本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
高级配置
本节介绍了 Inspector VM Scanner 的高级配置选项。
配置本地输出
Inspector VM Scanner 提供了以下选项来配置本地输出的写入方式:
-
--send-results必须设置为telemetry或disabled。如果你通过disabled,Inspector VM Scanner 将在不发送 SBOM 的情况下继续前进。
提示
--state-dir与一起使用可--send-results disabled将 SBOM 保存在本地。
-
--log-dir配置日志的写入位置。默认情况下,日志会写入 stdout。 -
--log-level配置日志的粒度。默认情况下,这是信息。 -
--log-retention配置保留日志的天数。如果在中找到的日志文件早--log-retention于该文件--log-dir,则该文件将被删除。默认情况下,这是 7 天。 -
--debug配置调试级别的日志记录并强制为当前执行创建专用的日志文件(而不是尝试每天维护一个日志文件)。 -
--state-dir配置 SBOM 的写入位置。默认情况下,不保存 SBOM。 -
--metric-dir配置指标日志的写入位置。默认情况下,不保存指标日志。 -
--cpu-profile启用 Go 运行时 CPU 分析器并配置结果的写入位置。 -
--mem-profile启用 Go 运行时内存分析器并配置结果的写入位置。 -
--config-path指示 Inspector VM Scanner 从本地配置文件中派生参数。如果在 CLI 和配置文件中都传递了相同的参数,则会优先考虑 CLI 值。-
Inspector VM Scanner 配置文件在 TOML 中指定,所有参数名称都与 CLI 相同。
-
以下示例显示了一个配置文件:
# Configuration file for Inspector VM Scanner log-level = "INFO" send-results = "telemetry" cpu-profile = "cpuprofile" mem-profile = "memprofile" log-dir = "log" state-dir = "state" debug = false log-retention = 7 scan-timeout = 300 [sbom] max-scan-depth = 5 target-directory = ["~"]
配置资源使用情况
Inspector VM Scanner 提供了以下选项来配置资源使用情况:
-
--scan-timeout强制扫描仪在指定的秒数后超时。默认情况下,扫描仪不会超时。 -
--nice-priority设置进程的nice优先级(适用于 Unix 系统)。默认情况下,这是 3。 -
--cpu-limit设置 CPU 使用率的硬上限(适用于使用的 Linux 系统cgroups)。默认情况下,这是 65%。 -
--process-priority配置进程的优先级(适用于Windows系统)。默认情况下,这是BELOW NORMAL优先级。
注意
--cpu-limit和--process-priority的默认值与 Inspector SSM 插件相同。
配置扫描目标
Inspector VM Scanner 使用 Inspector SBOM 生成器收集库存 因此,Inspector VM Scanner 的许多扫描覆盖范围选项都是直接从 SBOM 生成器中获取的。
默认情况下,Inspector VM Scanner 使用 SBOM Generator 的localhost扫描仪组以及certificate和windows-kb扫描仪。
Inspector VM Scanner 提供了以下选项来配置扫描目标:
-
--max-scan-depth配置扫描遍历的最大目录数。 -
--target-directories将其他目录配置为在默认值之外进行扫描。 -
--override-scanners配置精确的文件扫描器,覆盖 Inspector VM Scanner 的默认设置。 -
--additional-scanners配置除了 Inspector VM Scanner 默认值之外还要使用的文件扫描器。
您可以使用以下命令列出所有可用的扫描仪:
./inspector-vm-scanner sbom --list-scanners
管理定期执行
当你通过包管理器安装 Inspector VM Scanner 时,安装过程会创建一个自动执行扫描的计划任务。您可以查看、修改或禁用此计划。
Linux(系统)
查看服务状态和最近运行情况
systemctl status inspector-vm-scanner
查看实时日志
journalctl -u inspector-vm-scanner -f
查看最近的日志
journalctl -u inspector-vm-scanner --since "1 hour ago"
检查当前计时器间隔
systemctl cat inspector-vm-scanner.timer
更新计时器间隔
要更改扫描频率,请编辑计时器单位文件:
# Edit the timer unit file systemctl edit inspector-vm-scanner.timer # Add override configuration: [Timer] OnCalendar= OnCalendar=daily # Reload and restart systemctl daemon-reload systemctl restart inspector-vm-scanner.timer
启用或禁用自动执行
systemctl enable inspector-vm-scanner.timer # Enable automatic runs systemctl disable inspector-vm-scanner.timer # Disable automatic runs
Windows (任务计划程序)
查看任务状态和上次运行时间
Get-ScheduledTask -TaskName "Inspector VM Scanner" | Get-ScheduledTaskInfo
查看最近的任务日志
Get-ScheduledTaskInfo -TaskName "Inspector VM Scanner"
查看详细的任务历史记录
schtasks /query /tn "Inspector VM Scanner" /v /fo list
查看当前任务时间表
Get-ScheduledTask -TaskName "Inspector VM Scanner" | Select-Object -ExpandProperty Triggers
更新任务时间表
要更改扫描频率,请执行以下操作:
# Modify trigger to run daily at 2 AM $trigger = New-ScheduledTaskTrigger -Daily -At 2:00AM Set-ScheduledTask -TaskName "Inspector VM Scanner" -Trigger $trigger
启用或禁用任务
Enable-ScheduledTask -TaskName "Inspector VM Scanner" # Enable automatic runs Disable-ScheduledTask -TaskName "Inspector VM Scanner" # Disable automatic runs
macOS(已上线)
查看已启动的任务
sudo launchctl print system/com.amazon.inspector.vm-scanner
执行单个任务
sudo launchctl start com.amazon.inspector.vm-scanner