为什么 Amazon Inspector 没有扫描我的 Amazon EC2 实例？

简短描述

Amazon Inspector 使用 AWS Systems Manager 和 AWS Systems Manager Agent（SSM Agent）扫描 Amazon EC2 实例上安装的软件应用程序。然后，Amazon Inspector 会扫描 SSM Agent 收集的遥测数据，寻找软件漏洞。您可以使用 Amazon Inspector 控制面板监控您的 Amazon EC2 实例的状态。有关更多信息，请参阅使用 Amazon Inspector 扫描 Amazon EC2 实例。

如果 Amazon Inspector 没有扫描您的 Amazon EC2 实例，请确保：

• SSM Agent 为最新版本。
• Amazon EC2 实例正在运行。
• 操作系统受支持。
• 已配置到 Systems Manager 的连接。
• 已配置 Systems Manager 关联和软件应用程序。

解决方法

检查 SSM Agent 版本

Amazon Inspector 必须运行 SSM Agent 来扫描 Amazon EC2 实例。如果您使用的是较早版本的 SSM Agent，则可能需要对其进行更新，才能成功扫描 Amazon EC2 实例。最佳实践是自动执行 SSM Agent 更新流程。有关说明，请参阅自动更新 SSM Agent。

要手动更新 SSM Agent，请订阅 SSM Agent 通知。然后，使用 Run Command 更新 SSM Agent。您还可以在 GitHub 网站上订阅 SSM Agent 发行说明。

检查 Amazon EC2 实例是否正在运行

“EC2 实例已停止”状态意味着 Amazon Inspector 暂停实例扫描，因为实例处于停止状态。在实例终止之前，任何现有检查结果都会持续存在。如果实例重启，Amazon Inspector 将自动恢复实例扫描。要重启 Amazon EC2 实例，请参阅停止和启动您的实例。

检查操作系统是否受支持

“不支持的操作系统”状态意味着 Amazon EC2 实例使用了 Amazon Inspector 不支持的操作系统或架构。有关用于扫描 EC2 实例的受支持的操作系统列表，请参阅支持的操作系统：Amazon EC2 扫描。

要检查您的操作系统版本，请按照以下针对 Linux 或 Windows 的步骤操作：

Linux 操作系统

运行以下命令：

cat /etc/os-release
lsb_release -a
hostnamectl

Windows 操作系统

选择 Windows 徽标键 + R，在 Open（打开）框中输入 msinfo32，然后选择 OK（确定）。

检查 Systems Manager 的连接

**注意：**如果 Systems Manager 控制台中未显示您的 Amazon EC2 实例，您可能需要额外配置。有关更多信息，请参阅为什么 Systems Manager 控制台的托管实例下未显示我的 EC2 实例？

1.    在 Amazon Inspector 和您的 Amazon EC2 实例所在的区域中，打开 Systems Manager 控制台。

2.    在导航窗格中，选择 Fleet Manager。

3.    在 Managed nodes（托管节点）中，检查 SSM Agent ping status（SSM Agent ping 状态）。如果状态为 Online（在线），这意味着您的 Amazon EC2 实例已连接到 SSM Agent。

如果 SSM Agent ping status（SSM Agent ping 状态）为 Connection Lost（连接中断），请确保您的 Amazon EC2 实例满足 Systems Manager 先决条件。如果您使用的是 SSM Agent 3.1.501.0 或更高版本，您可以使用 ssm-cli 命令行工具进行进一步诊断和问题排查。有关说明，请参阅使用 ssm-cli 对 Amazon EC2 托管式实例可用性进行问题排查。

您还可以运行 AWSSupport-TroubleshootManagedInstance Systems Manager Automation 文档，以确认该实例是否满足被列为托管实例的先决条件。有关更多信息，请参阅 AWSSupport-TroubleshootManagedInstance。

检查 Systems Manager 关联和软件应用程序

Amazon Inspector 需要在您的账户中创建 Systems Manager State Manager 关联，才能收集软件应用程序清单。Amazon Inspector 会自动创建名为 InspectorInventoryCollection-do-not-delete 的关联。“无清单”状态意味着 Amazon Inspector 找不到要为您的 Amazon EC2 实例扫描的软件应用程序清单。

检查关联状态

1.    在 Amazon Inspector 和您的 Amazon EC2 实例所在的区域中，打开 Systems Manager 控制台。

2.    在导航窗格中，选择 State Manager。

3.    在 Associations（关联）中，确保 InspectorInventoryCollection-do-not-delete 关联存在并且 Status（状态）为 Success（成功）。

4.    如果 InspectorInventoryCollection-do-not-delete 关联不存在，则在所有 Amazon EC2 实例上运行 AWS-GatherSoftwareInventory 文档。选择没有扫描的 Amazon EC2 实例的 Association id（关联 ID），然后选择 Execution history（执行历史记录）选项卡，了解更多详细信息。

5.    如果 InspectorInventoryCollection-do-not-delete 关联的 Status（状态）为 Failed（失败），则选择 Association id（关联 ID），然后选择 Apply association now（立即应用关联）。

6.    再次检查 InspectorInventoryCollection-do-not-delete 关联的 Status（状态），看看它是否已从 Failed（失败）变为 Success（成功）。

**注意：**对于 Windows，需要 Amazon Inspector SSM 插件才能扫描 Windows EC2 实例。激活 EC2 扫描后，Amazon Inspector 会为您的 Windows 资源创建新的 SSM 关联 InspectorDistributor-do-not-delete、InspectorInventoryCollection-do-not-delete 和 InvokeInspectorSsmPlugin-do-not-delete。如果其中任何关联 Status（状态）为 Failed（失败），请尝试重新应用该关联。如果 InspectorSsmPlugin.exe 文件被删除，InspectorDistributor-do-not-delete SSM 关联将在下次 Windows 扫描时重新安装该插件。有关更多信息，请参阅使用 Amazon Inspector 扫描 Windows EC2 实例。

验证节点中是否存在软件应用程序

确保您的 Amazon EC2 实例的清单中有软件包。

1.    在 Amazon Inspector 和您的 Amazon EC2 实例所在的区域中，打开 Systems Manager 控制台。

2.    在导航窗格中，选择 Fleet Manager。

3.    在 Managed nodes（托管节点）中，选择您的 Node ID（节点 ID），然后选择 Inventory（清单）选项卡，以检查软件应用程序。

检查软件应用程序清单速率

最佳实践是将清单收集速率设置为每 30 分钟运行一次。编辑 InspectorInventoryCollection-do-not-delete 关联并将 cron 表达式速率设置为 30 分钟。

---

相关信息

评估您的 AWS 环境的 Amazon Inspector 覆盖范围

如何设置 Amazon Inspector Classic 以对 Amazon EC2 实例运行安全评估？