View a markdown version of this page

Configuración avanzada - Amazon Inspector

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración avanzada

En esta sección se describen las opciones de configuración avanzadas del Inspector VM Scanner.

Configuración de las salidas locales

El Inspector VM Scanner ofrece las siguientes opciones para configurar cómo se escriben las salidas locales:

  • --send-resultsdebe estar configurado en telemetry odisabled. Si lo apruebadisabled, el Inspector VM Scanner continúa sin enviar la SBOM.

sugerencia

Úselo --state-dir con --send-results disabled para guardar la SBOM localmente.

  • --log-dirconfigura dónde se escriben los registros. De forma predeterminada, los registros se escriben en stdout.

  • --log-levelconfigura la granularidad de los registros. De forma predeterminada, es INFO.

  • --log-retentionconfigura el número de días que se van a conservar los registros. Si un archivo de registro --log-retention es más antiguo que el que se encuentra en--log-dir, se elimina. De forma predeterminada, es de 7 días.

  • --debugconfigura el registro a nivel de depuración y fuerza un archivo de registro dedicado a la ejecución actual (en lugar de intentar mantener un archivo de registro por día).

  • --state-dirconfigura dónde se escriben los SBOM. De forma predeterminada, los SBOM no se guardan.

  • --metric-dirconfigura dónde se escriben los registros de métricas. De forma predeterminada, los registros de métricas no se guardan.

  • --cpu-profilehabilita el generador de perfiles de CPU en tiempo de ejecución de Go y configura dónde se escribe el resultado.

  • --mem-profilehabilita el generador de perfiles de memoria en tiempo de ejecución de Go y configura dónde se escribe el resultado.

  • --config-pathindica al Inspector VM Scanner que obtenga argumentos de un archivo de configuración local. Si se pasa el mismo argumento en la CLI y en el archivo de configuración, se prioriza el valor de CLI.

    • Los archivos de configuración del Inspector VM Scanner se especifican en TOML y todos los nombres de los argumentos son idénticos a los de la CLI.

El siguiente ejemplo muestra un archivo de configuración:

# Configuration file for Inspector VM Scanner log-level = "INFO" send-results = "telemetry" cpu-profile = "cpuprofile" mem-profile = "memprofile" log-dir = "log" state-dir = "state" debug = false log-retention = 7 scan-timeout = 300 [sbom] max-scan-depth = 5 target-directory = ["~"]

Configuración del uso de los recursos

Inspector VM Scanner ofrece las siguientes opciones para configurar el uso de los recursos:

  • --scan-timeoutfuerza al escáner a agotar el tiempo de espera después de un número de segundos especificado. De forma predeterminada, el escáner no agota el tiempo de espera.

  • --nice-priorityestablece la nice prioridad del proceso (disponible para sistemas Unix). De forma predeterminada, es 3.

  • --cpu-limitestablece un límite estricto en el uso de la CPU (disponible para sistemas Linuxcgroups). De forma predeterminada, es del 65%.

  • --process-priorityconfigura la prioridad del proceso (disponible para Windows los sistemas). De forma predeterminada, esta es la BELOW NORMAL prioridad.

nota

Los valores por --cpu-limit defecto del complemento Inspector SSM --process-priority son idénticos.

Configuración de los objetivos de escaneo

El escáner Inspector VM aprovecha el generador SBOM del Inspector para la recopilación de inventario. Como resultado, muchas de las opciones de cobertura de escaneo del Inspector VM Scanner se toman directamente de SBOM Generator.

De forma predeterminada, Inspector VM Scanner utiliza el grupo de localhost escáneres de SBOM Generator, así como escáneres certificate ywindows-kb.

Inspector VM Scanner ofrece las siguientes opciones para configurar los objetivos de escaneo:

  • --max-scan-depthconfigura el número máximo de directorios que se escanean.

  • --target-directoriesconfigura directorios adicionales para escanearlos fuera de los valores predeterminados.

  • --override-scannersconfigura escáneres de archivos exactos, anulando los valores predeterminados del Inspector VM Scanner.

  • --additional-scannersconfigura los escáneres de archivos para usarlos además de los valores predeterminados del Inspector VM Scanner.

Puede usar el siguiente comando para enumerar todos los escáneres disponibles:

./inspector-vm-scanner sbom --list-scanners

Administrar la ejecución periódica

Al instalar Inspector VM Scanner a través de un administrador de paquetes, la instalación crea una tarea programada que ejecuta los escaneos automáticamente. Puede ver, modificar o deshabilitar esta programación.

Linux (systemd)

Vea el estado del servicio y las ejecuciones recientes

systemctl status inspector-vm-scanner

Vea los registros en tiempo real

journalctl -u inspector-vm-scanner -f

Ver los registros recientes

journalctl -u inspector-vm-scanner --since "1 hour ago"

Compruebe el intervalo del temporizador actual

systemctl cat inspector-vm-scanner.timer

Actualizar el intervalo del temporizador

Para cambiar la frecuencia de escaneo, edite el archivo de la unidad temporizadora:

# Edit the timer unit file systemctl edit inspector-vm-scanner.timer # Add override configuration: [Timer] OnCalendar= OnCalendar=daily # Reload and restart systemctl daemon-reload systemctl restart inspector-vm-scanner.timer

Habilite o deshabilite la ejecución automática

systemctl enable inspector-vm-scanner.timer # Enable automatic runs systemctl disable inspector-vm-scanner.timer # Disable automatic runs

Windows (Programador de tareas)

Ver el estado de la tarea y la última ejecución

Get-ScheduledTask -TaskName "Inspector VM Scanner" | Get-ScheduledTaskInfo

Ver los registros de tareas recientes

Get-ScheduledTaskInfo -TaskName "Inspector VM Scanner"

Ver el historial detallado de las tareas

schtasks /query /tn "Inspector VM Scanner" /v /fo list

Ver el cronograma de tareas actual

Get-ScheduledTask -TaskName "Inspector VM Scanner" | Select-Object -ExpandProperty Triggers

Actualizar el cronograma de tareas

Para cambiar la frecuencia de escaneo:

# Modify trigger to run daily at 2 AM $trigger = New-ScheduledTaskTrigger -Daily -At 2:00AM Set-ScheduledTask -TaskName "Inspector VM Scanner" -Trigger $trigger

Habilitar o deshabilitar la tarea

Enable-ScheduledTask -TaskName "Inspector VM Scanner" # Enable automatic runs Disable-ScheduledTask -TaskName "Inspector VM Scanner" # Disable automatic runs

macOS (lanzado)

Ver la tarea iniciada

sudo launchctl print system/com.amazon.inspector.vm-scanner

Ejecute una sola tarea

sudo launchctl start com.amazon.inspector.vm-scanner