翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
詳細設定
このセクションでは、Inspector VM Scanner の高度な設定オプションについて説明します。
ローカル出力の設定
Inspector VM Scanner には、ローカル出力の書き込み方法を設定する以下のオプションがあります。
-
--send-resultsはtelemetryまたは に設定する必要がありますdisabled。を渡すとdisabled、Inspector VM Scanner は SBOM を送信せずに続行します。
ヒント
--state-dir で --send-results disabledを使用して、SBOM をローカルに保存します。
-
--log-dirは、ログが書き込まれる場所を設定します。デフォルトでは、ログは stdout に書き込まれます。 -
--log-levelはログの詳細度を設定します。デフォルトでは、これは INFO です。 -
--log-retentionは、ログを保持する日数を設定します。より古いログファイル--log-retentionが で見つかった場合--log-dir、そのログファイルは削除されます。デフォルトでは、これは 7 日間です。 -
--debugはデバッグレベルのログ記録を設定し、(毎日 1 つのログファイルを維持しようとするのではなく) 現在の実行専用のログファイルを強制します。 -
--state-dirは、SBOMs書き込まれる場所を設定します。デフォルトでは、SBOMs は保存されません。 -
--metric-dirは、メトリクスログが書き込まれる場所を設定します。デフォルトでは、メトリクスログは保存されません。 -
--cpu-profileは Go ランタイム CPU プロファイラーを有効にし、結果が書き込まれる場所を設定します。 -
--mem-profileは Go ランタイムメモリプロファイラーを有効にし、結果が書き込まれる場所を設定します。 -
--config-pathは Inspector VM Scanner にローカル設定ファイルから引数を取得するように指示します。CLI と設定ファイルの両方で同じ引数を渡すと、CLI 値が優先されます。-
Inspector VM Scanner 設定ファイルは TOML で指定され、すべての引数名は CLI と同じです。
-
次の例は、設定ファイルを示しています。
# Configuration file for Inspector VM Scanner log-level = "INFO" send-results = "telemetry" cpu-profile = "cpuprofile" mem-profile = "memprofile" log-dir = "log" state-dir = "state" debug = false log-retention = 7 scan-timeout = 300 [sbom] max-scan-depth = 5 target-directory = ["~"]
リソース使用量の設定
Inspector VM Scanner には、リソースの使用状況を設定するための以下のオプションが用意されています。
-
--scan-timeout指定された秒数後にスキャナーを強制的にタイムアウトさせます。デフォルトでは、スキャナーはタイムアウトしません。 -
--nice-priorityはプロセスのnice優先度を設定します (Unix システムで使用可能)。デフォルトでは、これは 3 です。 -
--cpu-limitは CPU 使用率にハードキャップを設定します ( を使用する Linux システムで使用可能cgroups)。デフォルトでは、これは 65% です。 -
--process-priorityはプロセスの優先度を設定します (Windowsシステムで使用可能)。デフォルトでは、これがBELOW NORMAL優先度です。
注記
--cpu-limit および のデフォルト値--process-priorityは、Inspector SSM プラグインと同じです。
スキャンターゲットの設定
Inspector VM Scanner は、Inspector SBOM Generator を活用してインベントリを収集します。その結果、Inspector VM Scanner のスキャンカバレッジオプションの多くが SBOM Generator から直接取得されます。
デフォルトでは、Inspector VM Scanner は SBOM Generator のlocalhostスキャナーグループと certificateおよび windows-kbスキャナーを使用します。
Inspector VM Scanner には、スキャンターゲットを設定するための以下のオプションが用意されています。
-
--max-scan-depthは、トラバースをスキャンするディレクトリの最大数を設定します。 -
--target-directoriesは、デフォルト外でスキャンするように追加のディレクトリを設定します。 -
--override-scannersは正確なファイルスキャナーを設定し、Inspector VM Scanner のデフォルトを上書きします。 -
--additional-scannersは、Inspector VM Scanner のデフォルトに加えて、使用する filescanner を設定します。
次のコマンドを使用して、使用可能なすべてのスキャナーを一覧表示できます。
./inspector-vm-scanner sbom --list-scanners
定期的な実行の管理
パッケージマネージャーを使用して Inspector VM Scanner をインストールすると、インストールによってスキャンを自動的に実行するスケジュールされたタスクが作成されます。このスケジュールを表示、変更、または無効にできます。
Linux (systemd)
サービスのステータスと最近の実行を表示する
systemctl status inspector-vm-scanner
リアルタイムログを表示する
journalctl -u inspector-vm-scanner -f
最近のログを表示する
journalctl -u inspector-vm-scanner --since "1 hour ago"
現在のタイマー間隔を確認する
systemctl cat inspector-vm-scanner.timer
タイマー間隔の更新
スキャン頻度を変更するには、タイマーユニットファイルを編集します。
# Edit the timer unit file systemctl edit inspector-vm-scanner.timer # Add override configuration: [Timer] OnCalendar= OnCalendar=daily # Reload and restart systemctl daemon-reload systemctl restart inspector-vm-scanner.timer
自動実行を有効または無効にする
systemctl enable inspector-vm-scanner.timer # Enable automatic runs systemctl disable inspector-vm-scanner.timer # Disable automatic runs
Windows (タスクスケジューラ)
タスクのステータスと最終実行を表示する
Get-ScheduledTask -TaskName "Inspector VM Scanner" | Get-ScheduledTaskInfo
最近のタスクログを表示する
Get-ScheduledTaskInfo -TaskName "Inspector VM Scanner"
詳細なタスク履歴を表示する
schtasks /query /tn "Inspector VM Scanner" /v /fo list
現在のタスクスケジュールを表示する
Get-ScheduledTask -TaskName "Inspector VM Scanner" | Select-Object -ExpandProperty Triggers
タスクスケジュールを更新する
スキャン頻度を変更するには:
# Modify trigger to run daily at 2 AM $trigger = New-ScheduledTaskTrigger -Daily -At 2:00AM Set-ScheduledTask -TaskName "Inspector VM Scanner" -Trigger $trigger
タスクを有効または無効にする
Enable-ScheduledTask -TaskName "Inspector VM Scanner" # Enable automatic runs Disable-ScheduledTask -TaskName "Inspector VM Scanner" # Disable automatic runs
macOS (起動)
起動されたタスクを表示する
sudo launchctl print system/com.amazon.inspector.vm-scanner
単一のタスクを実行する
sudo launchctl start com.amazon.inspector.vm-scanner