了解补丁合规性状态值 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

了解补丁合规性状态值

有关托管式节点补丁的信息包括每个单一补丁的状态报告。

注意

如果要将特定补丁合规性状态分配给托管式节点,可以使用 put-compliance-item Amazon Command Line Interface (Amazon CLI) 命令或 PutComplianceItems API 操作。控制台中不支持分配合规性状态。

使用下表中的信息可帮助您确定托管式节点可能不符合补丁合规性要求的原因。

Debian Server、Raspberry Pi OS 和 Ubuntu Server 的补丁合规性值

对于 Debian Server、Raspberry Pi OS 和 Ubuntu Server,将软件包分类到不同合规性状态的规则如下表所述。

注意

当您评估已安装已安装其他缺失状态值时,请您记住下列内容:当创建或更新补丁基准时,如果没有选择包括非安全更新复选框,则补丁候选版本仅限于下列版本中的补丁:trusty-security (Ubuntu Server 14.04 LTS)、xenial-security (Ubuntu Server 16.04 LTS)、bionic-security (Ubuntu Server 18.04 LTS)、focal-security (Ubuntu Server 20.04 LTS)、groovy-gorilla (Ubuntu Server 20.10 STR) 或 debian-security(Debian Server 和 Raspberry Pi OS)。如果选择了包括非安全更新复选框,也会考虑来自其他存储库的补丁。

修补状态 描述 合规性状态
Installer (安装程序)

补丁在补丁基准中列出,并已安装在托管式节点上。如果托管式节点上已运行 AWS-RunPatchBaseline 文档,则可能是由个人手动安装或由 Patch Manager 自动安装补丁。

合规
已安装其他

补丁不包括在基准中,或者未获基准批准,但已安装在托管式节点上。该补丁可能已手动安装,该软件包可能是另一个已批准补丁的必需依赖项,或者该补丁可能已包含在 InstallOverrideList 操作中。如果您没有指定 Block 作为拒绝的修补行动,Installed_Other 补丁还包括已安装但拒绝的补丁。

合规
已安装待重启

Patch Manager Install 操作已对托管式节点应用补丁,但自应用补丁以来尚未重启该节点。(请注意,在 Patch Manager 之外安装的补丁永远不会具备 INSTALLED_PENDING_REBOOT 状态。) 这通常意味着,当 AWS-RunPatchBaseline 文档上次在托管式节点上运行时,为 RebootOption 参数选择了 NoReboot 选项。有关更多信息,请参阅参数名称: RebootOption

不合规
已安装已拒绝

该补丁已安装在托管式节点上,但列在 Rejected patches(已被拒绝补丁)列表中。这通常意味着补丁是在添加到已拒绝的补丁列表之前安装的。

不合规
缺失

经过基准筛选且尚未安装的软件包。

不合规
已失败

修补操作期间安装失败的软件包。

不合规

其他操作系统的补丁合规性值

对于除 Debian Server、Raspberry Pi OS 和 Ubuntu Server 之外的所有操作系统,将软件包分类到不同合规性状态的规则如下表所述。

修补状态 描述 合规性值
已安装

补丁在补丁基准中列出,并已安装在托管式节点上。如果节点上已运行 AWS-RunPatchBaseline 文档,则可能是由个人手动安装或由 Patch Manager 自动安装补丁。

合规
已安装 _ 其他¹

补丁不在基准中,但已安装在托管式节点上。该补丁可能已手动安装,或者该软件包可能是另一个已批准补丁的必需依赖项。如果您没有指定 Block 作为拒绝的修补操作, Installed_Other 补丁还包括已安装但已拒绝的补丁。

合规
已安装 _ 已拒绝

该补丁已安装在托管式节点上,但列在已被拒绝补丁列表中。这通常意味着补丁是在添加到已拒绝的补丁列表之前安装的。

不合规
已安装 _ 暂挂 _ 重启

Patch Manager Install 操作已对托管式节点应用补丁(或者已将补丁应用到 Patch Manager 以外的 Windows Server 托管式节点),但自应用补丁以来,尚未重启该节点。(请注意,在 Patch Manager 之外安装的补丁永远不会具备 INSTALLED_PENDING_REBOOT 状态。) 这通常意味着,当 AWS-RunPatchBaseline 文档上次在托管式节点上运行时,为 RebootOption 参数选择了 NoReboot 选项。有关更多信息,请参阅参数名称: RebootOption

不合规
缺失

基准中已批准补丁,但托管式节点上未安装该补丁。如果将 AWS-RunPatchBaseline 文档任务配置为扫描(而不是安装),系统将为扫描期间找到但未安装的补丁报告此状态。

不合规
不适用¹

基准中已批准补丁,但托管式节点上未安装使用该补丁的服务或功能。例如,如果基准中已批准 Web 服务器服务 [如 Internet Information Services (IIS)] 的补丁,但托管式节点上未安装该 Web 服务,则该补丁将显示 NOT_APPLICABLE。如果补丁已由后续更新取代,则也可以将补丁标记为 NOT_APPLICABLE。这意味着安装了更高版本的更新,并且不再需要 NOT_APPLICABLE 更新。

注意

此合规性状态仅在 Windows Server 操作系统上报告。

不适用
已失败

基准中已批准补丁,但无法安装补丁。要解决此问题,请查看命令输出中是否有可帮助您理解此问题的信息。

不合规

¹ 对于状态为已安装 _ 其他不适用的补丁,根据 describe-instance-patches 命令,Patch Manager 会从查询结果中省略一些数据,例如 ClassificationSeverity 的值。这样做有助于防止超出 Inventory(Amazon Systems Manager 的一项功能)中单个节点的数据限制。要查看所有补丁的详细信息,可以使用 describe-available-patches 命令。