Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
為什麼 Amazon Inspector 沒有掃描我的 Amazon EC2 執行個體?
我打開了 Amazon Inspector,但它沒有掃描我的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。Amazon Inspector 儀表板上的狀態顯示「EC2 執行個體已停止」、「未受管的 EC2 執行個體」、「不支援的作業系統」、「內部錯誤」、「待處理的初始掃描」或「無庫存」。
簡短描述
Amazon Inspector 可能因下列原因無法掃描您的 EC2 執行個體:
- AWS Systems Manager Agent (SSM Agent) 不是最新版本。
- EC2 執行個體未處於執行中狀態。
- 作業系統 (OS) 不相容。
- 您的執行個體未連線到 AWS Systems Manager。
- Amazon Inspector 與 Systems Manager 未建立關聯。
您可以使用 Amazon Inspector 儀表板來監控執行個體的狀態。如需詳細資訊,請參閱使用 Amazon Inspector 掃描 Amazon EC2 執行個體。
解決方法
更新 SSM Agent 版本
若要掃描執行個體,SSM Agent 必須在 Amazon Inspector 上執行。如果您使用的是較早版本的 SSM Agent,最佳做法是進行更新。另一個最佳做法是將 Systems Manager 設定為自動更新 SSM Agent。
若要手動更新 SSM Agent,請訂閱 SSM Agent 通知。然後,使用「執行」命令來更新 SSM Agent。您也可以在 GitHub 網站上訂閱 SSM Agent 發行備註。
重新啟動執行個體
您會看到 **EC2 執行個體顯示為「已停止」**狀態,是因為該執行個體已經停止,因此 Amazon Inspector 暫停了掃描。當 EC2 執行個體停止時,Amazon Inspector 會保留先前的掃描結果。若要再次開始掃瞄,請重新啟動 EC2 執行個體。
Amazon Inspector 會根據您在 Systems Manager 關聯中設定的間隔進行掃描。您可以修改 Linux 執行個體和 Windows 執行個體的掃描間隔。
檢查 Amazon Inspector 是否支援作業系統
當執行個體使用 Amazon Inspector 不支援的作業系統 (OS) 或架構時,您會看到不支援的作業系統狀態。
若要檢查您的 Linux 版本,請執行以下命令:
cat /etc/os-releaselsb_release -a hostnamectl
若是 Windows,請搜尋系統資訊,然後將其開啟。
若要確定 Amazon Inspector 是否支援您的作業系統,請查看支援掃描執行個體的作業系統清單。
確認您的執行個體已連線到 Systems Manager
如果您的執行個體未出現在 Systems Manager 主控台上,請執行 AWSSupport-TroubleshootManagedInstance 執行手冊來識別 Systems Manager 組態問題。如需詳細資訊,請參閱為什麼 Systems Manager 沒有將我的 Amazon EC2 執行個體顯示為受管執行個體?
若要檢查執行個體與 Systems Manager 的連線,請完成下列步驟:
- 在與 Amazon Inspector 和您執行個體相同的 AWS 區域中開啟 Systems Manager 主控台。
- 選擇 Fleet Manager。
- 在 Managed nodes (受管節點) 中,檢查 SSM Agent 的 ping 狀態。如果狀態為線上,則表示您的執行個體已連線到 SSM Agent。
如果 SSM Agent 的 ping 狀態為連線中斷,請確定您的執行個體符合 Systems Manager 先決條件。如果您使用的是 SSM Agent 3.1.501.0 版或更新版本,則可以執行 ssm-cli 命令列來判斷問題並進行疑難排解。
檢查 Amazon Inspector 是否與 Systems Manager 建立關聯
若要收集軟體應用程式庫存清單,Amazon Inspector 需要與您 AWS 帳戶中的 State Manager (Systems Manager 的一項功能) 建立關聯。當 Amazon Inspector 找不到用於掃描執行個體的軟體應用程式庫存清單時,您會看到無庫存清單狀態。
若要檢查 Amazon Inspector 和 State Manager 是否已建立關聯,請完成下列步驟:
- 在與 Amazon Inspector 和執行個體相同的區域中開啟 Systems Manager 主控台。
- 選擇 State Manager。
- 在 Associations (關聯) 中,確認 InspectorInventoryCollection-do-not-delete 關聯是否存在,以及 Status (狀態) 是否為成功。
- 如果 InspectorInventoryCollection-do-not-delete 關聯不存在,則在所有執行個體上執行 AWS-GatherSoftwareInventory SSM 文件。選擇未掃描執行個體的 Association id (關聯識別碼),然後選擇 Execution history (執行歷史記錄) 索引標籤以取得更多詳細資訊。
- 如果 InspectorInventoryCollection-do-not-delete 關聯狀態為失敗,請選擇 Association id (關聯識別碼)。然後,選擇 Apply association now (立即套用關聯)。
- 再次檢查 InspectorInventoryCollection-do-not-delete 關聯狀態,確認其已從失敗改為成功。
適用於 Windows 的 Amazon Inspector SSM 外掛程式會自動安裝在您的 Windows 執行個體上。啟用 EC2 掃描時,Amazon Inspector 會為您的 Windows 資源建立新的 SSM 關聯。SSM 關聯包括 InspectorDistributor-do-not-delete、InspectorInventoryCollection-do-not-delete 和 InvokeInspectorSsmPlugin-do-not-delete。如果關聯狀態為失敗,則重新套用關聯。如果 InspectorSsmPlugin.exe 檔案不存在,則 InspectorDistributor-do-not-delete SSM 關聯會在下次 Windows 掃描期間自動重新安裝該外掛程式。如需詳細資訊,請參閱使用 Amazon Inspector 掃描 Amazon EC2 執行個體。
確認該節點是否存在於軟體應用程式中
請完成下列步驟:
- 在與 Amazon Inspector 和執行個體相同的區域中開啟 Systems Manager 主控台。
- 選擇 Fleet Manager。
- 在 Managed nodes (受管節點)中,選擇您的 Node ID (節點 ID)。然後,選擇 Inventory (庫存清單) 索引標籤,檢查執行個體庫存清單中的軟體應用程式。
最佳做法是將庫存清單收集率設為每 30 分鐘執行一次。若要最佳化庫存清單收集,請編輯 InspectorInventoryCollection-do-not-delete 關聯,然後將 Cron 表達式速率設定為 30 分鐘。
相關資訊
- 語言
- 中文 (繁體)
相關內容
- 已提問 3 年前
- 已提問 2 年前
- 已提問 2 年前
