기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
고급 구성
이 섹션에서는 Inspector VM 스캐너의 고급 구성 옵션에 대해 설명합니다.
로컬 출력 구성
Inspector VM 스캐너는 로컬 출력이 기록되는 방식을 구성하는 다음 옵션을 제공합니다.
-
--send-results는telemetry또는 로 설정해야 합니다disabled.disabled를 전달하면 Inspector VM 스캐너가 SBOM을 전송하지 않고 진행됩니다.
작은 정보
와 --state-dir 함께 --send-results disabled를 사용하여 SBOM을 로컬에 저장합니다.
-
--log-dir는 로그가 기록되는 위치를 구성합니다. 기본적으로 로그는 stdout에 기록됩니다. -
--log-level는 로그의 세부 수준을 구성합니다. 기본적으로 INFO입니다. -
--log-retention는 로그를 보존할 일수를 구성합니다. 보다 오래된 로그 파일이에서--log-retention발견되면--log-dir삭제됩니다. 기본적으로이 기간은 7일입니다. -
--debug는 디버그 수준 로깅을 구성하고 현재 실행에 대한 전용 로그 파일을 강제로 적용합니다(매일 하나의 로그 파일을 유지 관리하려고 시도하는 대신). -
--state-dir는 SBOMs 작성되는 위치를 구성합니다. 기본적으로 SBOMs 저장되지 않습니다. -
--metric-dir는 지표 로그가 기록되는 위치를 구성합니다. 기본적으로 지표 로그는 저장되지 않습니다. -
--cpu-profile는 Go 런타임 CPU 프로파일러를 활성화하고 결과가 기록되는 위치를 구성합니다. -
--mem-profile는 Go 런타임 메모리 프로파일러를 활성화하고 결과가 기록되는 위치를 구성합니다. -
--config-path는 Inspector VM 스캐너가 로컬 구성 파일에서 인수를 도출하도록 지시합니다. CLI 파일과 구성 파일 모두에서 동일한 인수가 전달되면 CLI 값의 우선 순위가 지정됩니다.-
Inspector VM 스캐너 구성 파일은 모든 인수 이름이 CLI와 동일한 TOML로 지정됩니다.
-
다음 예제에서는 구성 파일을 보여줍니다.
# Configuration file for Inspector VM Scanner log-level = "INFO" send-results = "telemetry" cpu-profile = "cpuprofile" mem-profile = "memprofile" log-dir = "log" state-dir = "state" debug = false log-retention = 7 scan-timeout = 300 [sbom] max-scan-depth = 5 target-directory = ["~"]
리소스 사용량 구성
Inspector VM 스캐너는 리소스 사용을 구성하는 다음 옵션을 제공합니다.
-
--scan-timeout지정된 초 후에 스캐너가 시간 초과되도록 합니다. 기본적으로 스캐너는 시간 초과되지 않습니다. -
--nice-priority는 프로세스의nice우선 순위를 설정합니다(Unix 시스템에서 사용 가능). 기본적으로 3입니다. -
--cpu-limit는 CPU 사용량에 대한 하드 캡을 설정합니다(를 사용하는 Linux 시스템에서 사용 가능cgroups). 기본적으로 65%입니다. -
--process-priority는 프로세스의 우선 순위를 구성합니다(Windows시스템에 사용 가능). 기본적으로 이는BELOW NORMAL우선 순위입니다.
참고
--cpu-limit 및의 기본값--process-priority은 Inspector SSM 플러그인과 동일합니다.
스캔 대상 구성
Inspector VM 스캐너는 인벤토리 수집을 위해 Inspector SBOM 생성기를 활용합니다. 따라서 Inspector VM 스캐너의 스캔 적용 범위 옵션 중 다수는 SBOM 생성기에서 직접 가져옵니다.
기본적으로 Inspector VM 스캐너는 SBOM 생성기의 localhost 스캐너 그룹과 certificate 및 windows-kb 스캐너를 사용합니다.
Inspector VM 스캐너는 스캔 대상을 구성하기 위한 다음 옵션을 제공합니다.
-
--max-scan-depth는 순회를 스캔하는 최대 디렉터리 수를 구성합니다. -
--target-directories는 기본값을 벗어나 스캔하도록 추가 디렉터리를 구성합니다. -
--override-scanners는 Inspector VM 스캐너 기본값을 재정의하여 정확한 파일canner를 구성합니다. -
--additional-scanners는 Inspector VM 스캐너 기본값 외에도 사용할 파일canner를 구성합니다.
다음 명령을 사용하여 사용 가능한 모든 스캐너를 나열할 수 있습니다.
./inspector-vm-scanner sbom --list-scanners
주기적 실행 관리
패키지 관리자를 통해 Inspector VM 스캐너를 설치하면 설치 시 스캔을 자동으로 실행하는 예약된 작업이 생성됩니다. 이 일정을 보거나 수정하거나 비활성화할 수 있습니다.
Linux(시스템)
서비스 상태 및 최근 실행 보기
systemctl status inspector-vm-scanner
실시간 로그 보기
journalctl -u inspector-vm-scanner -f
최근 로그 보기
journalctl -u inspector-vm-scanner --since "1 hour ago"
현재 타이머 간격 확인
systemctl cat inspector-vm-scanner.timer
타이머 간격 업데이트
스캔 빈도를 변경하려면 타이머 단위 파일을 편집합니다.
# Edit the timer unit file systemctl edit inspector-vm-scanner.timer # Add override configuration: [Timer] OnCalendar= OnCalendar=daily # Reload and restart systemctl daemon-reload systemctl restart inspector-vm-scanner.timer
자동 실행 활성화 또는 비활성화
systemctl enable inspector-vm-scanner.timer # Enable automatic runs systemctl disable inspector-vm-scanner.timer # Disable automatic runs
Windows (작업 스케줄러)
작업 상태 및 마지막 실행 보기
Get-ScheduledTask -TaskName "Inspector VM Scanner" | Get-ScheduledTaskInfo
최근 작업 로그 보기
Get-ScheduledTaskInfo -TaskName "Inspector VM Scanner"
세부 작업 기록 보기
schtasks /query /tn "Inspector VM Scanner" /v /fo list
현재 작업 일정 보기
Get-ScheduledTask -TaskName "Inspector VM Scanner" | Select-Object -ExpandProperty Triggers
작업 일정 업데이트
스캔 빈도를 변경하려면:
# Modify trigger to run daily at 2 AM $trigger = New-ScheduledTaskTrigger -Daily -At 2:00AM Set-ScheduledTask -TaskName "Inspector VM Scanner" -Trigger $trigger
작업 활성화 또는 비활성화
Enable-ScheduledTask -TaskName "Inspector VM Scanner" # Enable automatic runs Disable-ScheduledTask -TaskName "Inspector VM Scanner" # Disable automatic runs
macOS(시작됨)
시작된 작업 보기
sudo launchctl print system/com.amazon.inspector.vm-scanner
단일 작업 실행
sudo launchctl start com.amazon.inspector.vm-scanner