View a markdown version of this page

Erweiterte Konfiguration - Amazon Inspector

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erweiterte Konfiguration

In diesem Abschnitt werden erweiterte Konfigurationsoptionen für Inspector VM Scanner beschrieben.

Konfiguration lokaler Ausgaben

Inspector VM Scanner bietet die folgenden Optionen, um zu konfigurieren, wie lokale Ausgaben geschrieben werden:

  • --send-resultsmuss auf telemetry oder gesetzt seindisabled. Wenn Sie die Prüfung bestehendisabled, fährt Inspector VM Scanner fort, ohne die SBOM zu senden.

Tipp

Verwenden Sie --state-dir with--send-results disabled, um die SBOM lokal zu speichern.

  • --log-dirkonfiguriert, wo Protokolle geschrieben werden. Standardmäßig werden Protokolle auf die Standardausgabe geschrieben.

  • --log-levelkonfiguriert die Granularität von Protokollen. Standardmäßig ist dies INFO.

  • --log-retentionkonfiguriert, wie viele Tage Protokolle aufbewahrt werden sollen. Wenn eine Protokolldatei älter --log-retention ist als in--log-dir, wird sie gelöscht. Standardmäßig sind dies 7 Tage.

  • --debugkonfiguriert die Protokollierung auf Debug-Ebene und erzwingt die Erstellung einer eigenen Protokolldatei für die aktuelle Ausführung (anstatt zu versuchen, für jeden Tag eine Protokolldatei zu verwalten).

  • --state-dirkonfiguriert, wo SBOMs geschrieben werden. Standardmäßig werden SBOMs nicht gespeichert.

  • --metric-dirkonfiguriert, wo Metrik-Logs geschrieben werden. Standardmäßig werden Metrik-Logs nicht gespeichert.

  • --cpu-profileaktiviert den Go-Runtime-CPU-Profiler und konfiguriert, wohin das Ergebnis geschrieben wird.

  • --mem-profileaktiviert den Go-Runtime-Speicherprofiler und konfiguriert, wohin das Ergebnis geschrieben wird.

  • --config-pathweist Inspector VM Scanner an, Argumente aus einer lokalen Konfigurationsdatei abzuleiten. Wenn dasselbe Argument sowohl in der CLI als auch in der Konfigurationsdatei übergeben wird, hat der CLI-Wert Priorität.

    • Die Konfigurationsdateien von Inspector VM Scanner werden in TOML angegeben, wobei alle Argumentnamen mit der CLI identisch sind.

Das folgende Beispiel zeigt eine Konfigurationsdatei:

# Configuration file for Inspector VM Scanner log-level = "INFO" send-results = "telemetry" cpu-profile = "cpuprofile" mem-profile = "memprofile" log-dir = "log" state-dir = "state" debug = false log-retention = 7 scan-timeout = 300 [sbom] max-scan-depth = 5 target-directory = ["~"]

Konfiguration der Ressourcennutzung

Inspector VM Scanner bietet die folgenden Optionen zur Konfiguration der Ressourcennutzung:

  • --scan-timeoutzwingt den Scanner nach einer bestimmten Anzahl von Sekunden zu einem Timeout. Standardmäßig hat der Scanner kein Timeout.

  • --nice-prioritylegt die nice Priorität für den Prozess fest (verfügbar für Unix-Systeme). Standardmäßig ist dies 3.

  • --cpu-limitlegt eine feste Obergrenze für die CPU-Auslastung fest (verfügbar für Linux-Systeme, die diese verwendencgroups). Standardmäßig sind dies 65%.

  • --process-prioritykonfiguriert die Priorität für den Prozess (für Windows Systeme verfügbar). Standardmäßig ist dies die BELOW NORMAL Priorität.

Anmerkung

Die Standardwerte für --cpu-limit und --process-priority sind identisch mit dem Inspector SSM Plugin.

Scanziele konfigurieren

Inspector VM Scanner nutzt Inspector SBOM Generator für die Inventarerfassung. Daher werden viele der Scanabdeckungsoptionen von Inspector VM Scanner direkt aus dem SBOM Generator übernommen.

Standardmäßig verwendet Inspector VM Scanner die localhost Scannergruppe von SBOM Generator certificate sowie windows-kb Scanner.

Inspector VM Scanner bietet die folgenden Optionen zur Konfiguration von Scanzielen:

  • --max-scan-depthkonfiguriert die maximale Anzahl von Verzeichnissen, die Scans durchqueren.

  • --target-directorieskonfiguriert zusätzliche Verzeichnisse so, dass sie außerhalb der Standardwerte gescannt werden.

  • --override-scannerskonfiguriert exakte Dateiscanner und überschreibt die Standardeinstellungen von Inspector VM Scanner.

  • --additional-scannerskonfiguriert Dateiscanner so, dass sie zusätzlich zu den Standardeinstellungen von Inspector VM Scanner verwendet werden.

Sie können den folgenden Befehl verwenden, um alle verfügbaren Scanner aufzulisten:

./inspector-vm-scanner sbom --list-scanners

Verwaltung der periodischen Ausführung

Wenn Sie Inspector VM Scanner über einen Paketmanager installieren, erstellt die Installation eine geplante Aufgabe, die Scans automatisch ausführt. Sie können diesen Zeitplan anzeigen, ändern oder deaktivieren.

Linux (systemd)

Dienststatus und letzte Ausführungen anzeigen

systemctl status inspector-vm-scanner

Logs in Echtzeit anzeigen

journalctl -u inspector-vm-scanner -f

Aktuelle Protokolle anzeigen

journalctl -u inspector-vm-scanner --since "1 hour ago"

Überprüfen Sie das aktuelle Timer-Intervall

systemctl cat inspector-vm-scanner.timer

Timer-Intervall aktualisieren

Um die Scanfrequenz zu ändern, bearbeiten Sie die Datei mit der Timer-Einheit:

# Edit the timer unit file systemctl edit inspector-vm-scanner.timer # Add override configuration: [Timer] OnCalendar= OnCalendar=daily # Reload and restart systemctl daemon-reload systemctl restart inspector-vm-scanner.timer

Automatische Ausführung aktivieren oder deaktivieren

systemctl enable inspector-vm-scanner.timer # Enable automatic runs systemctl disable inspector-vm-scanner.timer # Disable automatic runs

Windows (Taskplaner)

Aufgabenstatus und letzte Ausführung anzeigen

Get-ScheduledTask -TaskName "Inspector VM Scanner" | Get-ScheduledTaskInfo

Aktuelle Aufgabenprotokolle anzeigen

Get-ScheduledTaskInfo -TaskName "Inspector VM Scanner"

Detaillierten Aufgabenverlauf anzeigen

schtasks /query /tn "Inspector VM Scanner" /v /fo list

Den aktuellen Aufgabenplan anzeigen

Get-ScheduledTask -TaskName "Inspector VM Scanner" | Select-Object -ExpandProperty Triggers

Task-Zeitplan aktualisieren

Um die Scan-Frequenz zu ändern:

# Modify trigger to run daily at 2 AM $trigger = New-ScheduledTaskTrigger -Daily -At 2:00AM Set-ScheduledTask -TaskName "Inspector VM Scanner" -Trigger $trigger

Task aktivieren oder deaktivieren

Enable-ScheduledTask -TaskName "Inspector VM Scanner" # Enable automatic runs Disable-ScheduledTask -TaskName "Inspector VM Scanner" # Disable automatic runs

macOS (gestartet)

Gestartete Aufgaben anzeigen

sudo launchctl print system/com.amazon.inspector.vm-scanner

Führen Sie eine einzelne Aufgabe aus

sudo launchctl start com.amazon.inspector.vm-scanner