Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erweiterte Konfiguration
In diesem Abschnitt werden erweiterte Konfigurationsoptionen für Inspector VM Scanner beschrieben.
Konfiguration lokaler Ausgaben
Inspector VM Scanner bietet die folgenden Optionen, um zu konfigurieren, wie lokale Ausgaben geschrieben werden:
-
--send-resultsmuss auftelemetryoder gesetzt seindisabled. Wenn Sie die Prüfung bestehendisabled, fährt Inspector VM Scanner fort, ohne die SBOM zu senden.
Tipp
Verwenden Sie --state-dir with--send-results disabled, um die SBOM lokal zu speichern.
-
--log-dirkonfiguriert, wo Protokolle geschrieben werden. Standardmäßig werden Protokolle auf die Standardausgabe geschrieben. -
--log-levelkonfiguriert die Granularität von Protokollen. Standardmäßig ist dies INFO. -
--log-retentionkonfiguriert, wie viele Tage Protokolle aufbewahrt werden sollen. Wenn eine Protokolldatei älter--log-retentionist als in--log-dir, wird sie gelöscht. Standardmäßig sind dies 7 Tage. -
--debugkonfiguriert die Protokollierung auf Debug-Ebene und erzwingt die Erstellung einer eigenen Protokolldatei für die aktuelle Ausführung (anstatt zu versuchen, für jeden Tag eine Protokolldatei zu verwalten). -
--state-dirkonfiguriert, wo SBOMs geschrieben werden. Standardmäßig werden SBOMs nicht gespeichert. -
--metric-dirkonfiguriert, wo Metrik-Logs geschrieben werden. Standardmäßig werden Metrik-Logs nicht gespeichert. -
--cpu-profileaktiviert den Go-Runtime-CPU-Profiler und konfiguriert, wohin das Ergebnis geschrieben wird. -
--mem-profileaktiviert den Go-Runtime-Speicherprofiler und konfiguriert, wohin das Ergebnis geschrieben wird. -
--config-pathweist Inspector VM Scanner an, Argumente aus einer lokalen Konfigurationsdatei abzuleiten. Wenn dasselbe Argument sowohl in der CLI als auch in der Konfigurationsdatei übergeben wird, hat der CLI-Wert Priorität.-
Die Konfigurationsdateien von Inspector VM Scanner werden in TOML angegeben, wobei alle Argumentnamen mit der CLI identisch sind.
-
Das folgende Beispiel zeigt eine Konfigurationsdatei:
# Configuration file for Inspector VM Scanner log-level = "INFO" send-results = "telemetry" cpu-profile = "cpuprofile" mem-profile = "memprofile" log-dir = "log" state-dir = "state" debug = false log-retention = 7 scan-timeout = 300 [sbom] max-scan-depth = 5 target-directory = ["~"]
Konfiguration der Ressourcennutzung
Inspector VM Scanner bietet die folgenden Optionen zur Konfiguration der Ressourcennutzung:
-
--scan-timeoutzwingt den Scanner nach einer bestimmten Anzahl von Sekunden zu einem Timeout. Standardmäßig hat der Scanner kein Timeout. -
--nice-prioritylegt dienicePriorität für den Prozess fest (verfügbar für Unix-Systeme). Standardmäßig ist dies 3. -
--cpu-limitlegt eine feste Obergrenze für die CPU-Auslastung fest (verfügbar für Linux-Systeme, die diese verwendencgroups). Standardmäßig sind dies 65%. -
--process-prioritykonfiguriert die Priorität für den Prozess (für Windows Systeme verfügbar). Standardmäßig ist dies dieBELOW NORMALPriorität.
Anmerkung
Die Standardwerte für --cpu-limit und --process-priority sind identisch mit dem Inspector SSM Plugin.
Scanziele konfigurieren
Inspector VM Scanner nutzt Inspector SBOM Generator für die Inventarerfassung. Daher werden viele der Scanabdeckungsoptionen von Inspector VM Scanner direkt aus dem SBOM Generator übernommen.
Standardmäßig verwendet Inspector VM Scanner die localhost Scannergruppe von SBOM Generator certificate sowie windows-kb Scanner.
Inspector VM Scanner bietet die folgenden Optionen zur Konfiguration von Scanzielen:
-
--max-scan-depthkonfiguriert die maximale Anzahl von Verzeichnissen, die Scans durchqueren. -
--target-directorieskonfiguriert zusätzliche Verzeichnisse so, dass sie außerhalb der Standardwerte gescannt werden. -
--override-scannerskonfiguriert exakte Dateiscanner und überschreibt die Standardeinstellungen von Inspector VM Scanner. -
--additional-scannerskonfiguriert Dateiscanner so, dass sie zusätzlich zu den Standardeinstellungen von Inspector VM Scanner verwendet werden.
Sie können den folgenden Befehl verwenden, um alle verfügbaren Scanner aufzulisten:
./inspector-vm-scanner sbom --list-scanners
Verwaltung der periodischen Ausführung
Wenn Sie Inspector VM Scanner über einen Paketmanager installieren, erstellt die Installation eine geplante Aufgabe, die Scans automatisch ausführt. Sie können diesen Zeitplan anzeigen, ändern oder deaktivieren.
Linux (systemd)
Dienststatus und letzte Ausführungen anzeigen
systemctl status inspector-vm-scanner
Logs in Echtzeit anzeigen
journalctl -u inspector-vm-scanner -f
Aktuelle Protokolle anzeigen
journalctl -u inspector-vm-scanner --since "1 hour ago"
Überprüfen Sie das aktuelle Timer-Intervall
systemctl cat inspector-vm-scanner.timer
Timer-Intervall aktualisieren
Um die Scanfrequenz zu ändern, bearbeiten Sie die Datei mit der Timer-Einheit:
# Edit the timer unit file systemctl edit inspector-vm-scanner.timer # Add override configuration: [Timer] OnCalendar= OnCalendar=daily # Reload and restart systemctl daemon-reload systemctl restart inspector-vm-scanner.timer
Automatische Ausführung aktivieren oder deaktivieren
systemctl enable inspector-vm-scanner.timer # Enable automatic runs systemctl disable inspector-vm-scanner.timer # Disable automatic runs
Windows (Taskplaner)
Aufgabenstatus und letzte Ausführung anzeigen
Get-ScheduledTask -TaskName "Inspector VM Scanner" | Get-ScheduledTaskInfo
Aktuelle Aufgabenprotokolle anzeigen
Get-ScheduledTaskInfo -TaskName "Inspector VM Scanner"
Detaillierten Aufgabenverlauf anzeigen
schtasks /query /tn "Inspector VM Scanner" /v /fo list
Den aktuellen Aufgabenplan anzeigen
Get-ScheduledTask -TaskName "Inspector VM Scanner" | Select-Object -ExpandProperty Triggers
Task-Zeitplan aktualisieren
Um die Scan-Frequenz zu ändern:
# Modify trigger to run daily at 2 AM $trigger = New-ScheduledTaskTrigger -Daily -At 2:00AM Set-ScheduledTask -TaskName "Inspector VM Scanner" -Trigger $trigger
Task aktivieren oder deaktivieren
Enable-ScheduledTask -TaskName "Inspector VM Scanner" # Enable automatic runs Disable-ScheduledTask -TaskName "Inspector VM Scanner" # Disable automatic runs
macOS (gestartet)
Gestartete Aufgaben anzeigen
sudo launchctl print system/com.amazon.inspector.vm-scanner
Führen Sie eine einzelne Aufgabe aus
sudo launchctl start com.amazon.inspector.vm-scanner