為什麼 Amazon Inspector 沒有掃描我的 Amazon EC2 執行個體？

簡短描述

Amazon Inspector 使用 AWS Systems Manager 和 AWS Systems Manager Agent (SSM Agent) 掃描安裝在 Amazon EC2 執行個體上的軟體應用程式。然後，Amazon Inspector 會掃描 SSM Agent 收集的遙測資料，找出軟體漏洞。您可以使用 Amazon Inspector 儀表板監控 Amazon EC2 執行個體的狀態。如需詳細資訊，請參閱使用 Amazon Inspector 掃描 Amazon EC2 執行個體。

如果 Amazon Inspector 沒有掃描您的 Amazon EC2 執行個體，請確認：

• SSM Agent 為最新版本。
• Amazon EC2 執行個體正在執行中。
• 作業系統受支援。
• 已設定 Systems Manager 的連線。
• 已設定 Systems Manager 關聯和軟體應用程式。

解決方案

檢查 SSM Agent 版本

Amazon Inspector 必須執行 SSM Agent，才能掃描 Amazon EC2 執行個體。如果您使用的是舊版 SSM Agent，則可能需要進行更新，以成功掃描 Amazon EC2 執行個體。最佳實務為將 SSM Agent 更新流程自動化。如需指示，請參閱自動更新 SSM Agent。

若要手動更新 SSM Agent，請訂閱 SSM Agent 通知。然後，使用 Run Command 更新 SSM Agent。您也可以在 GitHub 網站上訂閱 SSM Agent 版本備註。

檢查 Amazon EC2 執行個體是否正在執行中

「EC2 執行個體已停止」狀態表示 Amazon Inspector 因為執行個體處於停止狀態而暫停執行個體掃描。在執行個體終止之前，任何現有發現都會保留。如果執行個體重新啟動，Amazon Inspector 會自動恢復執行個體掃描。若要重新啟動 Amazon EC2 執行個體，請參閱停止並啟動執行個體。

檢查作業系統是否受支援

「不支援的作業系統」狀態表示 Amazon EC2 執行個體使用 Amazon Inspector 不支援的作業系統或架構。如需列出掃描 EC2 執行個體的受支援作業系統表格，請參閱支援的作業系統：Amazon EC2 掃描。

若要檢查您的作業系統版本，請針對 Linux 或 Windows 執行下列步驟：

Linux 作業系統

執行下列命令：

cat /etc/os-release
lsb_release -a
hostnamectl

Windows 作業系統

選擇 Windows 標誌鍵 + R，在開啟方塊中輸入 msinfo32，然後選擇確定。

檢查與 Systems Manager 的連線

**注意：**如果您的 Amazon EC2 執行個體未顯示在 Systems Manager 主控台中，則可能需要進行其他設定。如需詳細資訊，請參閲為什麼我的 EC2 執行個體沒有出現在 Systems Manager 主控台的受管執行個體下？

1.    在與 Amazon Inspector 和 Amazon EC2 執行個體相同的區域中開啟 Systems Manager 主控台。

2.    在導覽窗格中，選擇 Fleet Manager。

3.    在受管節點中，檢查 SSM Agent Ping 狀態。如果狀態為線上，則您的 Amazon EC2 執行個體已連線至 SSM Agent。

如果 SSM Agent Ping 狀態為連線中斷，請確認您的 Amazon EC2 執行個體符合 Systems Manager 先決條件。如果您使用的是 SSM Agent 3.1.501.0 或更新版本，您可以使用 ssm-cli 命令列工具進行進一步的診斷和疑難排解。如需指示，請參閱使用 ssm-cli 對 Amazon EC2 受管執行個體可用性問題進行疑難排解。

您也可以執行 AWSSupport-TroubleshootManagedInstance Systems Manager Automation 文件，以確認執行個體是否符合要列為受管執行個體的先決條件。如需詳細資訊，請參閱 AWSSupport-TroubleshootManagedInstance。

檢查 Systems Manager 關聯和軟體應用程式

Amazon Inspector 需要您帳戶中的 Systems Manager State Manager 關聯，才能收集軟體應用程式庫存。Amazon Inspector 會自動建立稱為 InspectorInventoryCollection-do-not-delete 的關聯。「無庫存」狀態表示 Amazon Inspector 找不到要掃描 Amazon EC2 執行個體的軟體應用程式庫存。

檢查關聯狀態

1.    在與 Amazon Inspector 和 Amazon EC2 執行個體相同的區域中開啟 Systems Manager 主控台。

2.    在導覽窗格中，選擇 State Manager。

3.    在關聯中，確認 InspectorInventoryCollection-do-not-delete 關聯存在，且狀態為成功。

4.    如果 InspectorInventoryCollection-do-not-delete 關聯不存在，請在所有 Amazon EC2 執行個體上執行 AWS-GatherSoftwareInventory 文件。選擇未掃描之 Amazon EC2 執行個體的關聯 ID，然後選擇執行歷史記錄標籤，以取得更多詳細資訊。

5.    如果 InspectorInventoryCollection-do-not-delete 關聯狀態為失敗，請選擇關聯 ID，然後選擇立即套用關聯。

6.    再次檢查 InspectorInventoryCollection-do-not-delete 關聯狀態，以確認其是否從失敗變更為成功。

注意：對於 Windows，需要Amazon Inspector SSM 外掛程式才能掃描 Windows EC2 執行個體。啟動 EC2 掃描後，Amazon Inspector 會為您的 Windows 資源建立新的 SSM 關聯 InspectorDistributor-do-not-delete、InspectorInventoryCollection-do-not-delete 和 InvokeInspectorSsmPlugin-do-not-delete。如果任何關聯狀態為失敗，請嘗試重新套用關聯。如果 InspectorSsmPlugin.exe 檔案遭到刪除，InspectorDistributor-do-not-delete SSM 關聯會在下次 Windows 掃描時重新安裝外掛程式。如需詳細資訊，請參閱使用 Amazon Inspector 掃描 Windows EC2 執行個體。

驗證節點中是否存在軟體應用程式

確認 Amazon EC2 執行個體的庫存中有軟體套件。

1.    在與 Amazon Inspector 和 Amazon EC2 執行個體相同的區域中開啟 Systems Manager 主控台。

2.    在導覽窗格中，選擇 Fleet Manager。

3.    在受管節點中，選擇您的節點 ID，然後選擇庫存標籤，以檢查軟體應用程式。

檢查軟體應用程式庫存率

最佳實務為將庫存率設定為每 30 分鐘執行一次。編輯 InspectorInventoryCollection-do-not-delete 關聯，並將 Cron 表達式速率設定為 30 分鐘。

---

相關資訊

評估您 AWS 環境的 Amazon Inspector 涵蓋範圍

如何設定 Amazon Inspector Classic 以在我的 Amazon EC2 執行個體上執行安全評估？