Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione avanzata
Questa sezione descrive le opzioni di configurazione avanzate per Inspector VM Scanner.
Configurazione delle uscite locali
Inspector VM Scanner offre le seguenti opzioni per configurare la modalità di scrittura degli output locali:
-
--send-resultsdeve essere impostato su o.telemetrydisabledSe l'esito viene superatodisabled, Inspector VM Scanner procede senza inviare la SBOM.
Suggerimento
Utilizzare --state-dir with per salvare lo SBOM --send-results disabled localmente.
-
--log-dirconfigura dove vengono scritti i log. Per impostazione predefinita, i log vengono scritti su stdout. -
--log-levelconfigura la granularità dei log. Per impostazione predefinita, si tratta di INFO. -
--log-retentionconfigura per quanti giorni conservare i log. Se un file di registro più vecchio di quello in cui si--log-retentiontrova--log-dir, viene eliminato. Per impostazione predefinita, questo periodo è di 7 giorni. -
--debugconfigura la registrazione a livello di debug e impone un file di registro dedicato per l'esecuzione corrente (anziché cercare di mantenere un file di registro per ogni giorno). -
--state-dirconfigura dove vengono scritti gli SBOM. Per impostazione predefinita, gli SBOM non vengono salvati. -
--metric-dirconfigura dove vengono scritti i log delle metriche. Per impostazione predefinita, i log delle metriche non vengono salvati. -
--cpu-profileabilita il profiler CPU Go runtime e configura dove viene scritto il risultato. -
--mem-profileabilita il profiler di memoria di runtime Go e configura dove viene scritto il risultato. -
--config-pathindica a Inspector VM Scanner di derivare argomenti da un file di configurazione locale. Se lo stesso argomento viene passato sia nella CLI che nel file di configurazione, al valore CLI viene data la priorità.-
I file di configurazione di Inspector VM Scanner sono specificati in TOML, con tutti i nomi degli argomenti identici alla CLI.
-
L'esempio seguente mostra un file di configurazione:
# Configuration file for Inspector VM Scanner log-level = "INFO" send-results = "telemetry" cpu-profile = "cpuprofile" mem-profile = "memprofile" log-dir = "log" state-dir = "state" debug = false log-retention = 7 scan-timeout = 300 [sbom] max-scan-depth = 5 target-directory = ["~"]
Configurazione dell'utilizzo delle risorse
Inspector VM Scanner offre le seguenti opzioni per configurare l'utilizzo delle risorse:
-
--scan-timeoutforza il timeout dello scanner dopo un determinato numero di secondi. Per impostazione predefinita, lo scanner non scade. -
--nice-priorityimposta lanicepriorità del processo (disponibile per i sistemi Unix). Per impostazione predefinita, questo è 3. -
--cpu-limitimposta un limite massimo all'utilizzo della CPU (disponibile per i sistemi Linux che utilizzanocgroups). Per impostazione predefinita, questo valore è del 65%. -
--process-priorityconfigura la priorità del processo (disponibile per i Windows sistemi). Per impostazione predefinita, questa è laBELOW NORMALpriorità.
Nota
I valori predefiniti per --cpu-limit e --process-priority sono identici a Inspector SSM Plugin.
Configurazione delle destinazioni di scansione
Inspector VM Scanner sfrutta Inspector SBOM Generator per la raccolta dell'inventario. Di conseguenza, molte delle opzioni di copertura della scansione di Inspector VM Scanner vengono prese direttamente da SBOM Generator.
Per impostazione predefinita, Inspector VM Scanner utilizza il gruppo di scanner di SBOM Generator e gli localhost scanner. certificate windows-kb
Inspector VM Scanner offre le seguenti opzioni per configurare le destinazioni di scansione:
-
--max-scan-depthconfigura il numero massimo di directory attraversate dalla scansione. -
--target-directoriesconfigura directory aggiuntive per la scansione al di fuori dei valori predefiniti. -
--override-scannersconfigura i filescanner esatti, sovrascrivendo le impostazioni predefinite di Inspector VM Scanner. -
--additional-scannersconfigura i filescanner da utilizzare in aggiunta alle impostazioni predefinite di Inspector VM Scanner.
È possibile utilizzare il seguente comando per elencare tutti gli scanner disponibili:
./inspector-vm-scanner sbom --list-scanners
Gestione dell'esecuzione periodica
Quando si installa Inspector VM Scanner tramite un gestore di pacchetti, l'installazione crea un'attività pianificata che esegue automaticamente le scansioni. È possibile visualizzare, modificare o disabilitare questa pianificazione.
Linux (systemd)
Visualizza lo stato del servizio e le esecuzioni recenti
systemctl status inspector-vm-scanner
Visualizza i log in tempo reale
journalctl -u inspector-vm-scanner -f
Visualizza i log recenti
journalctl -u inspector-vm-scanner --since "1 hour ago"
Controlla l'intervallo del timer corrente
systemctl cat inspector-vm-scanner.timer
Aggiorna l'intervallo del timer
Per modificare la frequenza di scansione, modifica il file dell'unità timer:
# Edit the timer unit file systemctl edit inspector-vm-scanner.timer # Add override configuration: [Timer] OnCalendar= OnCalendar=daily # Reload and restart systemctl daemon-reload systemctl restart inspector-vm-scanner.timer
Abilita o disabilita l'esecuzione automatica
systemctl enable inspector-vm-scanner.timer # Enable automatic runs systemctl disable inspector-vm-scanner.timer # Disable automatic runs
Windows (Task Scheduler)
Visualizza lo stato dell'attività e l'ultima esecuzione
Get-ScheduledTask -TaskName "Inspector VM Scanner" | Get-ScheduledTaskInfo
Visualizza i registri delle attività recenti
Get-ScheduledTaskInfo -TaskName "Inspector VM Scanner"
Visualizza la cronologia dettagliata delle attività
schtasks /query /tn "Inspector VM Scanner" /v /fo list
Visualizza la pianificazione attuale delle attività
Get-ScheduledTask -TaskName "Inspector VM Scanner" | Select-Object -ExpandProperty Triggers
Aggiorna la pianificazione delle attività
Per modificare la frequenza di scansione:
# Modify trigger to run daily at 2 AM $trigger = New-ScheduledTaskTrigger -Daily -At 2:00AM Set-ScheduledTask -TaskName "Inspector VM Scanner" -Trigger $trigger
Attivare o disattivare l'attività
Enable-ScheduledTask -TaskName "Inspector VM Scanner" # Enable automatic runs Disable-ScheduledTask -TaskName "Inspector VM Scanner" # Disable automatic runs
macOS (lanciato)
Visualizza l'attività launchd
sudo launchctl print system/com.amazon.inspector.vm-scanner
Esegui una singola attività
sudo launchctl start com.amazon.inspector.vm-scanner