View a markdown version of this page

고급 구성 - Amazon Inspector –

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

고급 구성

이 섹션에서는 Inspector VM 스캐너의 고급 구성 옵션에 대해 설명합니다.

로컬 출력 구성

Inspector VM 스캐너는 로컬 출력이 기록되는 방식을 구성하는 다음 옵션을 제공합니다.

  • --send-resultstelemetry 또는 로 설정해야 합니다disabled. disabled를 전달하면 Inspector VM 스캐너가 SBOM을 전송하지 않고 진행됩니다.

작은 정보

--state-dir 함께 --send-results disabled를 사용하여 SBOM을 로컬에 저장합니다.

  • --log-dir는 로그가 기록되는 위치를 구성합니다. 기본적으로 로그는 stdout에 기록됩니다.

  • --log-level는 로그의 세부 수준을 구성합니다. 기본적으로 INFO입니다.

  • --log-retention는 로그를 보존할 일수를 구성합니다. 보다 오래된 로그 파일이에서 --log-retention 발견되면 --log-dir삭제됩니다. 기본적으로이 기간은 7일입니다.

  • --debug는 디버그 수준 로깅을 구성하고 현재 실행에 대한 전용 로그 파일을 강제로 적용합니다(매일 하나의 로그 파일을 유지 관리하려고 시도하는 대신).

  • --state-dir는 SBOMs 작성되는 위치를 구성합니다. 기본적으로 SBOMs 저장되지 않습니다.

  • --metric-dir는 지표 로그가 기록되는 위치를 구성합니다. 기본적으로 지표 로그는 저장되지 않습니다.

  • --cpu-profile는 Go 런타임 CPU 프로파일러를 활성화하고 결과가 기록되는 위치를 구성합니다.

  • --mem-profile는 Go 런타임 메모리 프로파일러를 활성화하고 결과가 기록되는 위치를 구성합니다.

  • --config-path는 Inspector VM 스캐너가 로컬 구성 파일에서 인수를 도출하도록 지시합니다. CLI 파일과 구성 파일 모두에서 동일한 인수가 전달되면 CLI 값의 우선 순위가 지정됩니다.

    • Inspector VM 스캐너 구성 파일은 모든 인수 이름이 CLI와 동일한 TOML로 지정됩니다.

다음 예제에서는 구성 파일을 보여줍니다.

# Configuration file for Inspector VM Scanner log-level = "INFO" send-results = "telemetry" cpu-profile = "cpuprofile" mem-profile = "memprofile" log-dir = "log" state-dir = "state" debug = false log-retention = 7 scan-timeout = 300 [sbom] max-scan-depth = 5 target-directory = ["~"]

리소스 사용량 구성

Inspector VM 스캐너는 리소스 사용을 구성하는 다음 옵션을 제공합니다.

  • --scan-timeout 지정된 초 후에 스캐너가 시간 초과되도록 합니다. 기본적으로 스캐너는 시간 초과되지 않습니다.

  • --nice-priority는 프로세스의 nice 우선 순위를 설정합니다(Unix 시스템에서 사용 가능). 기본적으로 3입니다.

  • --cpu-limit는 CPU 사용량에 대한 하드 캡을 설정합니다(를 사용하는 Linux 시스템에서 사용 가능cgroups). 기본적으로 65%입니다.

  • --process-priority는 프로세스의 우선 순위를 구성합니다(Windows시스템에 사용 가능). 기본적으로 이는 BELOW NORMAL 우선 순위입니다.

참고

--cpu-limit 및의 기본값--process-priority은 Inspector SSM 플러그인과 동일합니다.

스캔 대상 구성

Inspector VM 스캐너는 인벤토리 수집을 위해 Inspector SBOM 생성기를 활용합니다. 따라서 Inspector VM 스캐너의 스캔 적용 범위 옵션 중 다수는 SBOM 생성기에서 직접 가져옵니다.

기본적으로 Inspector VM 스캐너는 SBOM 생성기의 localhost 스캐너 그룹과 certificatewindows-kb 스캐너를 사용합니다.

Inspector VM 스캐너는 스캔 대상을 구성하기 위한 다음 옵션을 제공합니다.

  • --max-scan-depth는 순회를 스캔하는 최대 디렉터리 수를 구성합니다.

  • --target-directories는 기본값을 벗어나 스캔하도록 추가 디렉터리를 구성합니다.

  • --override-scanners는 Inspector VM 스캐너 기본값을 재정의하여 정확한 파일canner를 구성합니다.

  • --additional-scanners는 Inspector VM 스캐너 기본값 외에도 사용할 파일canner를 구성합니다.

다음 명령을 사용하여 사용 가능한 모든 스캐너를 나열할 수 있습니다.

./inspector-vm-scanner sbom --list-scanners

주기적 실행 관리

패키지 관리자를 통해 Inspector VM 스캐너를 설치하면 설치 시 스캔을 자동으로 실행하는 예약된 작업이 생성됩니다. 이 일정을 보거나 수정하거나 비활성화할 수 있습니다.

Linux(시스템)

서비스 상태 및 최근 실행 보기

systemctl status inspector-vm-scanner

실시간 로그 보기

journalctl -u inspector-vm-scanner -f

최근 로그 보기

journalctl -u inspector-vm-scanner --since "1 hour ago"

현재 타이머 간격 확인

systemctl cat inspector-vm-scanner.timer

타이머 간격 업데이트

스캔 빈도를 변경하려면 타이머 단위 파일을 편집합니다.

# Edit the timer unit file systemctl edit inspector-vm-scanner.timer # Add override configuration: [Timer] OnCalendar= OnCalendar=daily # Reload and restart systemctl daemon-reload systemctl restart inspector-vm-scanner.timer

자동 실행 활성화 또는 비활성화

systemctl enable inspector-vm-scanner.timer # Enable automatic runs systemctl disable inspector-vm-scanner.timer # Disable automatic runs

Windows (작업 스케줄러)

작업 상태 및 마지막 실행 보기

Get-ScheduledTask -TaskName "Inspector VM Scanner" | Get-ScheduledTaskInfo

최근 작업 로그 보기

Get-ScheduledTaskInfo -TaskName "Inspector VM Scanner"

세부 작업 기록 보기

schtasks /query /tn "Inspector VM Scanner" /v /fo list

현재 작업 일정 보기

Get-ScheduledTask -TaskName "Inspector VM Scanner" | Select-Object -ExpandProperty Triggers

작업 일정 업데이트

스캔 빈도를 변경하려면:

# Modify trigger to run daily at 2 AM $trigger = New-ScheduledTaskTrigger -Daily -At 2:00AM Set-ScheduledTask -TaskName "Inspector VM Scanner" -Trigger $trigger

작업 활성화 또는 비활성화

Enable-ScheduledTask -TaskName "Inspector VM Scanner" # Enable automatic runs Disable-ScheduledTask -TaskName "Inspector VM Scanner" # Disable automatic runs

macOS(시작됨)

시작된 작업 보기

sudo launchctl print system/com.amazon.inspector.vm-scanner

단일 작업 실행

sudo launchctl start com.amazon.inspector.vm-scanner