12.2. 监控合规性
Satellite 支持集中合规监控和管理。合规仪表板概述了主机合规性,以及查看该策略范围内每个主机的详细信息。合规报告提供了与适用策略相关的每个主机合规性的详细分析。使用这些信息,您可以评估每个主机所带来的风险,并管理使主机处于合规状态所需的资源。
使用 SCAP 监控合规时的常见目标包括:
- 验证策略合规性.
- 检测合规性中的更改.
12.2.1. 合规策略仪表板
合规策略控制面板提供主机合规性的统计信息,以及在该策略范围内查看每个主机的详细信息。对于作为不合规评估的所有主机,Failed 统计为优先处理合规提供了有用的指标。检测到为 Never audited 的主机也应该是优先级,因为它们的状态未知。
12.2.2. 查看合规策略仪表板
使用 Satellite Web UI 验证策略是否合规。
流程
- 在 Satellite Web UI 中,导航到 Hosts > Policies。
点所需的策略名称。仪表板提供以下信息:
- 环形图表演示了符合该策略的主机的高级视图。
- 以表格格式使用策略的主机合规性的统计细分。
- 每个主机的最新策略报告链接。
12.2.3. 合规性电子邮件通知
Satellite 服务器会向订阅 Openscap 策略概述 电子邮件通知的所有用户发送 OpenSCAP Summary 电子邮件。有关订阅电子邮件通知的更多信息,请参阅 第 10.2 节 “配置电子邮件通知首选项”。每次运行策略时,Satellite 会根据之前运行检查结果,注意它们之间的任何更改。该电子邮件会根据每个订阅者请求的频率发送,提供每个策略及其最新结果的摘要。
OpenSCAP Summary 电子邮件信息包含以下信息:
- 它涵盖的时间段的详细信息。
- 所有主机的总数: changed, compliant, 和 noncompliant。
- 每个主机的表格分类及其最新策略的结果,包括通过、失败、更改或结果未知的规则总数。
12.2.4. 合规性报告
合规性报告是针对主机运行的策略输出。每个报告包括每个策略通过或失败的规则总数。默认情况下,报告以降序列出。
在 Satellite Web UI 中,导航到 Hosts > Reports 以列出所有合规性报告。
合规性报告由以下区域组成:
- 简介
- 评估特性
- Compliance 和 Scoring
- 规则概述
评估特性
评估 Characteristics 区域提供有关特定配置文件的评估的详细信息,包括评估中评估的主机、评估中使用的配置集以及评估启动和完成的时间。为便于参考,也会列出主机的 IPv4、IPv6 和 MAC 地址。
| 名称 | Description | Example |
|---|---|---|
| 目标机器 | 评估主机的完全限定域名(FQDN)。 |
|
| 基准 URL | 评估主机的 SCAP 内容的 URL。 |
|
| 基准 ID | 评估主机的基准的标识符。基准是一组配置集 |
|
| 配置文件 ID | 评估主机的配置集的标识符。 |
|
| 开始于 | 评估启动的日期和时间,格式为 ISO 8601。 |
|
| 完成于 | 评估完成的日期和时间,格式为 ISO 8601。 |
|
| 执行 | 在主机上执行评估的本地帐户名称。 |
|
Compliance 和 Scoring
Compliance 和 Scoring 区域概述了主机是否与配置文件规则相符,按照严重性划分合规性失败,以及总体合规分数作为百分比。如果没有检查规则合规性,则会在 Rule results 字段中归类为 其他 规则。
规则概述
Rule Overview 区域提供有关每个规则和合规性结果的详细信息,规则以分级布局显示。
选择或清除复选框,以缩小合规性报告中包含的规则列表。例如,如果审核的重点是任何不合规的,请清除 通过 和信息复选框。
要搜索所有规则,请在 搜索 字段中输入条件。搜索会根据类型动态应用。Search 字段只接受单个纯文本搜索词,它作为不区分大小写的搜索应用。当您执行搜索时,只会列出描述与搜索条件匹配的规则。要删除搜索过滤器,请删除搜索条件。
对于每个结果的说明,请将光标悬停在 Result 列中显示的状态上。
12.2.5. 检查主机的合规性故障
使用 Satellite Web UI 确定主机对规则失败的原因。
流程
- 在 Satellite Web UI 中,导航到 Hosts > Reports 以列出所有合规性报告。
- 点特定主机行中的 View Report,以查看单个报告的详情。
点击规则的标题查看详情:
- 规则的描述,其中包含使主机进入合规性的说明(如果可用)。
- 规则的比率。
- 在某些情况下,补救脚本。
不要在不首先在一个非生产环境中测试的情况下实施任何推荐的补救操作或脚本。
12.2.6. 搜索合规性报告
使用 Compliance Reports 搜索字段过滤任意给定主机子集的可用报告列表。
流程
- 要应用过滤器,在 Search 字段中输入搜索查询,然后点 Search。搜索查询不区分大小写。
搜索用例
以下搜索查询找到所有超过五个规则的合规性报告:
failed > 5
以下搜索查询会在 1 月 1 日之后为包含
prod-characters 组的主机名的主机查找在 1 月 1 日之后创建的所有合规性报告:host ~ prod- AND date > "Jan 1, YYYY"以下搜索查询会在一小时前找到
rhel7_audit合规策略生成的所有报告:"1 hour ago" AND compliance_policy = date = "1 hour ago" AND compliance_policy = rhel7_audit
以下搜索查询找到通过 XCCDF 规则的报告:
xccdf_rule_passed = xccdf_org.ssgproject.content_rule_firefox_preferences-auto-download_actions
以下搜索查询找到了失败 XCCDF 规则的报告:
xccdf_rule_failed = xccdf_org.ssgproject.content_rule_firefox_preferences-auto-download_actions
以下搜索查询找到的报告,其结果与失败或访问 XCCDF 规则的结果不同:
xccdf_rule_othered = xccdf_org.ssgproject.content_rule_firefox_preferences-auto-download_actions
其它信息
- 要查看可用搜索参数的列表,请点击空白的 Search 字段。
-
您可以使用以下逻辑运算符创建复杂的查询:
和,而 则没有。有关逻辑 operator 的更多信息,请参阅 第 9.7.3 节 “支持 Granular Search 的 Operator”。 - 您不能在搜索查询中使用正则表达式。但是,您可以在单个搜索表达式中使用多个字段。有关所有可用搜索 operator 的更多信息,请参阅 第 9.7.3 节 “支持 Granular Search 的 Operator”。
- 您可以对搜索添加书签,以重复使用相同的搜索查询。更多信息请参阅 第 21.3.1 节 “创建书签”。
12.2.7. 删除合规性报告
您可以删除 Satellite 上的合规性报告。
流程
- 在 Satellite Web UI 中,导航到 Hosts > Reports。
- 在 Compliance Reports 窗口中,识别您要删除的策略,并在策略名称右侧选择 Delete。
- 点击 OK。
12.2.8. 删除多个合规性报告
您可以同时删除多个合规策略。但是,在 Satellite Web UI 中,策略会被分页,因此您必须一次删除一个报告页面。如果要删除所有 OpenSCAP 报告,请使用 API 指南的 Deleting OpenSCAP Reports 部分中的脚本。
流程
- 在 Satellite Web UI 中,导航到 Hosts > Reports。
- 在 Compliance Reports 窗口中,选择您要删除的合规性报告。
- 在列表的右上角,选择 Delete report。
- 对您要删除的页面重复这些步骤。