Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configuración avanzada
En esta sección se describen las opciones de configuración avanzadas del Inspector VM Scanner.
Configuración de las salidas locales
El Inspector VM Scanner ofrece las siguientes opciones para configurar cómo se escriben las salidas locales:
-
--send-resultsdebe estar configurado entelemetryodisabled. Si lo apruebadisabled, el Inspector VM Scanner continúa sin enviar la SBOM.
sugerencia
Úselo --state-dir con --send-results disabled para guardar la SBOM localmente.
-
--log-dirconfigura dónde se escriben los registros. De forma predeterminada, los registros se escriben en stdout. -
--log-levelconfigura la granularidad de los registros. De forma predeterminada, es INFO. -
--log-retentionconfigura el número de días que se van a conservar los registros. Si un archivo de registro--log-retentiones más antiguo que el que se encuentra en--log-dir, se elimina. De forma predeterminada, es de 7 días. -
--debugconfigura el registro a nivel de depuración y fuerza un archivo de registro dedicado a la ejecución actual (en lugar de intentar mantener un archivo de registro por día). -
--state-dirconfigura dónde se escriben los SBOM. De forma predeterminada, los SBOM no se guardan. -
--metric-dirconfigura dónde se escriben los registros de métricas. De forma predeterminada, los registros de métricas no se guardan. -
--cpu-profilehabilita el generador de perfiles de CPU en tiempo de ejecución de Go y configura dónde se escribe el resultado. -
--mem-profilehabilita el generador de perfiles de memoria en tiempo de ejecución de Go y configura dónde se escribe el resultado. -
--config-pathindica al Inspector VM Scanner que obtenga argumentos de un archivo de configuración local. Si se pasa el mismo argumento en la CLI y en el archivo de configuración, se prioriza el valor de CLI.-
Los archivos de configuración del Inspector VM Scanner se especifican en TOML y todos los nombres de los argumentos son idénticos a los de la CLI.
-
El siguiente ejemplo muestra un archivo de configuración:
# Configuration file for Inspector VM Scanner log-level = "INFO" send-results = "telemetry" cpu-profile = "cpuprofile" mem-profile = "memprofile" log-dir = "log" state-dir = "state" debug = false log-retention = 7 scan-timeout = 300 [sbom] max-scan-depth = 5 target-directory = ["~"]
Configuración del uso de los recursos
Inspector VM Scanner ofrece las siguientes opciones para configurar el uso de los recursos:
-
--scan-timeoutfuerza al escáner a agotar el tiempo de espera después de un número de segundos especificado. De forma predeterminada, el escáner no agota el tiempo de espera. -
--nice-priorityestablece laniceprioridad del proceso (disponible para sistemas Unix). De forma predeterminada, es 3. -
--cpu-limitestablece un límite estricto en el uso de la CPU (disponible para sistemas Linuxcgroups). De forma predeterminada, es del 65%. -
--process-priorityconfigura la prioridad del proceso (disponible para Windows los sistemas). De forma predeterminada, esta es laBELOW NORMALprioridad.
nota
Los valores por --cpu-limit defecto del complemento Inspector SSM --process-priority son idénticos.
Configuración de los objetivos de escaneo
El escáner Inspector VM aprovecha el generador SBOM del Inspector para la recopilación de inventario. Como resultado, muchas de las opciones de cobertura de escaneo del Inspector VM Scanner se toman directamente de SBOM Generator.
De forma predeterminada, Inspector VM Scanner utiliza el grupo de localhost escáneres de SBOM Generator, así como escáneres certificate ywindows-kb.
Inspector VM Scanner ofrece las siguientes opciones para configurar los objetivos de escaneo:
-
--max-scan-depthconfigura el número máximo de directorios que se escanean. -
--target-directoriesconfigura directorios adicionales para escanearlos fuera de los valores predeterminados. -
--override-scannersconfigura escáneres de archivos exactos, anulando los valores predeterminados del Inspector VM Scanner. -
--additional-scannersconfigura los escáneres de archivos para usarlos además de los valores predeterminados del Inspector VM Scanner.
Puede usar el siguiente comando para enumerar todos los escáneres disponibles:
./inspector-vm-scanner sbom --list-scanners
Administrar la ejecución periódica
Al instalar Inspector VM Scanner a través de un administrador de paquetes, la instalación crea una tarea programada que ejecuta los escaneos automáticamente. Puede ver, modificar o deshabilitar esta programación.
Linux (systemd)
Vea el estado del servicio y las ejecuciones recientes
systemctl status inspector-vm-scanner
Vea los registros en tiempo real
journalctl -u inspector-vm-scanner -f
Ver los registros recientes
journalctl -u inspector-vm-scanner --since "1 hour ago"
Compruebe el intervalo del temporizador actual
systemctl cat inspector-vm-scanner.timer
Actualizar el intervalo del temporizador
Para cambiar la frecuencia de escaneo, edite el archivo de la unidad temporizadora:
# Edit the timer unit file systemctl edit inspector-vm-scanner.timer # Add override configuration: [Timer] OnCalendar= OnCalendar=daily # Reload and restart systemctl daemon-reload systemctl restart inspector-vm-scanner.timer
Habilite o deshabilite la ejecución automática
systemctl enable inspector-vm-scanner.timer # Enable automatic runs systemctl disable inspector-vm-scanner.timer # Disable automatic runs
Windows (Programador de tareas)
Ver el estado de la tarea y la última ejecución
Get-ScheduledTask -TaskName "Inspector VM Scanner" | Get-ScheduledTaskInfo
Ver los registros de tareas recientes
Get-ScheduledTaskInfo -TaskName "Inspector VM Scanner"
Ver el historial detallado de las tareas
schtasks /query /tn "Inspector VM Scanner" /v /fo list
Ver el cronograma de tareas actual
Get-ScheduledTask -TaskName "Inspector VM Scanner" | Select-Object -ExpandProperty Triggers
Actualizar el cronograma de tareas
Para cambiar la frecuencia de escaneo:
# Modify trigger to run daily at 2 AM $trigger = New-ScheduledTaskTrigger -Daily -At 2:00AM Set-ScheduledTask -TaskName "Inspector VM Scanner" -Trigger $trigger
Habilitar o deshabilitar la tarea
Enable-ScheduledTask -TaskName "Inspector VM Scanner" # Enable automatic runs Disable-ScheduledTask -TaskName "Inspector VM Scanner" # Disable automatic runs
macOS (lanzado)
Ver la tarea iniciada
sudo launchctl print system/com.amazon.inspector.vm-scanner
Ejecute una sola tarea
sudo launchctl start com.amazon.inspector.vm-scanner