了解修补程序合规性状态值 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解修补程序合规性状态值

有关实例修补程序的信息包括每个单独修补程序的状态或状态的报告。

注意

如果要向实例分配特定补丁合规性状态,可以使用推出合规性商品 Amazon Command Line Interface(Amazon CLI) 命令或PutComplianceItemsAPI 操作。控制台不支持分配合规性状态。

使用下表中的信息可帮助您确定实例可能不符合修补程序合规性的原因。

Debian 服务器和 Ubuntu 服务器的补丁合规性值

对于 Debian Server 和 Ubuntu Server,下表介绍了将软件包分类到不同合规性状态的规则。

注意

请记住以下事项,当您评估已安装已安装其他, 和缺少状态值:如果您未选择包括非安全更新复选框时,修补程序候选版本仅限于trusty-security(Ubuntu Server 14.04 LTS),xenial-security(Ubuntu Server 16.04 LTS),bionic-security(Ubuntu Server 18.04 LTS),focal-security(Ubuntu Server 20.04 LTS),groovy-gorilla(Ubuntu 服务器 20.10 STR),或debian-security(Debian Stretch或者Debian Jessie)。如果选择包括非安全更新复选框时,也会考虑来自其他存储库的修补程序。

修补状态 描述 Compliance status
已安装

补丁在补丁基准中列出,并已安装在实例上。它可能是由个人手动安装或由Patch Manager当AWS-RunPatchBaseline文档在实例上运行。

合规
已安装其他

补丁不在基准中或未获基准批准,但已安装在实例上。该修补程序可能已手动安装,该软件包可能是另一个已批准修补程序的必需依赖关系,或者该修补程序可能已包含在 InstalverrideList 操作中。如果您没有指定Block作为Reage 补丁操作,Installed_Other修补程序还包括已安装但拒绝的修补程序

合规
已安装待重新启动

这些区域有:Patch Manager Install操作已对实例应用补丁,但自应用补丁以来尚未重启该实例。(请注意,安装在Patch Manager从来没有被赋予INSTALLED_PENDING_REBOOT。) 这通常意味着NoReboot选项被选中RebootOption参数,当AWS-RunPatchBaseline文档是上次在实例上运行的。有关更多信息,请参阅参数名称: RebootOption

不合规
已安装已拒绝

补丁已安装在实例上,但在Reage 补丁列表。这通常意味着补丁是在添加到已拒绝的补丁列表之前安装的。

不合规
缺失

通过基准过滤且尚未安装的软件包。

不合规
已失败

修补操作期间安装失败的程序包。

不合规

其他操作系统的补丁合规性值

对于 Debian 服务器和 Ubuntu 服务器以外的所有操作系统,将程序包分类到不同合规性状态的规则如下。

修补状态 描述 合规性价值
安装

补丁在补丁基准中列出,并已安装在实例上。它可能是由个人手动安装或由Patch Manager当AWS-RunPatchBaseline文档在实例上运行。

合规
已安装 _ 其他

补丁不在基准中,但已安装在实例上。该修补程序可能已手动安装,或者该软件包可能是另一个已批准修补程序的必需依赖关系。如果您没有指定Block作为Reage 补丁操作,Installed_Other修补程序还包括已安装但拒绝的修补程序

合规
已安装 _ 拒绝

补丁已安装在实例上,但是在已拒绝的补丁列表中指定。这通常意味着补丁是在添加到已拒绝的补丁列表之前安装的。

不合规
已安装 — 待定 _ 重新启动

这些区域有:Patch Manager Install操作将修补程序应用于实例(或者将修补程序应用于Windows Server实例外部Patch Manager),但自应用修补程序以来,实例尚未重新启动。(请注意,安装在Patch Manager从来没有被赋予INSTALLED_PENDING_REBOOT。) 这通常意味着NoReboot选项被选中RebootOption参数,当AWS-RunPatchBaseline文档是上次在实例上运行的。有关更多信息,请参阅参数名称: RebootOption

不合规
MISSING

基准中已批准补丁,但实例上未安装补丁。如果您配置AWS-RunPatchBaseline文档任务来扫描(而不是安装),系统将为扫描期间找到但未安装的补丁报告此状态。

不合规
不适用

基准中已批准补丁,但实例上未安装使用补丁的服务或功能。例如,Web 服务器服务(如 Internet Instems Service (IIS))的补丁将显示NOT_APPLICABLE(如果基准中已批准该 Web 服务),但实例上未安装该 Web 服务。如果补丁已由后续更新取代,则也可以将补丁标记为 NOT_APPLICABLE。这意味着安装了更高版本的更新,并且不再需要 NOT_APPLICABLE 更新。

注意

此合规性状态仅在 Windows Server 操作系统上报告。

不适用
FAILED

基准中已批准补丁,但无法安装补丁。要解决此问题,请查看命令输出中是否有可帮助您理解此问题的信息。

不合规