生成 .csv 补丁合规性报告(控制台) - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

生成 .csv 补丁合规性报告(控制台)

您可以使用 Amazon Systems Manager 控制台来生成补丁合规性报告,这些报告将以 .csv 文件格式另存到您选择的 Amazon Simple Storage Service (Amazon S3) 存储桶。您可以生成单个按需报告或制定自动生成报告的计划。

可以在所选择的 Amazon Web Services 账户 和 Amazon Web Services 区域 中为单个托管式节点或所有托管式节点生成报告。对于单个节点,报告包含全面的详细信息,包括与不合规节点相关的补丁 ID。对于所有托管式节点的报告,仅提供摘要信息和不合规节点的补丁计数。

注意

生成报告后,您可以使用 Amazon QuickSight 等工具导入和分析数据。Amazon QuickSight 是一项商业智能 (BI) 服务,可用于在交互式视觉环境中探索和解释信息。有关更多信息,请参阅 Amazon QuickSight 用户指南

也可以指定一个在生成报告时发送通知的 Amazon Simple Notification Service (Amazon SNS) 主题。

生成补丁合规性报告的服务角色

首次生成报告时,Systems Manager 会创 建名为 AWS-SystemsManager-PatchSummaryExportRole 服务角色以用于导出过程。首次按计划生成报告时,Systems Manager 会创建另一个名为 AWS-EventBridge-Start-SSMAutomationRole 的另一个服务角色,以及服务角色 AWS-SystemsManager-PatchSummaryExportRole(如果尚未创建)以用于导出过程。AWS-EventBridge-Start-SSMAutomationRole 使 Amazon EventBridge 能够使用运行手册Amazon-导出补丁报告到 S3 来启动自动化。

我们建议不要尝试修改这些策略和角色。这样做可能会导致补丁合规性报告生成失败。有关更多信息,请参阅解决补丁合规性报告生成中的问题

生成的补丁合规性报告中有哪些内容?

本主题提供有关生成并下载到指定 S3 存储桶的补丁合规性报告中包含的内容类型的信息。

为单个托管式节点生成的报告提供摘要信息和详细信息。

下载示例报告(单个节点)

单个托管式节点的摘要信息包括以下内容:

  • 索引

  • 实例 ID

  • Instance name

  • 实例 IP

  • 平台名称

  • 平台版本

  • SSM Agent 版本

  • 补丁基准

  • 补丁组

  • 合规性状态

  • 合规性严重性

  • 不合规的重大严重性补丁计数

  • 不合规的高严重性补丁计数

  • 不合规的中等严重性补丁计数

  • 不合规的低严重性补丁计数

  • 不合规的信息严重性补丁计数

  • 不合规的未指定严重性补丁计数

单个托管式节点的详细信息包括以下内容:

  • 索引

  • 实例 ID

  • Instance name

  • 补丁名称

  • KB ID/补丁 ID

  • 修补状态

  • 上次报告时间

  • 合规级别

  • 补丁严重性

  • 补丁分类

  • CVE ID

  • 补丁基准

  • 日志 URL

  • 实例 IP

  • 平台名称

  • 平台版本

  • SSM Agent 版本

为所有托管式节点生成的报告仅提供摘要信息。

下载示例报告(所有托管式节点)

所有托管式节点的摘要信息包括以下内容:

  • 索引

  • 实例 ID

  • Instance name

  • 实例 IP

  • 平台名称

  • 平台版本

  • SSM Agent 版本

  • 补丁基准

  • 补丁组

  • 合规性状态

  • 合规性严重性

  • 不合规的重大严重性补丁计数

  • 不合规的高严重性补丁计数

  • 不合规的中等严重性补丁计数

  • 不合规的低严重性补丁计数

  • 不合规的信息严重性补丁计数

  • 不合规的未指定严重性补丁计数

为单个托管式节点生成补丁合规性报告

在 Amazon Web Services 账户 中使用以下过程为单个托管式节点生成补丁摘要报告。单个托管式节点的报告提供有关每个不合规补丁的详细信息,包括补丁名称和 ID。

为单个托管式节点生成补丁合规性报告

  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择 Patch Manager

    -或者-

    如果首先打开 Amazon Systems Manager 主页,选择菜单图标 ( ) 以打开导航窗格,然后选择 Patch Manager

  3. 选择 Compliance reporting(合规性报告)选项卡。

  4. 选择要为其生成报告的托管式节点所在行的按钮,然后选择 View detail(查看详细信息)。

  5. Patch summary(补丁摘要)部分中,选择 Export to S3(导出到 S3)。

  6. 对于报告名称,输入名称以帮助您以后识别该报告。

  7. 对于报告频率,选择下列选项之一:

    • 按需 — 创建一次性报告。跳至步骤 9。

    • 按计划 — 制定自动生成报告的定期计划。继续执行步骤 8。

  8. 对于计划类型,请指定速率表达式(如每 3 天),或者提供 cron 表达式来设置报告频率。

    有关 Cron 表达式的更多信息,请参阅 参考:适用于 Systems Manager 的 Cron 和 Rate 表达式

  9. 对于于 Bucket name,选择要存储 .csv 报告文件的 S3 存储桶的名称。

    重要

    如果您处于 2019 年 3 月 20 日之后启动的 Amazon Web Services 区域 中,则必须在该区域选择 S3 存储桶。默认情况下,在该日期之后启动的区域会被关闭。有关这些区域的详细信息和列表,请参阅 Amazon Web Services 一般参考中的启用区域

  10. (可选)要在报告生成时发送通知,请展开 SNS topic(SNS 主题)部分,然后从 SNS topic Amazon Resource Name (ARN) [SNS 主题的 Amazon Resource Name (ARN)] 中选择一个现存的 Amazon SNS 主题。

  11. 选择 Submit(提交)。

有关查看生成报告的历史记录的信息,请参阅 查看补丁合规性报告历史

有关查看已创建的报告计划详细信息的信息,请参阅 查看补丁合规性报告计划

为所有托管式节点生成补丁合规性报告

在 Amazon Web Services 账户 中使用以下过程为所有托管式节点生成补丁摘要报告。所有托管式节点的报告会指明哪些节点不合规以及不合规补丁的数量。它不提供补丁的名称或其他标识符。对于这些额外详细信息,您可以为单个托管式节点生成补丁合规性报告。有关更多信息,请参阅本主题前面的 为单个托管式节点生成补丁合规性报告

为所有托管式节点生成补丁合规性报告

  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择 Patch Manager

    -或者-

    如果首先打开 Amazon Systems Manager 主页,选择菜单图标 ( ) 以打开导航窗格,然后选择 Patch Manager

  3. 选择 Compliance reporting(合规性报告)选项卡。

  4. 选择导出到 S3。(不要先选择节点 ID。)

  5. 对于报告名称,输入名称以帮助您以后识别该报告。

  6. 对于报告频率,选择下列选项之一:

    • 按需 — 创建一次性报告。跳至步骤 8。

    • 按计划 — 制定自动生成报告的定期计划。继续执行步骤 7。

  7. 对于计划类型,请指定速率表达式(如每 3 天),或者提供 cron 表达式来设置报告频率。

    有关 Cron 表达式的更多信息,请参阅 参考:适用于 Systems Manager 的 Cron 和 Rate 表达式

  8. 对于于 Bucket name,选择要存储 .csv 报告文件的 S3 存储桶的名称。

    重要

    如果您处于 2019 年 3 月 20 日之后启动的 Amazon Web Services 区域 中,则必须在该区域选择 S3 存储桶。默认情况下,在该日期之后启动的区域会被关闭。有关这些区域的详细信息和列表,请参阅 Amazon Web Services 一般参考中的启用区域

  9. (可选)要在报告生成时发送通知,请展开 SNS topic(SNS 主题)部分,然后从 SNS topic Amazon Resource Name (ARN) [SNS 主题的 Amazon Resource Name (ARN)] 中选择一个现存的 Amazon SNS 主题。

  10. 选择 Submit(提交)。

有关查看生成报告的历史记录的信息,请参阅 查看补丁合规性报告历史

有关查看已创建的报告计划详细信息的信息,请参阅 查看补丁合规性报告计划

查看补丁合规性报告历史

使用本主题中的信息帮助您查看有关 Amazon Web Services 账户 中生成的补丁合规性报告的详细信息。

查看补丁合规性报告历史

  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择 Patch Manager

    -或者-

    如果首先打开 Amazon Systems Manager 主页,选择菜单图标 ( ) 以打开导航窗格,然后选择 Patch Manager

  3. 选择 Compliance reporting(合规性报告)选项卡。

  4. 选择查看所有 S3 导出,然后选择导出历史记录选项卡。

查看补丁合规性报告计划

使用本主题中的信息帮助您查看在 Amazon Web Services 账户 中生成的补丁合规性报告历史的详细信息。

查看补丁合规性报告历史

  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择 Patch Manager

    -或者-

    如果首先打开 Amazon Systems Manager 主页,选择菜单图标 ( ) 以打开导航窗格,然后选择 Patch Manager

  3. 选择 Compliance reporting(合规性报告)选项卡。

  4. 选择 View all S3 exports(查看所有 S3 导出),然后选择 Report schedule rules(报告计划规则)选项卡。

解决补丁合规性报告生成中的问题

使用以下信息帮助您解决在 Patch Manager ( Amazon Systems Manager 的一个功能)中生成补丁合规性方面存在的问题。

报告 AWS-SystemsManager-PatchSummaryExportRolePolicy 策略已损坏的消息

问题:您收到类似于以下内容的错误消息,指示 AWS-SystemsManager-PatchSummaryExportRolePolicy 已损坏:

An error occurred while updating the AWS-SystemsManager-PatchSummaryExportRolePolicy
policy. If you have edited the policy, you might need to delete the policy, and any 
role that uses it, then try again. Systems Manager recreates the roles and policies 
you have deleted.
  • 解决方案:执行以下步骤:

    1. 访问:https://console.aws.amazon.com/iam/,打开 IAM 控制台

    2. 请执行下列操作之一:

      按需报告 — 如果在生成一次性按需报告时出现问题,请在左侧导航栏中选择策略,搜索 AWS-SystemsManager-PatchSummaryExportRolePolicy,然后删除该策略。下一步,选择角色,搜索 AWS-SystemsManager-PatchSummaryExportRole,然后删除该角色。

      按照计划报告 — 如果报告是在按计划生成报告时发生的,请在左侧导航栏中选择策略,一次搜索一个 AWS-EventBridge-Start-SSMAutomationRolePolicyAWS-SystemsManager-PatchSummaryExportRolePolicy,然后删除每个策略。下一步,选择角色,一次搜索一个 AWS-EventBridge-Start-SSMAutomationRoleAWS-SystemsManager-PatchSummaryExportRole,然后删除每个角色。

    3. 按照以下步骤生成或计划新的补丁合规性报告。

在删除补丁合规性策略或角色后,未成功按照计划生成报告

问题:首次生成报告时,Systems Manager 会创建一个服务角色和一个策略,用于导出过程 (AWS-SystemsManager-PatchSummaryExportRoleAWS-SystemsManager-PatchSummaryExportRolePolicy)。首次按计划生成报告时,Systems Manager 会创建另一个服务角色和策略 (AWS-EventBridge-Start-SSMAutomationRoleAWS-EventBridge-Start-SSMAutomationRolePolicy)。这些功能让 Amazon EventBridge 使用运行手册启动自动化 Amazon 导出补丁报告到 S3

如果您删除这些策略或角色中的任何一个,则计划与指定的 S3 存储桶和 Amazon SNS 主题之间的连接可能会丢失。

  • 解决方案:若要变通解决此问题,我们建议删除以前的计划,并创建一个新的计划来替换遇到问题的计划。