View a markdown version of this page

Konfigurasi lanjutan - Amazon Inspector

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasi lanjutan

Bagian ini menjelaskan opsi konfigurasi lanjutan untuk Inspector VM Scanner.

Mengkonfigurasi output lokal

Inspector VM Scanner menyediakan opsi berikut untuk mengonfigurasi bagaimana output lokal ditulis:

  • --send-resultsharus diatur ke telemetry ataudisabled. Jika Anda lulusdisabled, Inspector VM Scanner melanjutkan tanpa mengirim SBOM.

Tip

Gunakan --state-dir dengan --send-results disabled untuk menyimpan SBOM secara lokal.

  • --log-dirmengkonfigurasi di mana log ditulis. Secara default, log ditulis ke stdout.

  • --log-levelmengkonfigurasi granularitas log. Secara default, ini adalah INFO.

  • --log-retentionmengkonfigurasi berapa hari untuk menyimpan log. Jika file log yang lebih tua dari --log-retention yang ditemukan di--log-dir, itu dihapus. Secara default, ini adalah 7 hari.

  • --debugmengonfigurasi pencatatan tingkat debug dan memaksa file log khusus untuk eksekusi saat ini (daripada mencoba mempertahankan satu file log untuk setiap hari).

  • --state-dirmengkonfigurasi di mana SBOM ditulis. Secara default, SBOM tidak disimpan.

  • --metric-dirmengkonfigurasi di mana log metrik ditulis. Secara default, log metrik tidak disimpan.

  • --cpu-profilemengaktifkan profiler CPU runtime Go dan mengonfigurasi di mana hasilnya ditulis.

  • --mem-profilemengaktifkan profiler memori runtime Go dan mengonfigurasi di mana hasilnya ditulis.

  • --config-pathmengarahkan Inspector VM Scanner untuk mendapatkan argumen dari file konfigurasi lokal. Jika argumen yang sama diteruskan di CLI dan file konfigurasi, nilai CLI diprioritaskan.

    • File konfigurasi Inspector VM Scanner ditentukan dalam TOLL, dengan semua nama argumen identik dengan CLI.

Contoh berikut menunjukkan file konfigurasi:

# Configuration file for Inspector VM Scanner log-level = "INFO" send-results = "telemetry" cpu-profile = "cpuprofile" mem-profile = "memprofile" log-dir = "log" state-dir = "state" debug = false log-retention = 7 scan-timeout = 300 [sbom] max-scan-depth = 5 target-directory = ["~"]

Mengkonfigurasi penggunaan sumber daya

Inspector VM Scanner menyediakan opsi berikut untuk mengonfigurasi penggunaan sumber daya:

  • --scan-timeoutmemaksa pemindai untuk batas waktu setelah jumlah detik tertentu. Secara default, pemindai tidak batas waktu.

  • --nice-prioritymenetapkan nice prioritas untuk proses (tersedia untuk sistem Unix). Secara default, ini adalah 3.

  • --cpu-limitmenetapkan batas keras pada penggunaan CPU (tersedia untuk sistem Linux menggunakancgroups). Secara default, ini adalah 65%.

  • --process-prioritymengkonfigurasi prioritas untuk proses (tersedia untuk Windows sistem). Secara default, ini adalah BELOW NORMAL prioritas.

catatan

Nilai default untuk --cpu-limit dan --process-priority identik dengan Inspector SSM Plugin.

Mengkonfigurasi target pemindaian

Inspector VM Scanner memanfaatkan Inspector SBOM Generator untuk pengumpulan inventaris. Akibatnya, banyak opsi cakupan pemindaian Inspector VM Scanner diambil langsung dari SBOM Generator.

Secara default, Inspector VM Scanner menggunakan grup pemindai SBOM Generator, serta dan localhost pemindai. certificate windows-kb

Inspector VM Scanner menyediakan opsi berikut untuk mengonfigurasi target pemindaian:

  • --max-scan-depthmengonfigurasi jumlah maksimum direktori yang memindai lintasan.

  • --target-directoriesmengkonfigurasi direktori tambahan untuk memindai di luar default.

  • --override-scannersmengonfigurasi filescanner yang tepat, mengesampingkan default Inspector VM Scanner.

  • --additional-scannersmengkonfigurasi filescanners untuk digunakan selain default Inspector VM Scanner.

Anda dapat menggunakan perintah berikut untuk membuat daftar semua pemindai yang tersedia:

./inspector-vm-scanner sbom --list-scanners

Mengelola eksekusi berkala

Saat Anda menginstal Inspector VM Scanner melalui manajer paket, instalasi akan membuat tugas terjadwal yang mengeksekusi pemindaian secara otomatis. Anda dapat melihat, memodifikasi, atau menonaktifkan jadwal ini.

Linux (sistem)

Lihat status layanan dan proses terbaru

systemctl status inspector-vm-scanner

Lihat log waktu nyata

journalctl -u inspector-vm-scanner -f

Lihat log terbaru

journalctl -u inspector-vm-scanner --since "1 hour ago"

Periksa interval pengatur waktu saat ini

systemctl cat inspector-vm-scanner.timer

Perbarui interval pengatur waktu

Untuk mengubah frekuensi pemindaian, edit file unit timer:

# Edit the timer unit file systemctl edit inspector-vm-scanner.timer # Add override configuration: [Timer] OnCalendar= OnCalendar=daily # Reload and restart systemctl daemon-reload systemctl restart inspector-vm-scanner.timer

Aktifkan atau nonaktifkan eksekusi otomatis

systemctl enable inspector-vm-scanner.timer # Enable automatic runs systemctl disable inspector-vm-scanner.timer # Disable automatic runs

Windows (Penjadwal Tugas)

Lihat status tugas dan proses terakhir

Get-ScheduledTask -TaskName "Inspector VM Scanner" | Get-ScheduledTaskInfo

Lihat log tugas terbaru

Get-ScheduledTaskInfo -TaskName "Inspector VM Scanner"

Lihat riwayat tugas terperinci

schtasks /query /tn "Inspector VM Scanner" /v /fo list

Lihat jadwal tugas saat ini

Get-ScheduledTask -TaskName "Inspector VM Scanner" | Select-Object -ExpandProperty Triggers

Perbarui jadwal tugas

Untuk mengubah frekuensi pemindaian:

# Modify trigger to run daily at 2 AM $trigger = New-ScheduledTaskTrigger -Daily -At 2:00AM Set-ScheduledTask -TaskName "Inspector VM Scanner" -Trigger $trigger

Aktifkan atau nonaktifkan tugas

Enable-ScheduledTask -TaskName "Inspector VM Scanner" # Enable automatic runs Disable-ScheduledTask -TaskName "Inspector VM Scanner" # Disable automatic runs

macOS (diluncurkan)

Lihat tugas peluncuran

sudo launchctl print system/com.amazon.inspector.vm-scanner

Jalankan tugas tunggal

sudo launchctl start com.amazon.inspector.vm-scanner