Melihat laporan kebijakan OS

Setelah VM Manager menerapkan penetapan kebijakan OS ke instance virtual machine (VM), laporan penetapan kebijakan OS akan dibuat. Laporan ini berisi status kepatuhan semua kebijakan OS yang diterapkan ke VM tertentu untuk penetapan kebijakan OS tertentu.

Dokumen ini menjelaskan tugas-tugas berikut:

Lihat laporan kepatuhan kebijakan OS untuk semua VM dalam organisasi atau folder.
Melihat laporan penetapan kebijakan OS untuk semua VM di zona tertentu. Laporan ini berguna untuk memberikan ringkasan status kepatuhan di zona tertentu. Lihat Melihat laporan penetapan kebijakan OS.
Meninjau penetapan kebijakan OS untuk VM tertentu. Informasi ini berguna saat meninjau status kepatuhan untuk VM tertentu. Lihat Meninjau laporan penetapan kebijakan OS.

Sebelum memulai

Tinjau kuota OS Config.
Siapkan autentikasi, jika Anda belum melakukannya. Autentikasi adalah proses verifikasi identitas Anda untuk akses ke layanan dan API Google Cloud. Untuk menjalankan kode atau contoh dari lingkungan pengembangan lokal, Anda dapat melakukan autentikasi ke Compute Engine sebagai berikut.

Pilih tab untuk melihat bagaimana Anda berencana menggunakan contoh di halaman ini:
Konsol

Saat menggunakan Konsol Google Cloud untuk mengakses API dan layanan Google Cloud, Anda tidak perlu menyiapkan autentikasi.
gcloud
1. Instal Google Cloud CLI, lalu initialize dengan menjalankan perintah berikut:
```
gcloud init
```
  Catatan: Jika Anda telah menginstal gcloud CLI sebelumnya, pastikan Anda memiliki versi baru dengan menjalankan gcloud components update.
2. Menetapkan region dan zona default.
REST

Untuk menggunakan contoh REST API di halaman ini dalam lingkungan pengembangan lokal, gunakan kredensial yang Anda berikan ke gcloud CLI.

Peran dan izin yang diperlukan

Untuk mendapatkan izin yang Anda perlukan guna melihat data kepatuhan kebijakan OS, minta administrator Anda untuk memberi Anda peran IAM berikut:

Melihat ringkasan kepatuhan kebijakan OS untuk VM di organisasi atau folder:
- OSPolicyAssignmentReport Viewer (roles/osconfig.osPolicyAssignmentReportViewer) di organisasi atau folder
- OSPolicyAssignment Viewer (roles/osconfig.osPolicyAssignmentViewer) di organisasi atau folder
Melihat laporan penetapan kebijakan OS untuk VM dalam project: OSPolicyAssignmentReport Viewer (roles/osconfig.osPolicyAssignmentReportViewer) di project

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses.

Peran yang telah ditetapkan ini berisi izin yang diperlukan untuk melihat data kepatuhan kebijakan OS. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk melihat data kepatuhan kebijakan OS:

Melihat ringkasan kepatuhan kebijakan OS untuk VM di organisasi atau folder:
- osconfig.osPolicyAssignmentReports.searchSummaries
- osconfig.osPolicyAssignments.searchPolicies
- resourcemanager.projects.get
- resourcemanager.projects.list

Anda mung juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaanlainnya.

Melihat ringkasan kepatuhan kebijakan OS untuk semua VM di organisasi atau folder

Anda dapat melihat ringkasan kepatuhan kebijakan OS untuk semua VM di organisasi atau folder menggunakan konsol Google Cloud.

VM Manager menampilkan ringkasan kepatuhan kebijakan OS hanya untuk project yang memenuhi salah satu persyaratan berikut:

Berisi satu atau beberapa VM tempat VM Manager diaktifkan dan dijalankan.
Berisi satu atau beberapa VM yang menjalankan VM Manager dalam 7 hari terakhir dan menyediakan data kepatuhan kebijakan OS.

Untuk melihat data kepatuhan kebijakan OS, lakukan hal berikut:

Di konsol Google Cloud, buka halaman Compute Engine > VM Manager > OS policies.

Buka halaman OS policies
Dalam menu drop-down project di bagian atas konsol Google Cloud, pilih organisasi atau folder tempat Anda ingin melihat ringkasan kepatuhan kebijakan OS.
Gunakan opsi berikut untuk melihat data kepatuhan kebijakan OS:
1. Untuk melihat ringkasan kepatuhan kebijakan OS per project, klik tab Projects.
2. Untuk melihat ringkasan kepatuhan kebijakan OS per kebijakan, klik tab OS policies.
Opsional: Tentukan kriteria untuk menghitung ringkasan kepatuhan kebijakan OS dengan menggunakan query builder.
Meninjau ringkasan kepatuhan kebijakan OS untuk VM. Tabel di tab Projects berisi satu baris untuk setiap project seperti yang ditampilkan dalam gambar berikut:

Tabel ini mencantumkan informasi berikut yang memenuhi kriteria yang telah Anda tentukan di query builder:
- Project: Nama project dalam organisasi yang berisi setidaknya satu VM dan mengaktifkan VM Manager.
- Total VMs: Jumlah total VM di setiap project.
- Monitored VMs: Jumlah VM dalam project yang mengaktifkan agen VM Manager dan sedang dipindai untuk memeriksa kepatuhannya terhadap kebijakan.
- VMs with policy: Jumlah VM yang memiliki minimal satu kebijakan.
- Compliant: Jumlah VM dengan semua kebijakan yang telah ditetapkan dan dilaporkan sebagai COMPLIANT.
- Non compliant: Jumlah VM dengan minimal satu kebijakan yang telah ditetapkan dan dilaporkan sebagai NON-COMPLIANT.
- Unknown: Jumlah VM dengan minimal satu kebijakan yang telah ditetapkan dan dilaporkan sebagai UNKNOWN, dan tidak ada kebijakan yang dilaporkan sebagai NON-COMPLIANT. Status UNKNOWN disebabkan oleh salah satu alasan berikut:
  - VM tidak berjalan.
  - Agen VM Manager tidak diaktifkan untuk VM.
  - Terjadi error selama proses berlangsung.
- No report: Jumlah VM dengan kebijakan yang telah ditetapkan, tetapi tidak ditemukan laporan kepatuhan kebijakan karena salah satu alasan berikut:
  - Agen VM Manager tidak diaktifkan untuk VM.
  - Pemindaian kepatuhan sedang berlangsung. Laporan belum siap.
Opsional: Terapkan filter tabel jika Anda ingin melihat baris tertentu di tabel ringkasan kepatuhan kebijakan OS.

Misalnya, jika Anda ingin melihat ringkasan kepatuhan kebijakan OS untuk project yang memiliki lebih dari 10 VM, tetapkan opsi filter Total VMs ke >= 10.
Opsional: Klik jumlah VM untuk melihat detail selengkapnya tentang VM dalam status tertentu. Misalnya, mengklik jumlah VM untuk project tertentu di kolom Unknown akan membuka tab VM instances yang berisi daftar kebijakan OS yang tidak dikenal untuk setiap VM dalam project tersebut.

Untuk informasi selengkapnya, buka Melihat laporan penetapan kebijakan OS.

Menggunakan query builder untuk memfilter data kepatuhan kebijakan OS

Berdasarkan kriteria yang Anda tentukan dalam query builder, VM Manager menampilkan data kepatuhan kebijakan OS untuk VM dalam project di organisasi atau folder Anda. Selanjutnya, Anda dapat menggunakan filter tabel di tabel kepatuhan kebijakan OS untuk memfilter data yang ditampilkan.

Misalnya, saat Anda menetapkan atribut OS di Query builder sebagai Debian, VM Manager akan menampilkan data kepatuhan kebijakan OS untuk VM dengan Debian OS. Jika Anda ingin melihat data kepatuhan untuk project tertentu, gunakan filter tabel untuk menentukan project ID.

Query builder dengan satu atribut.

Untuk menetapkan kueri dalam query builder di tab Projects, lakukan hal berikut:

Pilih sebuah Atribut. Query builder mendukung atribut berikut:
- OS: Menentukan nama pendek sistem operasi, seperti Windows atau Debian.
- OS versions: Menentukan versi sistem operasi. Misalnya, 21.04 atau 10.0.22000. Anda dapat menentukan satu tanda bintang (*) di akhir string versi OS untuk menunjukkan kecocokan parsial, misalnya 10*.
- VM running: Menentukan apakah Anda ingin melihat ringkasan patch untuk VM yang ada dalam status RUNNING atau tidak.
- Policy fingerprint: Menentukan sidik jari kebijakan unik untuk kebijakan OS. Saat Anda menetapkan atribut ini, VM Manager hanya menghitung ringkasan kepatuhan untuk kebijakan OS yang memiliki sidik jari yang telah ditentukan.
- Compliance state: Menentukan salah satu status kepatuhan untuk kebijakan:
  - COMPLIANT: VM dengan semua kebijakan yang telah ditetapkan dan dilaporkan sebagai COMPLIANT
  - NON-COMPLIANT: VM dengan setidaknya satu kebijakan yang telah ditetapkan dan dilaporkan sebagai NON-COMPLIANT
  - UNKNOWN: VM dengan setidaknya satu kebijakan yang telah ditetapkan dan dilaporkan sebagai UNKNOWN
Pilih salah satu atribut dan tentukan nilai untuk atribut tersebut. Misalnya, jika Anda ingin melihat ringkasan patch untuk VM dengan sistem operasi tertentu, pilih OS. Anda kemudian mendapatkan daftar operator perbandingan untuk dipilih.
1. Pilih Operator, misalnya, ==.
2. Di kolom Value, tentukan nilai perbandingan. Contoh Debian.
Untuk menambahkan atribut lain, klik Add condition.
Klik Search.

Melihat laporan penetapan kebijakan OS

Untuk melihat laporan penetapan kebijakan OS, Anda dapat menggunakan Konsol Google Cloud, Google Cloud CLI, atau REST.

Gunakan prosedur ini untuk melihat daftar laporan penetapan kebijakan OS untuk lokasi yang ditentukan.

Konsol

Jika Anda menggunakan Kontrol Layanan VPC untuk melindungi layanan, tambahkan layanan Inventaris Aset Cloud ke daftar layanan yang diizinkan. Untuk informasi selengkapnya, lihat layanan yang dapat diakses VPC.
Di konsol Google Cloud, buka halaman OS policies > VM instances.

Buka halaman VM instances

gcloud

Untuk melihat daftar laporan penetapan kebijakan OS, gunakan perintah os-config os-policy-assignment-reports list.

Untuk melihat semua laporan penetapan kebijakan OS untuk lokasi tertentu, jalankan perintah berikut. Ganti ZONE dengan zona tempat VM berada.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE

Contoh perintah dan output (semua VM)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a

INSTANCE                   ASSIGNMENT_ID                   LOCATION       UPDATE_TIME                  SUMMARY
centos7                    my-test-assignment1             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
centos7                    my-test-assignment2             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                     my-test-assignment1             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
rhel-8                     my-test-assignment2             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos                  my-test-assignment1             us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos                  my-test-assignment2             us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant
deb-10                     my-test-assignment2             us-central1-a  2021-11-02T19:00:11.777748Z  0/1 policies compliant
windows                    my-test-assignment2             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
windows                    my-test-assignment3             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
sles15                     my-test-assignment2             us-central1-a  2021-11-02T18:38:07.335276Z  0/1 policies compliant

Anda juga dapat menggunakan flag opsional, seperti --instance atau --assignment-id, untuk memfilter hasil.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE \
    [--instance=VM_NAME | --assignment-id=ASSIGNMENT_ID]

Ganti kode berikut:

ZONE: zona tempat VM berada
Opsional: memberikan salah satu kode berikut:
- VM_NAME: nama atau ID VM yang laporan penetapan kebijakan OS-nya ingin Anda lihat
- ASSIGNMENT_ID: ID penetapan kebijakan OS yang ingin Anda lihat laporan penetapan kebijakan OS-nya

Contoh perintah dan output (VM tertentu)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --instance=my-centos

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos               my-test-assignment2         us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant

Contoh perintah dan output (penetapan tertentu)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --assignment-id=my-test-assignment1

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
centos7                 my-test-assignment1         us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                  my-test-assignment1         us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant

REST

Di API, buat permintaan GET ke metode projects.locations.osPolicyAssignments.reports.list.

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report

Ganti kode berikut:

PROJECT_ID: Project ID Anda.
ZONE: zona tempat VM berada
Opsional. Berikan salah satu kode berikut:
- VM_NAME: nama atau ID VM yang ingin Anda lihat laporan penetapan kebijakan OS-nya. Jika tidak diperlukan, gunakan - untuk nilainya.
- ASSIGNMENT_ID: ID penetapan kebijakan OS yang ingin Anda lihat laporan penetapan kebijakan OS-nya. Jika tidak diperlukan, gunakan - untuk nilainya.

Contoh:

Untuk melihat laporan semua VM dalam project my-project-12345 dan zona us-central1-a, gunakan URI berikut:
```
projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/-/report
```
Untuk melihat laporan VM my-test-vm dalam project my-project-12345 dan berada di zona us-central1-a, gunakan URI berikut:
```
projects/my-project-12345/locations/us-central1-a/instances/my-test-vm/osPolicyAssignments/-/report
```
Untuk melihat laporan semua VM di project my-project-12345 dan zona us-central1-a yang memiliki penetapan kebijakan OS my-test-assignment, gunakan URI berikut:
```
projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/my-test-assignment/report
```

Meninjau laporan penetapan kebijakan OS

Gunakan prosedur ini untuk mendapatkan tampilan mendetail dari laporan penetapan kebijakan OS yang terkait dengan VM tertentu.

Konsol

Jika Anda menggunakan Kontrol Layanan VPC untuk melindungi layanan, tambahkan layanan Inventaris Aset Cloud ke daftar layanan yang diizinkan. Untuk informasi selengkapnya, lihat layanan yang dapat diakses VPC.
Di konsol Google Cloud, buka halaman OS policies > VM instances.

Buka konsol Google Cloud
Untuk melihat laporan penetapan kebijakan OS untuk VM tertentu, klik nama VM tersebut.
Tinjau kolom State, State reason, dan Logs. Kolom Logs menyediakan link ke dasbor Cloud Logging tempat Anda dapat mengakses log debug untuk agen OS Config yang berjalan di VM.
- Untuk mengetahui informasi selengkapnya tentang status kepatuhan yang ditampilkan, tinjau ComplianceState dalam dokumentasi referensi API.
- Untuk mengetahui informasi selengkapnya tentang alasan kepatuhan yang ditampilkan, tinjau kolom complianceStateReason di dokumentasi referensi API OSPolicyResourceCompliance.
Untuk memperbaiki masalah ini, Anda juga dapat meninjau log kebijakan OS dan melakukan update yang diperlukan. Untuk memeriksa log, lihat Memecahkan masalah VM Manager.

gcloud

Untuk melihat laporan penetapan kebijakan OS untuk VM tertentu, gunakan perintah os-config os-policy-assignment-reports describe.

gcloud compute os-config os-policy-assignment-reports describe OS_POLICY_ASSIGNMENT_ID \
    --instance=VM_NAME \
    --location=ZONE

Ganti kode berikut:

OS_POLICY_ASSIGNMENT_ID: ID penetapan kebijakan OS yang ingin Anda tinjau untuk VM tertentu
VM_NAME: nama atau ID VM yang laporan penetapan kebijakan OS-nya ingin Anda lihat
ZONE: zona tempat VM berada

Contoh

gcloud compute os-config os-policy-assignment-reports describe my-test-assignment1 \
    --instance=centos7 \
    --location=us-central1-a

Output

instance: centos7
lastRunId: 96a61b92-3e14-4155-a3e8-dd66520f49ae
name: projects/1234578882888/locations/us-central1-a/instances/29255009728795105/osPolicyAssignments/my-test-assignment1/report
osPolicyAssignment: projects/1234578882888/locations/us-central1-a/osPolicyAssignments/my-test-assignment1t@3428384d-fa61-478e-b7e2-3d5fae74bea3
osPolicyCompliances:
– complianceState: UNKNOWN
  complianceStateReason: os-policies-not-supported-by-agent
  osPolicyId: setup-repo-and-install-package-policy
  osPolicyResourceCompliances:
  – complianceState: UNKNOWN
    complianceStateReason: os-policy-execution-attempt-failed
    osPolicyResourceId: setup-repo
  – complianceState: UNKNOWN
    complianceStateReason: os-policy-execution-attempt-failed
    osPolicyResourceId: install-pkg
updateTime: '2021-11-02T19:14:34.314831Z'

Tinjau complianceState dan complianceStateReason.
- Untuk mengetahui informasi selengkapnya tentang status kepatuhan yang ditampilkan, tinjau ComplianceState dalam dokumentasi referensi API.
- Untuk mengetahui informasi selengkapnya tentang alasan kepatuhan yang ditampilkan, tinjau kolom complianceStateReason di dokumentasi referensi API OSPolicyResourceCompliance.
Untuk memperbaiki masalah ini, Anda juga dapat meninjau log kebijakan OS dan melakukan update yang diperlukan. Untuk memeriksa log, lihat Memecahkan masalah VM Manager.

REST

Di API, buat permintaan GET ke metode projects.locations.osPolicyAssignments.reports.get.
```
GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
```
Ganti kode berikut:
- PROJECT_ID: project ID Anda.
- ZONE: zona tempat VM berada
- VM_NAME: nama atau ID VM yang laporan penetapan kebijakan OS-nya ingin Anda lihat
- OS_POLICY_ASSIGNMENT_ID: ID penetapan kebijakan OS yang ingin Anda lihat laporan penetapan kebijakan OS-nya
Tinjau complianceState dan complianceStateReason.
- Untuk mengetahui informasi selengkapnya tentang status kepatuhan yang ditampilkan, tinjau ComplianceState dalam dokumentasi referensi API.
- Untuk mengetahui informasi selengkapnya tentang alasan kepatuhan yang ditampilkan, tinjau kolom complianceStateReason di dokumentasi referensi API OSPolicyResourceCompliance.
Untuk memperbaiki masalah ini, Anda juga dapat meninjau log kebijakan OS dan melakukan update yang diperlukan. Untuk memeriksa log, lihat Memecahkan masalah VM Manager.

Apa langkah selanjutnya?

Pelajari kebijakan OS lebih lanjut.
Mengelola kebijakan OS.