sobre os tipos de conteúdo incluídos nos relatórios de conformidade de patch que são gerados e baixados para um bucket do S3 especificado.

Formato de relatório para um único nó gerenciado

Um relatório gerado para um único nó gerenciado fornece informações resumidas e detalhadas.

Baixar um relatório de exemplo (nó único)

Informações resumidas para um único nó gerenciado incluem o seguinte:

• Índice

• ID da instância

• Nome da instância

• Instance IP

• nome-da-plataforma

• Versão da plataforma

• Versão do SSM Agent

• Lista de referência de patches

• Grupo de patches

• Compliance status (Status de conformidade)

• Gravidade da conformidade

• Contagem de patches de severidade crítica não compatível

• Contagem de patches de alta gravidade não compatível

• Contagem de patches de gravidade média não compatível

• Contagem de patches de baixa gravidade não compatível

• Contagem de patches de severidade informativa não compatível

• Contagem de patches de gravidade não especificada não compatível

Informações detalhadas para um único nó gerenciado incluem o seguinte:

• Índice

• ID da instância

• Nome da instância

• Nome do patch

• ID do BC/ID do patch

• Estado do patch

• Hora do último relatório

• Nível de conformidade

• Gravidade do patch

• Classificação de patch

• CVE ID

• Lista de referência de patches

• URL de logs

• Instance IP

• nome-da-plataforma

• Versão da plataforma

• Versão do SSM Agent

nota

Ao criar uma linha de lista de referência personalizada, é possível especificar um nível de gravidade de conformidade para patches aprovados por essa lista de referência de patches, como Critical ou High. Se o estado do patch de qualquer patch aprovado for relatado como Missing, a gravidade geral da conformidade relatada pela lista de referência de patches será o nível de gravidade especificado.

Formato de relatório para todos os nós gerenciados

Um relatório gerado para todos os nós gerenciados fornece apenas informações resumidas.

Baixar um relatório de amostra (todos os nós gerenciados)

Informações resumidas para todos os nós gerenciados incluem o seguinte:

• Índice

• ID da instância

• Nome da instância

• Instance IP

• nome-da-plataforma

• Versão da plataforma

• Versão do SSM Agent

• Lista de referência de patches

• Grupo de patches

• Compliance status (Status de conformidade)

• Gravidade da conformidade

• Contagem de patches de severidade crítica não compatível

• Contagem de patches de alta gravidade não compatível

• Contagem de patches de gravidade média não compatível

• Contagem de patches de baixa gravidade não compatível

• Contagem de patches de severidade informativa não compatível

• Contagem de patches de gravidade não especificada não compatível

Gerar relatórios de conformidade de patch para um único nó gerenciado.

Use o procedimento a seguir para gerar um relatório de resumo de patches para um único nó gerenciado na sua Conta da AWS. O relatório de um único nó gerenciado fornece detalhes sobre cada patch que estiver fora de conformidade, incluindo nomes de patches e IDs.

Para gerar relatórios de conformidade de patch para um único nó gerenciado.

1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

2. No painel de navegação, escolha Patch Manager.

3. Selecione a guia Compliance reporting (Relatório de conformidade).

4. Selecione o botão na linha do nó gerenciado para o qual você deseja gerar um relatório e escolha View detail (Visualizar detalhes).

5. Na seção Patch summary (Resumo do patch), escolha Export to S3 (Exportar para o S3).

6. Para Report name (Nome do relatório), insira um nome para ajudar você a identificar o relatório mais tarde.

7. Para Reporting frequency (Frequência dos relatórios), escolha uma das seguintes opções:

   • Sob demanda— Cria um relatório único. Vá para a etapa 9.

   • Em um horário— Especifique uma programação recorrente para gerar relatórios automaticamente. Continue na etapa 8.

8. Para Schedule type (Tipo de programação), especifique uma expressão de taxa, como a cada 3 dias, ou forneça uma expressão cron para definir a frequência do relatório.

   Para obter informações sobre expressões cron, consulte Referência: Expressões cron e rate para o Systems Manager.

9. Para o Bucket name (Nome do bucket), selecione o nome de um bucket do S3 onde você deseja armazenar os arquivos .csv de relatório

   Importante

   Se você estiver trabalhando em uma Região da AWS que foi lançada após 20 de março de 2019, selecione um bucket do S3 na mesma região. As regiões iniciadas após essa data foram desativadas por padrão. Para obter mais informações e uma lista dessas regiões, consulte Enabling a Region no Referência geral da Amazon Web Services.

10. (Opcional) Para enviar notificações quando o relatório for gerado, expanda a seção Tópico do SNS e escolha um tópico existente do Amazon SNS em SNS topic Amazon Resource Name (ARN) (Nome do recurso da Amazon (ARN) do tópico do SNS).

11. Selecione Enviar.

Para obter informações sobre como exibir um histórico de relatórios gerados, consulte Visualizar histórico de relatórios de conformidade de patches.

Para obter informações sobre como visualizar detalhes das agendas de relatórios que você criou, consulte Visualizar as programações de relatórios de conformidade de patches.

Gerar relatórios de conformidade de patch para todos os nós gerenciados.

Use o procedimento a seguir para gerar um relatório de resumo de patches para todos os nós gerenciados na sua Conta da AWS. O relatório de todos os nós gerenciados indica quais nós estão fora de conformidade e os números de patches fora de conformidade. Ele não fornece os nomes ou outros identificadores dos patches. Para esses detalhes adicionais, você pode gerar um relatório de conformidade de patches para um único nó gerenciado. Para obter mais informações, consulte Gerar relatórios de conformidade de patch para um único nó gerenciado. já abordado neste tópico.

Para gerar relatórios de conformidade de patch para todos os nós gerenciados

1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

2. No painel de navegação, escolha Patch Manager.

3. Selecione a guia Compliance reporting (Relatório de conformidade).

4. Selecione Export to S3 (Exportar para o S3). (Não selecione um ID de nó primeiro.)

5. Para Report name (Nome do relatório), insira um nome para ajudar você a identificar o relatório mais tarde.

6. Para Reporting frequency (Frequência dos relatórios), escolha uma das seguintes opções:

   • Sob demanda— Cria um relatório único. Vá para a etapa 8.

   • Em um horário— Especifique uma programação recorrente para gerar relatórios automaticamente. Continue na etapa 7.

7. Para Schedule type (Tipo de programação), especifique uma expressão de taxa, como a cada 3 dias, ou forneça uma expressão cron para definir a frequência do relatório.

   Para obter informações sobre expressões cron, consulte Referência: Expressões cron e rate para o Systems Manager.

8. Para o Bucket name (Nome do bucket), selecione o nome de um bucket do S3 onde você deseja armazenar os arquivos .csv de relatório

   Importante

   Se você estiver trabalhando em uma Região da AWS que foi lançada após 20 de março de 2019, selecione um bucket do S3 na mesma região. As regiões iniciadas após essa data foram desativadas por padrão. Para obter mais informações e uma lista dessas regiões, consulte Enabling a Region no Referência geral da Amazon Web Services.

9. (Opcional) Para enviar notificações quando o relatório for gerado, expanda a seção Tópico do SNS e escolha um tópico existente do Amazon SNS em SNS topic Amazon Resource Name (ARN) (Nome do recurso da Amazon (ARN) do tópico do SNS).

10. Selecione Enviar.

Para obter informações sobre como exibir um histórico de relatórios gerados, consulte Visualizar histórico de relatórios de conformidade de patches.

Para obter informações sobre como visualizar detalhes das agendas de relatórios que você criou, consulte Visualizar as programações de relatórios de conformidade de patches.

Visualizar histórico de relatórios de conformidade de patches

Use as informações deste tópico para ajudar você a exibir detalhes sobre os relatórios de conformidade de patches gerados em seu Conta da AWS.

Para visualizar o histórico dos relatórios de conformidade dos patches

1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

2. No painel de navegação, escolha Patch Manager.

3. Selecione a guia Compliance reporting (Relatório de conformidade).

4. Selecione View all S3 exports (Exibir todas as exportações do S3) e, em seguida, selecione a guia Export history (Histórico de exportação).

Visualizar as programações de relatórios de conformidade de patches

Use as informações deste tópico para ajudar você a exibir detalhes sobre as agendas de relatórios de conformidade de patch criadas em seu Conta da AWS.

Para visualizar o histórico dos relatórios de conformidade dos patches

1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

2. No painel de navegação, escolha Patch Manager.

3. Selecione a guia Compliance reporting (Relatório de conformidade).

4. Selecione View all S3 exports (Exibir todas as exportações do S3) e, em seguida, selecione a guia Report schedule rules (Regras para o agendamento de relatórios).

Solução de problemas da geração de relatórios de conformidade de patches

Use as seguintes informações para ajudar você a solucionar problemas com a geração de relatórios de conformidade de patches no Patch Manager, um recurso do AWS Systems Manager.

Tópicos

• Uma mensagem informa que a política AWS-SystemsManager-PatchManagerExportRolePolicy está corrompida
• Depois de excluir políticas ou funções de conformidade de patch, os relatórios agendados não são gerados com êxito

Uma mensagem informa que a política AWS-SystemsManager-PatchManagerExportRolePolicy está corrompida

Problema: Você recebe uma mensagem de erro semelhante à seguinte, indicando aAWS-SystemsManager-PatchManagerExportRolePolicyestá corrompido:

An error occurred while updating the AWS-SystemsManager-PatchManagerExportRolePolicy
policy. If you have edited the policy, you might need to delete the policy, and any 
role that uses it, then try again. Systems Manager recreates the roles and policies 
you have deleted.

• Solução: use o console do Patch Manager ou a AWS CLI para excluir as políticas e os perfis afetados antes de gerar um novo relatório de conformidade de patches.

  Para excluir a política corrompida usando o console

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Execute um destes procedimentos:

     Relatórios sob demanda— Se o problema ocorreu durante a geração de um relatório por solicitação único, na navegação à esquerda, escolhaPolíticas, pesquise porAWS-SystemsManager-PatchManagerExportRolePolicye exclua política. Depois, escolhaFunções do, pesquise porAWS-SystemsManager-PatchSummaryExportRolee, em seguida, exclua função.

     Relatórios programados: se o problema ocorreu durante a geração de um relatório em um agendamento, na navegação à esquerda, escolha Políticas, pesquise um de cada vez porAWS-EventBridge-Start-SSMAutomationRolePolicy e AWS-SystemsManager-PatchManagerExportRolePolicy e exclua cada política. Depois, escolhaFunções do, pesquise um de cada vez porAWS-EventBridge-Start-SSMAutomationRoleeAWS-SystemsManager-PatchSummaryExportRolee exclua cada função.

  Para excluir a política corrompida usando a AWS CLI

  Substitua os valores dos espaços reservados pelo ID de sua conta.

  • Se o problema ocorreu ao gerar um relatório único sob demanda, execute estes comandos:

    aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy

    aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole

    Se o problema ocorreu ao gerar um relatório sobre um agendamento, execute estes comandos:

    aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-EventBridge-Start-SSMAutomationRolePolicy

    aws iam delete-policy --policy-arn arn:aws:iam::account-id:policy/AWS-SystemsManager-PatchManagerExportRolePolicy

    aws iam delete-role --role-name AWS-EventBridge-Start-SSMAutomationRole

    aws iam delete-role --role-name AWS-SystemsManager-PatchSummaryExportRole

  Após concluir todos os procedimento, siga as etapas para gerar ou agendar um novo relatório de conformidade de patch.

Depois de excluir políticas ou funções de conformidade de patch, os relatórios agendados não são gerados com êxito

Problema: A primeira vez que você gerar um relatório, o Systems Manager cria uma função de serviço e uma política a ser usada para o processo de exportação (AWS-SystemsManager-PatchSummaryExportRoleeAWS-SystemsManager-PatchManagerExportRolePolicy). Na primeira vez que você gerar um relatório em uma agenda, o Systems Manager cria outra função de serviço e uma política (AWS-EventBridge-Start-SSMAutomationRoleeAWS-EventBridge-Start-SSMAutomationRolePolicy). Eles permitem que o Amazon EventBridge inicie uma automação usando o runbookAWS-ExportPatchReporttos3.

Se você excluir qualquer uma dessas políticas ou funções, as conexões entre o agendamento e o bucket do S3 especificado e o tópico do Amazon SNS poderão ser perdidas.

• Solução: para contornar esse problema, recomendamos excluir o agendamento anterior e criar um novo agendamento para substituir o que estava enfrentando problemas.