生成 .csv 补丁合规性报告(控制台) - Amazon Web Services Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

生成 .csv 补丁合规性报告(控制台)

您可以使用Amazon Web Services Systems Manager控制台来生成补丁合规性报告,这些报告将另存为 .csv 文件到您选择的 Amazon Simple Storage Service (Amazon S3) 存储桶中。您可以生成单个按需报告或指定用于自动生成报告的计划。

可以为单个实例生成报告,也可以为Amazon Web Services 账户。对于单个实例,报告包含全面的详细信息,包括与不合规实例相关的修补程序的 ID。对于所有实例的报告,仅提供摘要信息和不合规实例的修补程序计数。

注意

生成报告后,您可以使用 Amazon QuickSight 等工具导入和分析数据。Amazon QuickSight 是一项商业智能 (BI) 服务,可用于在交互式视觉环境中探索和解释信息。有关更多信息,请参阅 。Amazon QuickSight 用户指南

您还可以指定 Amazon SSimple Notification Service (Amazon SNS) 主题,以便在生成报告时用于发送通知。

生成补丁程序合规性报告的服务角色

首次生成报告时,Systems Manager 会创建名为AWS-SystemsManager-PatchSummaryExportRole以用于导出过程。首次按计划生成报告时,Systems Manager 会创建另一个名为AWS-EventBridge-Start-SSMAutomationRole,以及服务角色AWS-SystemsManager-PatchSummaryExportRole(如果尚未创建)以用于导出过程。AWS-EventBridge-Start-SSMAutomationRole允许亚马逊 EventBridge 使用运行手册启动自动化Amazon-导出修补程序报告到 S3

我们建议不要尝试修改这些策略和角色。这样做可能会导致修补程序合规性报告生成失败。有关更多信息,请参阅 修补程序合规性报告生成疑

生成的修补程序合规性报告中有哪些内容?

本主题提供有关生成并下载到指定 S3 存储桶的修补程序合规性报告中包含的内容类型的信息。

为单个实例生成的报告提供了摘要和详细信息。

下载示例报告(单实例)

单个实例的摘要信息包括以下内容:

  • 索引

  • 实例 ID

  • Instance name

  • 实例 IP

  • 平台名称

  • 平台版本

  • SSM 代理 版本

  • 补丁基准

  • 补丁组

  • Compliance status

  • 合规性严重

  • 不符合严重严重性修补程序计数

  • 不符合高严重性修补程序计数

  • 不符合中等严重性修补程序计数

  • 不符合严重性低修补程序计数

  • 不符合信息严重性修补程序计数

  • 不符合未指定严重性修补程序计数

单个实例的详细信息包括以下内容:

  • 索引

  • 实例 ID

  • Instance name

  • 修补名称

  • KB ID/补丁程序ID

  • 补丁状态

  • 上次报告时间

  • 合规性级别

  • 修补严重性

  • 补丁分类

  • CVE 编号

  • 补丁基准

  • 日志 URL

  • 实例 IP

  • 平台名称

  • 平台版本

  • SSM 代理 版本

为所有实例生成的报告仅提供摘要信息。

下载示例报告(所有实例)

所有实例的摘要信息包含:

  • 索引

  • 实例 ID

  • Instance name

  • 实例 IP

  • 平台名称

  • 平台版本

  • SSM 代理 版本

  • 补丁基准

  • 补丁组

  • Compliance status

  • 合规性严重

  • 不符合严重严重性修补程序计数

  • 不符合高严重性修补程序计数

  • 不符合中等严重性修补程序计数

  • 不符合严重性低修补程序计数

  • 不符合信息严重性修补程序计数

  • 不符合未指定严重性修补程序计数

为单个实例生成补丁程序合规性报告

使用以下过程为您的Amazon Web Services 账户。单个实例的报告提供了有关每个不符合性的修补程序的详细信息,包括修补程序名称和 ID。

为单个实例生成补丁程序合规性报告

  1. 打开Amazon Web Services Systems Manager控制台位于https://console.aws.amazon.com/systems-manager/

  2. 在导航窗格中,选择 Patch Manager

    -或者-

    如果Amazon Web Services Systems Manager首先打开主页,选择菜单图标( )打开导航窗格中的,然后选择,Patch Manager

  3. 选择报告选项卡。

  4. 选择要为其生成报告的实例行的按钮,然后选择查看详细信息

  5. 在存储库的补丁摘要页面中,选择导出到 S3

  6. 适用于报告名称中,输入一个名称以帮助您以后识别报告。

  7. 适用于报告频率中,选择下列选项之一:

    • 按需— 创建一次性报告。跳至步骤 8。

    • 按计划— 指定用于自动生成报告的定期计划。继续执行步骤 7。

  8. 适用于Schedule 类型,请指定速率表达式(如每 3 天),或者提供 cron 表达式来设置报告频率。

    有关 cron 表达式的信息,请参阅。参考:适用于 Systems Manager 的 Cron 和 Rate 表达式

  9. 适用于Bucket name中,选择要存储 .csv 报告文件的 S3 存储桶的名称。

    重要

    如果您正在Amazon Web Services 区域,则您必须选择同一区域中的 S3 存储桶。在该日期之后启动的区域默认处于禁用状态。有关详细信息和这些区域的列表,请参阅启用区域中的Amazon Web Services 一般参考

  10. (可选)要在生成报告时发送通知,请从SNS 主题的 Amazon 资源名称 (ARN)

  11. 选择 Submit

有关查看生成报告的历史记录的信息,请参阅查看补丁程序合规性报告历

有关查看已创建的报告计划详细信息的信息,请参阅查看补丁程序合规性报告计

为所有实例生成补丁程序合规性报告

使用以下过程来为您的所有实例生成补丁摘要报告。Amazon Web Services 账户。所有实例的报告将指明哪些实例不符合性以及不符合性修补程序的数量。它不提供修补程序的名称或其他标识符。对于这些其他详细信息,您可以为单个实例生成补丁程序合规性报告。想要了解有关信息,请参阅为单个实例生成补丁程序合规性报告本主题前面的。

为所有实例生成补丁程序合规性报告

  1. 打开Amazon Web Services Systems Manager控制台位于https://console.aws.amazon.com/systems-manager/

  2. 在导航窗格中,选择 Patch Manager

    -或者-

    如果Amazon Web Services Systems Manager首先打开主页,选择菜单图标( )打开导航窗格中的,然后选择,Patch Manager

  3. 选择报告选项卡。

  4. 选择导出到 S3。请勿选择实例 ID。

  5. 适用于报告名称中,输入一个名称以帮助您以后识别报告。

  6. 适用于报告频率中,选择下列选项之一:

    • 按需— 创建一次性报告。跳至步骤 8。

    • 按计划— 指定用于自动生成报告的定期计划。继续执行步骤 7。

  7. 适用于Schedule 类型,请指定速率表达式(如每 3 天),或者提供 cron 表达式来设置报告频率。

    有关 cron 表达式的信息,请参阅。参考:适用于 Systems Manager 的 Cron 和 Rate 表达式

  8. 适用于Bucket name中,选择要存储 .csv 报告文件的 S3 存储桶的名称。

    重要

    如果您正在Amazon Web Services 区域,则您必须选择同一区域中的 S3 存储桶。在该日期之后启动的区域默认处于禁用状态。有关详细信息和这些区域的列表,请参阅启用区域中的Amazon Web Services 一般参考

  9. (可选)要在报告生成时发送通知,请从SNS 主题的 Amazon 资源名称 (ARN)

  10. 选择 Submit

有关查看生成报告的历史记录的信息,请参阅查看补丁程序合规性报告历

有关查看已创建的报告计划详细信息的信息,请参阅查看补丁程序合规性报告计

查看补丁程序合规性报告历

使用本主题中的信息可帮助您查看有关Amazon Web Services 账户。

查看补丁合规性报告历史记录

  1. 打开Amazon Web Services Systems Manager控制台位于https://console.aws.amazon.com/systems-manager/

  2. 在导航窗格中,选择 Patch Manager

    -或者-

    如果Amazon Web Services Systems Manager首先打开主页,选择菜单图标( )打开导航窗格中的,然后选择,Patch Manager

  3. 选择报告选项卡。

  4. 选择查看所有 S3 导出,然后选择导出历史记录选项卡。

查看补丁程序合规性报告计

使用本主题中的信息可帮助您查看有关在Amazon Web Services 账户。

查看补丁合规性报告历史记录

  1. 打开Amazon Web Services Systems Manager控制台位于https://console.aws.amazon.com/systems-manager/

  2. 在导航窗格中,选择 Patch Manager

    -或者-

    如果Amazon Web Services Systems Manager首先打开主页,选择菜单图标( )打开导航窗格中的,然后选择,Patch Manager

  3. 选择报告选项卡。

  4. 选择查看所有 S3 导出,然后选择已计划的报告选项卡。

修补程序合规性报告生成疑

使用以下信息来帮助解决与在 Patch Manager 中生成补丁合规性报告生成相关的问题。Amazon Web Services Systems Manager。

一条消息报告AWS-SystemsManager-PatchSummaryExportRolePolicy策略已损坏

问题:您会收到类似于以下内容的错误消息,指示AWS-SystemsManager-PatchSummaryExportRolePolicy已损坏:

An error occurred while updating the AWS-SystemsManager-PatchSummaryExportRolePolicy
policy. If you have edited the policy, you might need to delete the policy, and any 
role that uses it, then try again. Systems Manager recreates the roles and policies 
you have deleted.
  • 解决方案:执行以下步骤:

    1. 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

    2. 请执行下列操作之一:

      按需报告— 如果在生成一次性按需报告时出现问题,请在左侧导航栏中选择策略、搜索AWS-SystemsManager-PatchSummaryExportRolePolicy,然后删除该策略。下一步,选择角色、搜索AWS-SystemsManager-PatchSummaryExportRole,然后删除角色。

      计划的报告— 如果报告是在按计划生成报告时发生的,请在左侧导航栏中选择策略中,一次搜索一条AWS-EventBridge-Start-SSMAutomationRolePolicyAWS-SystemsManager-PatchSummaryExportRolePolicy,然后删除每个策略。下一步,选择角色中,一次搜索一条AWS-EventBridge-Start-SSMAutomationRoleAWS-SystemsManager-PatchSummaryExportRole,然后删除每个角色。

    3. 按照以下步骤生成或计划新的修补程序合规性报告。

删除修补程序合规性策略或角色后,计划报告不会成功生成

问题:首次生成报告时,Systems Manager 会创建服务角色和策略以用于导出过程 (AWS-SystemsManager-PatchSummaryExportRoleAWS-SystemsManager-PatchSummaryExportRolePolicy)。首次按计划生成报告时,Systems Manager 会创建另一个服务角色和策略 (AWS-EventBridge-Start-SSMAutomationRoleAWS-EventBridge-Start-SSMAutomationRolePolicy)。这些功能让亚马逊 EventBridge 使用运行手册启动自动化Amazon-导出修补程序报告到 S3

如果您删除任何这些策略或角色,则计划与指定 S3 存储桶和 Amazon SNS 主题之间的连接可能会丢失。

  • 解决方案:若要变通解决此问题,我们建议删除以前的计划,并创建一个新的计划来替换遇到问题的计划。