【アップデート】SSM Patch Manager からパッチ適用状況の可視化とレポート作成が可能になりました

終わり無いパッチ運用を自動化
2021.04.28

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

以下 AWS Systems Manager(SSM) Patch Manager のアップデートを紹介します。

何ができるようになったか

▼ Patch Managerの [ダッシュボード] からパッチ適用状況の概要を確認できるようになりました。

img

▼ また、 [レポート] から各インスタンスのパッチ適用状況概要のリスト、およびCSVレポートが可能になりました。

img

詳しく見てみる

今回はいくつかのインスタンスのパッチ適用状況をスキャンしている環境で見てみます。

ダッシュボード

  • インスタンスパッチコンプライアンスの概要
  • コンプライアンスレポートの期間
  • インスタンスパッチの状態
  • 最近のパッチオペレーション
  • 定期的なパッチ適用タスク

上記 5項目を見ることができます。

▼ インスタンスパッチコンプライアンスの概要

img

各インスタンスのパッチ適用の 準拠/非準拠状況を把握できます。

▼ コンプライアンスレポートの期間

img

7日以内に Patch Manager によるスキャン(or インストール) がされているかどうか、確認できます。

▼ インスタンスパッチの状態

img

パッチに失敗したインスタンスや、再起動が必要なインスタンスを把握できるのは便利ですね。 各 項目の数字のリンクから詳細をたどれます。

▼ 最近のパッチオペレーション, 定期的なパッチ適用タスク

img

img

パッチタスクの実施記録とスケジュールを見ることができます。 「Patch Manager によるパッチスキャン/インストール」の実態は SSMメンテナンスウィンドウ という機能で実装されており スケジュールをトラッキングするのが難しかったです。この情報も地味に嬉しいですね。

レポート

各インスタンスの「セキュリティ非準拠のリンク」 から 各インスタンスの詳細情報 を見ることができます。

img

以下のような画面です。インストール必要なパッケージをさっと把握できるのは素敵ですね。 更に 重要度などでフィルタリング可能です。

img

次は S3へのレポート出力機能を試してみます。 [S3へエクスポート] を選択します。

img

以下のように、出力レポート名と S3バケットを選択します。 オンデマンド出力、およびスケジュール出力が可能。SNS通知も設定できます。

img

オンデマンドで出力すると、以下のようなレポート一覧の画面へ遷移します。

img

レポート生成が完了、S3バケットを見ると [レポート名].csv ファイルが置かれていました。

img

▼ CSV中身

img

各インスタンスごとの以下サマリを取得することができます。

  • インスタンス基本情報 (ID, Name, IP, OS)
  • SSMエージェントのバージョン
  • 適用しているパッチベースライン
  • パッチグループ
  • コンプライアンス状況(ステータス, 重要度)
  • 非準拠なパッチの数 (Critical, High, Medium, Low, Informational, Unspecified)

おわりに

以上、SSM Patch Manager のアップデート紹介でした。

パッチタスクの可視化や管理が容易になり、より Patch Manager を活用しやすくなりました。 パッチ運用は必要不可欠ですが、終わりがなく辛いものです。自動化できる範囲は Patch Manager でどんどん自動化してしまいましょう。

参考