Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

5.4. 监控合规性

监控合规性是确保执行审计以及识别不合规的持续任务。Red Hat Satellite 6 支持集中的合规性监控和管理。Satellite 管理下的主机会根据您的自定义调度检查合规性,详细信息则由 Satellite 服务器协调。合规仪表板概述了主机的合规性,并在该策略范围内查看每个主机的详细信息。合规报告提供对每个主机是否符合适用策略的详细分析。通过这些信息,您可以评估每个主机存在的风险,并更好地管理使主机符合要求的资源。
使用 SCAP 监控合规性时的常见目标包括:
  • 验证策略合规性.
  • 检测合规性中的更改。
Satellite Web UI 提供了实现这些目标所需的所有信息。验证策略是否符合合规策略仪表板。通过查看合规性报告的历史记录或通过电子邮件订阅更改通知,检测策略合规的更改。

5.4.1. 合规策略仪表板
复制链接

合规策略控制面板提供主机遵循策略的概述。要查看合规策略的控制面板,可打开 Satellite Web UI 并前往 Hosts Policies,然后单击策略的名称。仪表板提供以下信息:
  • 演示了主机与策略合规的高级视图的环图。
  • 主机统计细分与策略相符,采用表格格式。
  • 指向每个主机的策略最新报告的链接。
控制面板视图提供主机合规性的统计信息摘要,是合规管理的良好起点。对于评估为不合规的所有主机,Failed 统计为优先考虑合规工作提供了有用的指标。检测到的那些是 Never audited 的主机也应该是优先级,因为它们的状态未知。

图 5.1. 合规策略仪表板

合规策略仪表板

5.4.2. 合规性报告概述
复制链接

合规性报告是针对主机运行的策略输出。若要列出所有可用的合规性报告,可打开 Satellite Web UI 并浏览 Hosts Reports。对于每个报告,列出每个策略通过或失败的规则总数。默认情况下,所有报告都以降序列出。要更改排序顺序,请点击您要对其进行排序的列标签。再次单击同一标签,以更改为降序或升序。在 Compliance Reports 页面中,点 View Report 查看单个报告,或使用 Search 字段将报告列表范围到主机或主机子集。要删除合规性报告,请从 View Report 旁边的下拉列表中选择 Delete
在管理主机的策略合规性时,监控一段时间内的合规性更改会很有用。Satellite 6 提供了手动监控合规更改所需的信息,也通过电子邮件通知。使用 Search 字段将报告列表范围缩小到一个或多个主机,并手动评估更改,如 第 5.4.3 节 “搜索合规性报告” 所述。订阅合规更改电子邮件消息,如 服务器管理指南 中的 配置电子邮件通知 中所述。https://access.redhat.com/documentation/en/red-hat-satellite/6.2/paged/server-administration-guide/chapter-5-users-and-roles#sect-Red_Hat_Satellite-Server_Administration_Guide-Creating_and_Managing_Users-Configuring_Email_Notifications

图 5.2. 合规性报告概述

合规性报告概述

5.4.3. 搜索合规性报告
复制链接

通过 Compliance Reports 搜索字段,您可以缩小报告列表范围。通过缩小您对主机子集的关注,您可以专注于最需要的资源。要应用过滤器,在 Search 字段中输入搜索条件,然后按 Enter 或点 Search。执行的搜索不区分大小写。点击空的 Search 字段查看可用搜索参数的列表。
有关所有可用搜索 操作符的详细信息,请参阅 服务器管理指南中的 Granular Search 所支持的 Operator。您可以使用逻辑运算符创建复杂的查询: 而不是。正则表达式不是有效的搜索条件,但可在单个搜索表达式中使用多个字段。

逻辑 Operator

  • Not : 对表达式 进行 反对。
  • 具有: 对象必须具有指定的属性。
  • :组合搜索条件。

搜索用例

以下搜索条件会查找超过五个规则的所有合规性报告。 

failed > 5
以下搜索条件查找 2015 年 11 月 5 日之后创建的所有合规性报告,适用于其主机名包含字符串 prod- 的主机。
host ~ prod- AND date > "Nov 5, 2015"
以下搜索条件会在一小时之前查找 compliance_policy rhel7_audit 生成的所有报告。 
"1 hour ago" AND compliance_policy = date = "1 hour ago" AND compliance_policy = rhel7_audit
要再次 列出所有可用的 合规性报告,请删除搜索条件并按 Enter 或点 Search

过程 5.8.  为搜索添加书签:

  1. 应用您的搜索条件。
  2. Search 列表中,选择 Bookmark this search
  3. 完成 Name 字段。
    如果您希望此 Satellite 实例的其他用户可用的书签,请选中 Public 复选框。
  4. 单击 Submit
要使用书签,请导航到 Hosts Reports,单击 Search 按钮旁边的下拉项,再单击书签。

5.4.4. 查看合规性报告
复制链接

导航到 Hosts Reports,再单击特定主机行中的 View Report
合规性报告由以下部分组成:
  • 简介
  • 评估特征
  • 合规性和评分
  • 规则概述

5.4.4.1. 评估特征
复制链接

本节详细介绍了对特定配置集进行评估,包括评估中使用的配置集、评估中使用的配置集,以及评估启动和完成的时间。为便于参考,也列出了主机的 IPv4、IPv6 和 MAC 地址。

评估特征

目标机器
评估主机的完全限定域名(FQDN)。示例: test-system.example.com.
基准 URL
评估主机的 SCAP 内容的 URL。示例: /var/lib/openscap/content/1fbdc87d24db51ca184419a2b6f.
Benchmark ID
评估主机的基准标识符。基准是一组配置文件。示例: xccdf_org.ssgproject.content_benchmark_RHEL_7.
配置集 ID
评估主机的配置集标识符。示例: xccdf_org.ssgproject_content_profile_rht-ccp.
开始于
评估启动的日期和时间,采用 ISO 8601 格式。示例:2015 -09-12T14:40:0 2.
完成于
评估完成的日期和时间,格式为 ISO 8601。示例:2015 -09-12T14:40:0 5.
执行者
在主机上执行评估的本地帐户名称。示例: root.

图 5.3. 评估特征

评估特征

5.4.4.2. 合规性和评分
复制链接

本节概述了主机是否符合配置集的规则、按严重性划分合规故障,以及整体合规分数作为百分比。如果没有检查规则的合规性,则这将在 规则结果中 归类为 其他

图 5.4. 合规性和评分

合规性和评分

5.4.4.3. 规则概述
复制链接

本节详细介绍了每个规则和合规性结果,以及分层布局中提供的规则。
选择或清除复选框以缩小合规性报告中包含的规则列表。例如,如果您的重点是任何不合规,请清除 passinformational 复选框。
要搜索所有规则,请在 Search 字段中输入条件。搜索会随您类型一样动态应用。Search 字段只接受单个纯文本搜索词,它被应用为不区分大小写的搜索。当您执行搜索时,只会列出与搜索条件匹配的规则。要删除搜索过滤器,请删除搜索条件。
如需了解每个结果的说明,请将光标悬停在 Result 列中显示的状态上。

图 5.5. 规则概述

规则概述

5.4.4.4. 检查规则结果
复制链接

要确定主机对规则失败的合规性的原因,请单击规则的标题。然后打开的窗口提供了更多详细信息,包括:规则描述(如果有时将主机变为合规的说明)、规则的理由以及在某些情况下的补救脚本。

图 5.6. 规则评估结果

规则评估结果
警告
不要实施任何推荐的补救操作或脚本,而无需首先在非生产环境中测试它们。

5.4.5. 合规性电子邮件通知
复制链接

Satellite 服务器向订阅 Openscap 策略摘要 电子邮件通知的所有用户发送 OpenSCAP Summary 电子邮件 (请参阅 服务器管理指南中的配置电子邮件通知)。每次运行策略时,Satellite 都会检查与之前运行的结果,注意它们之间的任何更改。根据每个订阅者请求的频率发送电子邮件,提供了每个策略及其最近结果的摘要。
OpenSCAP Summary 电子邮件消息包含以下信息:
  • 它涵盖的时间段详情。
  • 根据状态的所有主机的总数: changed、compliant 和 incompliant。
  • 每个主机的表格分类及其最新策略的结果,包括通过、失败、更改或结果未知的规则总数。
以下是 OpenSCAP Summary 电子邮件消息示例。
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部