View a markdown version of this page

Configurazione avanzata - Amazon Inspector

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione avanzata

Questa sezione descrive le opzioni di configurazione avanzate per Inspector VM Scanner.

Configurazione delle uscite locali

Inspector VM Scanner offre le seguenti opzioni per configurare la modalità di scrittura degli output locali:

  • --send-resultsdeve essere impostato su o. telemetry disabled Se l'esito viene superatodisabled, Inspector VM Scanner procede senza inviare la SBOM.

Suggerimento

Utilizzare --state-dir with per salvare lo SBOM --send-results disabled localmente.

  • --log-dirconfigura dove vengono scritti i log. Per impostazione predefinita, i log vengono scritti su stdout.

  • --log-levelconfigura la granularità dei log. Per impostazione predefinita, si tratta di INFO.

  • --log-retentionconfigura per quanti giorni conservare i log. Se un file di registro più vecchio di quello in cui si --log-retention trova--log-dir, viene eliminato. Per impostazione predefinita, questo periodo è di 7 giorni.

  • --debugconfigura la registrazione a livello di debug e impone un file di registro dedicato per l'esecuzione corrente (anziché cercare di mantenere un file di registro per ogni giorno).

  • --state-dirconfigura dove vengono scritti gli SBOM. Per impostazione predefinita, gli SBOM non vengono salvati.

  • --metric-dirconfigura dove vengono scritti i log delle metriche. Per impostazione predefinita, i log delle metriche non vengono salvati.

  • --cpu-profileabilita il profiler CPU Go runtime e configura dove viene scritto il risultato.

  • --mem-profileabilita il profiler di memoria di runtime Go e configura dove viene scritto il risultato.

  • --config-pathindica a Inspector VM Scanner di derivare argomenti da un file di configurazione locale. Se lo stesso argomento viene passato sia nella CLI che nel file di configurazione, al valore CLI viene data la priorità.

    • I file di configurazione di Inspector VM Scanner sono specificati in TOML, con tutti i nomi degli argomenti identici alla CLI.

L'esempio seguente mostra un file di configurazione:

# Configuration file for Inspector VM Scanner log-level = "INFO" send-results = "telemetry" cpu-profile = "cpuprofile" mem-profile = "memprofile" log-dir = "log" state-dir = "state" debug = false log-retention = 7 scan-timeout = 300 [sbom] max-scan-depth = 5 target-directory = ["~"]

Configurazione dell'utilizzo delle risorse

Inspector VM Scanner offre le seguenti opzioni per configurare l'utilizzo delle risorse:

  • --scan-timeoutforza il timeout dello scanner dopo un determinato numero di secondi. Per impostazione predefinita, lo scanner non scade.

  • --nice-priorityimposta la nice priorità del processo (disponibile per i sistemi Unix). Per impostazione predefinita, questo è 3.

  • --cpu-limitimposta un limite massimo all'utilizzo della CPU (disponibile per i sistemi Linux che utilizzanocgroups). Per impostazione predefinita, questo valore è del 65%.

  • --process-priorityconfigura la priorità del processo (disponibile per i Windows sistemi). Per impostazione predefinita, questa è la BELOW NORMAL priorità.

Nota

I valori predefiniti per --cpu-limit e --process-priority sono identici a Inspector SSM Plugin.

Configurazione delle destinazioni di scansione

Inspector VM Scanner sfrutta Inspector SBOM Generator per la raccolta dell'inventario. Di conseguenza, molte delle opzioni di copertura della scansione di Inspector VM Scanner vengono prese direttamente da SBOM Generator.

Per impostazione predefinita, Inspector VM Scanner utilizza il gruppo di scanner di SBOM Generator e gli localhost scanner. certificate windows-kb

Inspector VM Scanner offre le seguenti opzioni per configurare le destinazioni di scansione:

  • --max-scan-depthconfigura il numero massimo di directory attraversate dalla scansione.

  • --target-directoriesconfigura directory aggiuntive per la scansione al di fuori dei valori predefiniti.

  • --override-scannersconfigura i filescanner esatti, sovrascrivendo le impostazioni predefinite di Inspector VM Scanner.

  • --additional-scannersconfigura i filescanner da utilizzare in aggiunta alle impostazioni predefinite di Inspector VM Scanner.

È possibile utilizzare il seguente comando per elencare tutti gli scanner disponibili:

./inspector-vm-scanner sbom --list-scanners

Gestione dell'esecuzione periodica

Quando si installa Inspector VM Scanner tramite un gestore di pacchetti, l'installazione crea un'attività pianificata che esegue automaticamente le scansioni. È possibile visualizzare, modificare o disabilitare questa pianificazione.

Linux (systemd)

Visualizza lo stato del servizio e le esecuzioni recenti

systemctl status inspector-vm-scanner

Visualizza i log in tempo reale

journalctl -u inspector-vm-scanner -f

Visualizza i log recenti

journalctl -u inspector-vm-scanner --since "1 hour ago"

Controlla l'intervallo del timer corrente

systemctl cat inspector-vm-scanner.timer

Aggiorna l'intervallo del timer

Per modificare la frequenza di scansione, modifica il file dell'unità timer:

# Edit the timer unit file systemctl edit inspector-vm-scanner.timer # Add override configuration: [Timer] OnCalendar= OnCalendar=daily # Reload and restart systemctl daemon-reload systemctl restart inspector-vm-scanner.timer

Abilita o disabilita l'esecuzione automatica

systemctl enable inspector-vm-scanner.timer # Enable automatic runs systemctl disable inspector-vm-scanner.timer # Disable automatic runs

Windows (Task Scheduler)

Visualizza lo stato dell'attività e l'ultima esecuzione

Get-ScheduledTask -TaskName "Inspector VM Scanner" | Get-ScheduledTaskInfo

Visualizza i registri delle attività recenti

Get-ScheduledTaskInfo -TaskName "Inspector VM Scanner"

Visualizza la cronologia dettagliata delle attività

schtasks /query /tn "Inspector VM Scanner" /v /fo list

Visualizza la pianificazione attuale delle attività

Get-ScheduledTask -TaskName "Inspector VM Scanner" | Select-Object -ExpandProperty Triggers

Aggiorna la pianificazione delle attività

Per modificare la frequenza di scansione:

# Modify trigger to run daily at 2 AM $trigger = New-ScheduledTaskTrigger -Daily -At 2:00AM Set-ScheduledTask -TaskName "Inspector VM Scanner" -Trigger $trigger

Attivare o disattivare l'attività

Enable-ScheduledTask -TaskName "Inspector VM Scanner" # Enable automatic runs Disable-ScheduledTask -TaskName "Inspector VM Scanner" # Disable automatic runs

macOS (lanciato)

Visualizza l'attività launchd

sudo launchctl print system/com.amazon.inspector.vm-scanner

Esegui una singola attività

sudo launchctl start com.amazon.inspector.vm-scanner