Como gerencio e visualizo os dados de conformidade de patches e associações do Systems Manager para todas as minhas contas usando o QuickSight?

Resolução

Com o Amazon QuickSight, você pode consultar, analisar e visualizar dados de inventário do Systems Manager. Você também pode publicar painéis interativos. Você pode usar o Amazon QuickSight com o conjunto de dados de tabela Amazon Athena para criar painéis e widgets para exibir informações de conformidade.

Verifique os pré-requisitos

Configure o inventário do Systems Manager e a sincronização de dados de recursos em sua conta. Essa configuração permite o seguinte:

• O Systems Manager reúne as informações do inventário.
• A sincronização de dados de recursos sincroniza o inventário com um bucket do Amazon Simple Storage Service (Amazon S3).

Você pode criar essa configuração para casos de uso multicontas multirregionais e sincronizar os dados com um bucket central do S3. A integração com o Amazon Athena usa sincronização de dados de recursos para visualizar os dados de inventário de todos os nós gerenciados na página de Visualização detalhada dos dados do inventário. Para obter mais informações, consulte Consultar dados de inventário de várias regiões e contas.

Depois de configurar o inventário do Systems Manager, a sincronização de dados de recursos e a configuração de acesso do Athena, você pode continuar configurando sua conta QuickSight.

Configurar uma conta QuickSight

Se você não tiver uma conta do Amazon QuickSight, faça login no Console de Gerenciamento da AWS com o usuário ou perfil do AWS Identity and Access Management (IAM) que tenha as permissões apropriadas do QuickSight. Acesse o Amazon QuickSight para criar uma nova conta.

1. Selecione Enterprise ou Enterprise + Q.
   -ou-
   Role para baixo e selecione Inscrever-se na Standard Edition.
2. Selecione a identidade do IAM apropriada.
3. Em Acesso Quicksight aos serviços da AWS, selecione Amazon Athena e Amazon S3.
4. Em Selecionar buckets do Amazon S3, selecione o bucket S3 de destino em que os dados de inventário são armazenados. Selecione Permissão de gravação para o Athena Workgroup no bucket do S3 selecionado para conceder permissão de gravação ao Athena Workgroup.
5. Selecione Concluir.

Se você tiver uma conta QuickSight existente, faça o seguinte em seu perfil do QuickSight:

1. Selecione o perfil de usuário e, em seguida, selecione Gerenciar QuickSight.
2. Selecione Segurança e permissões.
3. Selecione Adicionar ou remover em Acesso QuickSight aos serviços da AWS.
4. Para permitir as permissões do Athena e do S3, siga as etapas 2 e 3 da seção anterior.

Crie um conjunto de dados no QuickSight

Você pode criar conjuntos de dados no QuickSight usando tabelas do Athena como fonte. Um crawler do AWS Glue rastreia os dados de inventário no bucket do S3 e atualiza as tabelas no Catálogo de Dados do AWS Glue. Essas tabelas são então disponibilizadas no Athena pelo crawler do AWS Glue. Cada metadado de inventário tem uma tabela Athena correspondente criada pelo AWS Glue. Para criar o conjunto de dados e analisar os dados, use as tabelas aws_compliancesummary e aws_complianceitem:

1. Na página inicial do QuickSight, selecione Conjuntos de dados no painel de navegação e, em seguida, selecione Novo conjunto de dados.
2. Em Criar um conjunto de dados, selecione Athena como fonte de dados.
3. Insira o nome da fonte de dados.
4. Selecione Criar fonte de dados.
5. Na lista suspensa do bancos de dados, selecione o bucket do S3 com dados de inventário.
   O nome do banco de dados está no formato S3_bucket_name-<region>-database.
6. Selecione aws_compliancesummary da lista de tabelas e, em seguida, Selecionar.
7. Selecione Consultar diretamente seus dados.
8. Selecione Editar/Visualizar dados.
9. Selecione Salvar e publicar.

Use as instruções anteriores para criar outro conjunto de dados para a tabela aws_complianceitem.

Analise o conjunto de dados

Você pode usar as análises QuickSight para visualizar e analisar dados. Para usar os conjuntos de dados aws_compliancesummary e aws_complianceitem para análise de dados, faça o seguinte:

1. Na página inicial do Amazon QuickSight, selecione Nova análise.
2. Na página Conjuntos de dados, selecione o conjunto de dados ** aws_compliancesummary** e, em seguida, selecione USE IN ANALYSIS.
3. Para adicionar vários conjuntos de dados na mesma análise, selecione Editar (ícone de lápis) ao lado de Conjunto de dados.
4. Na página pop-up exibida, selecione Adicionar conjunto de dados e selecione aws_complianceitem da lista. Escolha Selecionar.
   Na lista suspensa do conjunto de dados, você pode visualizar esses dois conjuntos de dados para análise.

Observação: você também pode adicionar vários outros conjuntos de dados à mesma análise para criar as visuais.

Adicione visuais

Observação: as etapas fornecidas para adicionar elementos visuais são exemplos. Você pode criar esses gráficos de acordo com seu caso de uso e seus requisitos.

Você pode adicionar um visual à sua análise do Amazon QuickSight com base no conjunto de dados do QuickSight. O conjunto de dados inclui as tabelas do Athena que têm os dados de inventário do Systems Manager com informações de conformidade.

Visuais do conjunto de dados aws_compliancesummary

Você pode adicionar um visual para o conjunto de dados aws_compliancesummary seguindo as instruções em Adicionar uma imagem.

Você também pode adicionar filtros para filtrar os dados com base no tipo de conformidade, como conformidade de patches e conformidade de associação:

1. Selecione Filtrar no painel de navegação esquerdo.
2. Selecione ADD FILTER e, em seguida, selecione Tipo de conformidade.
3. Na lista de valores, selecione Patch para incluir somente a conformidade de patch.
4. Selecione todos os elementos visuais aplicáveis no menu suspenso Applied to-.
5. Selecione Aplicar.

Para visualizar a contagem de recursos com base no status de conformidade de patch, faça o seguinte:

1. Em Tipos de visual, selecione Gráfico de rosca.
2. Na Lista de campos, selecione Status para adicioná-lo à Dimensão Grupo/Cor.
3. Arraste e solte Resourceid em Valor.
4. Para contar valores distintos, selecione a seta ao lado de resourceid.
5. Selecione Agregar: Contar e, em seguida, selecionar Contar distintos.
6. Selecione o gráfico. Em seguida, selecione o Ícone Formatar visual (ícone de lápis).
7. Em Rótulos de dados, selecione Mostrar métrica.
   Você pode visualizar os valores e porcentagens reais no gráfico.

Para visualizar as instâncias compatíveis por região, faça o seguinte:

1. Selecione o visual anterior e, em seguida, selecione os três pontos no gráfico.
2. Selecione Duplicar visual.
3. Em Fontes de campos, no menu suspenso dimensão de Grupo/Cor, selecione a região.
4. Selecione Filtro, selecione ADD FILTER, selecione Status e, em seguida, selecione COMPLIANT.
5. Selecione Aplicar.
   Você pode visualizar o gráfico das instâncias de conformidade em cada região.

Para visualizar as instâncias de não conformidade por região, faça o seguinte:

1. No visual anterior, selecione os três pontos no gráfico.
2. Selecione Duplicar visual.
3. Selecione Filtrar. Selecione o filtro Status e, em seguida, selecione NON_COMPLIANT.
4. Selecione Aplicar.
   Você pode visualizar os gráficos das instâncias de não conformidade em cada região.

Para visualizar as informações da conta de todas as contas em uma configuração multicontas, use o visual anterior. Em Fontes de campos, na dimensão Grupo/Cor, selecione accountid. Você pode visualizar o gráfico com base em IDs de conta.

Visuais para o conjunto de dados aws_complianceitem

Você pode adicionar um visual para o conjunto de dados aws_complianceitem seguindo as instruções em Adicionar um visual.

Você também pode adicionar filtros para filtrar os dados com base no tipo de conformidade, como conformidade de patches e conformidade de associação. Para fazer isso, use as instruções correspondentes da seção anterior.

Para visualizar a lista de patches ausentes por instâncias, faça o seguinte:

1. Em Tipos de visual, selecione Tabela de escala vertical.
2. Adicione Região, resourceid, patchstate, id e título em Linhas e id em Valores.
3. Para contar valores distintos, selecione a seta ao lado da id.
4. Selecione Agregar: Contar e, em seguida, selecionar Contar distintos.
5. Selecione Filtrar. Selecione ADD FILTER, selecione Patchstate e, em seguida, selecione Ausente.
6. Selecione Aplicar.

Para visualizar a lista de instâncias por status de conformidade, faça o seguinte:

1. Selecione o conjunto de dados aws_complianceitem.
2. Selecione ** ADD** e, em seguida, selecione Adicionar visual.
3. Em Tipos de visual, selecione Tabela de escala vertical.
4. Adicione Região, resourceid, patchstate, id e título em Linhas e id em Valores.
5. Para contar valores distintos, selecione a seta ao lado da id.
6. Selecione Agregar: Contar e, em seguida, selecionar Contar distintos.

Para informações sobre todas as contas, no visual anterior, adicione accountid como o primeiro campo em Linhas. Isso filtra a tabela de escala vertical com base na ID da conta.

Publique um painel

Você pode publicar todos os recursos visuais criados como um painel e compartilhá-los com outros usuários.

1. Depois de adicionar todos os elementos visuais, selecione Temas e, em seguida, selecione o tema apropriado.
2. Selecione Compartilhar no canto superior direito da página.
3. Selecione Publicar painel.
4. Insira um nome para o painel e, em seguida, selecione Publicar painel.

Considerações

• Por padrão, o crawler do AWS Glue rastreia os dados de inventário no bucket central do S3 duas vezes ao dia. Portanto, os dados são atualizados com base nessa programação. Você pode modificar a frequência com base na necessidade editando a programação do crawler do AWS Glue.
• Você pode criar um conjunto de dados unidos no QuickSight para unir várias tabelas do Athena e criar um conjunto de dados mesclado. O caso de uso desse cenário é criar um conjunto de dados unidos com as tabelas aws_compliancesummary e aws_instanceinformation para visualizar os dados com base na plataforma (Linux/Windows). As informações da Plataforma são capturadas somente na tabela aws_instanceinformation. Além disso, você pode usar essas informações para filtrar dados em instâncias encerradas. Esses dados são salvos por 30 dias no inventário do Systems Manager. Para mais informações, consulte Unir dados.