このページのトピック
コマンドラインの基本
ローカルのコマンドラインインタフェース(CLI)を使用して、エージェントと Workload Security の両方に多くの処理を実行できます。CLIではいくつかの設定を行い、システムリソースの使用量を表示することもできます。
次のCLIコマンドの多くは、 Workload Security APIを使用して自動化することもできます。APIの使用を開始するには、 First Steps for Workload Security Automationを参照してください。
以下はCLIコマンドです。
dsa_control
あなたは、いくつかのエージェントを構成する dsa_control を使用して、手動でこのような活性化、アンチマルウェアスキャン、およびベースラインの再構築など、いくつかのアクションをトリガーすることができます。
Windowsでセルフプロテクションが有効になっている場合、ローカルユーザはAgentの管理、たとえばアンインストール、アップデート、停止などを行うことができません。また、CLIコマンドの実行時には、認証パスワードが必要となります。
macOSでセルフプロテクションが有効になっている場合、ローカルユーザはエージェントをアンインストール、変更、停止、または制御できません。また、CLIコマンドの実行時には、認証パスワードが必要となります。
Dsa_control 英語の文字列のみがサポートされます。ユニコードはサポートされていません。
dsa_controlを使用するには
Windowsの場合:
- 管理者としてコマンドプロンプトを開きます。
- エージェントのインストールディレクトリに移動します。たとえば、次のとおりです。
cd C:\Program Files\Trend Micro\Deep Security Agent\ - dsa_controlを実行します。
dsa_control <option>
ここで、<option>は、 dsa_controlのオプションで説明されているオプションのいずれかに置き換えられます。
dsa_controlを使用するには
Linuxの場合:
sudo /opt/ds_agent/dsa_control <option>
ここで、<option>は、 dsa_controlのオプションで説明されているオプションのいずれかに置き換えられます。
dsa_controlを使用するには
macOSの場合:
- 管理者としてターミナルウィンドウを開きます。
- エージェントのインストールディレクトリに移動します。たとえば、次のとおりです。
cd /Library/Application Support/com.trendmicro.DSAgent - dsa_controlを実行します。
dsa_control <option>
<option>は、 dsa_controlオプションで説明されているオプションの1つに置き換えます。
dsa_control options
dsa_control [-a <str>] [-b] [-c <str>] [-d] [-g <str>] [-s <num>] [-m] [-p <str>] [-r] [-R <str>] [-t <num>] [-u <str>:<str>] [-w <str>:<str>] [-x dsm_proxy://<str>] [-y relay_proxy://<str>] [--buildBaseline] [--scanForChanges] [Additional keyword:value data to send to Workload Security during activation or heartbeat...]
| パラメータ | Description |
|---|---|
-a <str>, --activate=<str> |
次の形式で指定されたURLのManagerに対して、Agentを有効化します。 dsm://<host>:<port>/ 指定する項目は次のとおりです。 <host> マネージャの完全修飾ドメイン名(FQDN), IPv4アドレス、またはIPv6アドレス)になります。 <port> マネージャの待機中の ポート番号です。 必要に応じて、有効化中に送信する設定 (説明など) を、この引数に続けて指定することもできます。詳しくは、Agentからのハートビート有効化コマンド (「dsa_control -m」)を参照してください。パラメータはキー:値のペアとして入力する必要があります (セパレータにはコロンを使用します)。入力可能なキー:値のペアの数に制限はありませんが、キー:値のそれぞれのペアをスペースで区切る必要があります。キー:値のペアにスペースや特殊文字が含まれている場合は、キー:値のペアを引用符で囲む必要があります。 |
-b, --bundle |
アップデートバンドルを作成します。 macOSではサポートされていません |
-c <str>, --cert=<str> |
証明書ファイルを特定します。 macOSではサポートされていません |
-d, --diag |
Agentパッケージを生成します。詳細な手順については、「保護されているコンピュータでCLIを使用してAgentの診断パッケージを作成する」を参照してください。 |
-g <str>, --agent=<str> |
AgentのURLです。 初期設定は https://localhost:<port>/ <port>は、Managerの待機ポート番号です。 macOSではサポートされていません |
-m, --heartbeat |
Agentを今すぐ強制的にManagerに接続します。 |
-p <str> または --passwd=<str> |
Workload Security で設定した可能性のある認証パスワード。詳細については、「 Workload Security 」を参照してください。構成されている場合、パスワードはすべてのdsa_controlコマンドに含まれている必要がありますを除くdsa_control -a、dsa_control -x 、 とdsa_control -y。 例: dsa_control -m -p MyPa$$w0rd パスワードは、コマンドラインに直接入力した場合、画面上に表示されます。入力中にパスワードをアスタリスク(*)で非表示にするには、コマンドの対話形式である -p \*を入力します。 例: dsa_control -m -p * |
-r, --reset |
Agentの設定をリセットします。このコマンドにより、Agentから有効化情報が削除され、無効化されます。 |
-R <str>, --restore=<str> |
隔離ファイルを復元します。 Windows版では、駆除したファイルや削除したファイルも復元できます。 |
-s <num>, --selfprotect=<num> |
Agentセルフプロテクションを有効にします (1: 有効、0: 無効)。セルフプロテクションにより、ローカルのエンドユーザはAgentに対してアンインストールや停止などの制御ができなくなります。詳細については、「Agentセルフプロテクションの有効化または無効化」を参照してください。 注意: dsa_controlではセルフプロテクションを有効にできますが、関連する認証パスワードを設定することはできません。そのためには、 Workload Security が必要です。詳細については、「 Workload Security 」を参照してください。設定が完了したら、 -p または --passwd= オプションを使用してコマンドラインでパスワードを入力する必要があります。 |
-t <num>, --retries=<num> |
dsa_controlがエージェントサービスに接続して命令を実行できない場合、このパラメータはdsa_controlに対して(<num>)回数を再試行するように指示します。再試行は、1秒おきに実行されます。 macOSではサポートされていません |
-u <user>:<password> |
プロキシが認証を要求する場合は、 -x オプションと組み合わせてプロキシのユーザ名とパスワードを指定します。ユーザ名とパスワードは、コロン (:)で区切ります。例: # ./dsa_control -x dsm_proxy://<str> -u <new username>:<new password> 。 ユーザ名とパスワードを削除するには、空の文字列( "")を入力します。たとえば、 # ./dsa_control -x dsm_proxy://<str> -u <existing username>:""のようになります。 プロキシのユーザ名を変更せずにプロキシのパスワードのみを更新する場合は、 -xを指定せずに -u オプションを使用できます。例: # ./dsa_control -u <existing username>:<new password> 。 基本認証のみ。Digest認証とNTLM認証はサポートされていません。 注意:使用する dsa_control -uエージェントのローカル構成にのみ適用されます。このコマンドを実行した結果、マネージャ上でセキュリティポリシーが変更されません。 |
-w <user>:<password> |
プロキシで認証が必要な場合は、 -y オプションとともにプロキシのユーザ名とパスワードを指定します。ユーザ名とパスワードは、コロン (:)で区切ります。例: # ./dsa_control -y relay_proxy://<str> -w <new username>:<new password> 。 ユーザ名とパスワードを削除するには、空の文字列( "")を入力します。たとえば、 # ./dsa_control -y relay_proxy://<str> -w <existing username>:""のようになります。 プロキシのユーザ名のみを変更せずにプロキシのパスワードのみをアップデートする場合は、 -wなしで -y オプションを使用できます。例: # ./dsa_control -w <existing username>:<new password> 。 基本認証のみ。Digest認証とNTLM認証はサポートされていません。 注意:使用する dsa_control -wエージェントのローカル構成にのみ適用されます。このコマンドを実行した結果、マネージャ上でセキュリティポリシーが変更されません。 |
-x dsm_proxy://<str>:<num> |
エージェントとマネージャの間にプロキシを設定します。プロキシのIPv4 / IPv6アドレスまたはFQDNと ポート番号をコロン(:)で区切って指定します。IPv6アドレスは角カッコで囲む必要があります。例: dsa_control -x "dsm_proxy://[fe80::340a:7671:64e7:14cc]:808/"URLの代わりにアドレスを削除するには、空の文字列( "")を入力します。 -uオプションも参照してください。 詳細については、 Connect to Workload Security (プロキシ経由)を参照してください。 注意:使用する dsa_control -xエージェントのローカル構成にのみ適用されます。このコマンドを実行した結果、マネージャ上でセキュリティポリシーが変更されません。 |
-y relay_proxy://<str>:<num> |
エージェントとリレーの間にプロキシを設定します。プロキシのIPアドレスまたはFQDNと ポート番号をコロン(:)で区切って指定します。IPv6アドレスは角カッコで囲む必要があります。例: dsa_control -y "relay_proxy://[fe80::340a:7671:64e7:14cc]:808/"URLの代わりにアドレスを削除するには、空の文字列( "")を入力します。 -wオプションも参照してください。 詳細については、 プロキシ経由のリレーへの接続を参照してください。 注意:使用する dsa_control -yエージェントのローカル構成にのみ適用されます。このコマンドを実行した結果、マネージャ上でセキュリティポリシーが変更されません。 |
--buildBaseline |
変更監視のベースラインを作成します。 macOSではサポートされていません |
--scanForChanges |
変更監視の変更を検索します。 macOSではサポートされていません |
--max-dsm-retries |
有効化を再試行する最大回数。0から100までの値を入力してください。初期設定値は30です。 |
--dsm-retry-interval |
有効化を再試行する間隔 (秒)。1から3600までの値を入力してください初期設定値は300です。 |
--autoDetectOSProxy |
OSプロキシの自動検出を有効/無効にするフラグ。フラグはC1WSのエージェント設定によって制御されます。 値は「1:有効」、「0:無効」です。 |
--osProxyResolveTimeout |
プロキシリゾルバのタイムアウト値は秒単位で設定でき、dsa_control --osProxyResolveTimeout =< resolveTimeout> ;;で設定できます。< connectTimeout> ;;< sendTimeout> ;;< receiveTimeout> これらはセミコロンで区切られ、各タイムアウト値の範囲は10〜180です。 |
Agentからのリモート有効化 (「dsa_control -a」)
エージェント起動アクティベーション(AIA)を有効にすると、マネージャとエージェント間の通信に問題が発生するのを防ぐことができ、配信スクリプトを使用してエージェントを簡単に配信できます。
AIAを設定し、インストールスクリプトを使用してAgentを有効化する方法については、「Agentからのリモート有効化およびAgentからの通信を使用してAgentを有効化して保護する」を参照してください。
このコマンドには次の形式を使用します。
dsa_control -a dsm://<host>:<port>/
指定する項目は次のとおりです。
<host>マネージャの完全修飾ドメイン名(FQDN), IPv4アドレス、またはIPv6アドレス)のいずれかになります。<port>エージェントからマネージャへの通信 ポート番号 443です。
たとえば、次のとおりです。
dsa_control -a dsm://dsm.example.com:4120/ hostname:www12 "description:Long Description With Spaces"
dsa_control -a dsm://fe80::ad4a:af37:17cf:8937:4120
Agentからのハートビート有効化コマンド (「dsa_control -m」)
AgentからManagerに、ハートビートをただちに強制送信することができます。
有効化コマンドと同様、ハートビート有効化コマンドでも、実行中に設定をManagerに送信することができます。
| パラメータ | 説明 | 例 | 有効化中の使用 | ハートビート中の使用 |
|---|---|---|---|---|
AntiMalwareCancelManualScan |
ブール。 コンピュータで現在実行されているオンデマンド(「手動」)検索をキャンセルします。 |
"AntiMalwareCancelManualScan:true" |
不可 | 可 |
AntiMalwareManualScan |
ブール。 コンピュータでオンデマンド(「手動」)の不正プログラム検索を開始します。 |
"AntiMalwareManualScan:true" |
不可 | 可 |
description |
文字列。 コンピュータの説明を設定します。最大2000文字。 |
"description:Extra information about the host" |
可 | 可 |
displayname |
文字列。 Computers のホスト名の横にカッコで囲んで表示される表示名を設定します。最大2000文字。 |
"displayname:the_name" |
可 | 可 |
externalid |
整数。 externalid 値を設定します。この値を使用して、Agentを一意に識別できます。この値には、従来のSOAP WebサービスAPIを使用してアクセスできます。 |
"externalid:123" |
可 | 可 |
group |
文字列。 Computers 画面に表示される、コンピュータの属するグループを設定します。1つの階層レベルの1つのグループ名につき最大254文字。 スラッシュ(/)はグループの階層を示します。 group パラメータでは、グループの階層を読み取りまたは作成できます。 このパラメータは、メインの「Computers」ルートブランチの下にある標準グループにコンピュータを追加する場合にのみ使用できます。ディレクトリ (Microsoft Active Directory)、VMware vCenter、またはクラウドプロバイダのアカウントに所属するグループにコンピュータを追加する場合には使用できません。 |
"group:Zone A web servers" |
可 | 可 |
groupid |
整数。 | "groupid:33" |
可 | 可 |
hostname |
文字列。 最大254文字。 ホスト名には、Managerがエージェントへの接続に使用できるIPアドレス、ホスト名、またはFQDNを指定できます。 |
"hostname:www1" |
可 | 不可 |
IntegrityScan |
ブール。 コンピュータで変更の検索を開始します。 |
"IntegrityScan:true" |
不可 | 可 |
policy |
文字列。 最大254文字。 ポリシー名は、ポリシーリストに一致する大文字と小文字を区別しません。ポリシーが見つからない場合、ポリシーは割り当てられません。 イベントベースタスクによって割り当てられたポリシーは、Agentからの有効化時に割り当てられたポリシーをオーバーライドします。 |
"policy:Policy Name" |
可 | 可 |
policyid |
整数。 | "policyid:12" |
可 | 可 |
relaygroup |
文字列。 コンピュータを特定のRelayグループにリンクします。最大254文字。 リレーグループ名は、既存のリレーグループ名と大文字/小文字を区別せずに一致します。Relayグループが見つからない場合は、初期設定のRelayグループが使用されます。 これは、イベントベースタスク中に割り当てられたRelayグループには影響しません。このオプションまたはイベントベースタスクのどちらかを使用してください。 |
"relaygroup:Custom Relay Group" |
可 | 可 |
relaygroupid |
整数。 | "relaygroupid:123" |
可 | 可 |
relayid |
整数。 | "relayid:123" |
可 | 可 |
tenantID and token |
文字列。 Agentからのリモート有効化をテナントとして使用する場合は、 tenantID と token の両方が必要です。 tenantID および token は、インストールスクリプト生成ツールから取得できます。 |
"tenantID:12651ADC-D4D5" and "token:8601626D-56EE" |
可 | 可 |
RecommendationScan |
ブール。 コンピュータで推奨設定の検索を開始します。 |
"RecommendationScan:true" |
不可 | 可 |
UpdateComponent |
ブール。 Workload Security にセキュリティアップデートを実行するように指示します。 UpdateComponent パラメータをバージョン12.0以降のエージェントで使用する場合は、Relayもバージョン12.0以降であることを確認してください。詳細を表示。 |
"UpdateComponent:true" |
不可 | 可 |
RebuildBaseline |
ブール。 コンピュータの 変更監視 ベースラインを再構築します。 |
"RebuildBaseline:true" |
不可 | 可 |
UpdateConfiguration |
ブール。 Workload Security に「ポリシーの送信」操作を実行するように指示します。 |
"UpdateConfiguration:true" |
不可 | 可 |
Agentを有効化する
Agentをコマンドラインから有効化するには、テナントIDとパスワードが必要です。これらの情報はインストールスクリプトで確認できます。
- Workload Securityの右上隅にある[Support]→[Deployment Scripts]の順にクリックします。
- プラットフォームを選択します。
- [インストール後にAgentを自動的に有効化] を選択します。
- 展開スクリプトで、
tenantIDおよびtokenの文字列を指定します。
Windows
PowerShellの場合:
& $Env:ProgramFiles"\Trend Micro\Deep Security Agent\dsa_control" -a <manager URL> <tenant ID> <token>
cmd.exeの場合:
C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -a <manager URL> <tenant ID> <token>
Linux
/opt/ds_agent/dsa_control -a <manager URL> <tenant ID> <token>
macOS
cd /Library/Application Support/com.trendmicro.DSAgent/
sudo ./dsa_control -a <manager URL> <tenant ID> <token>
Agentからのハートビート有効化コマンド
Windows
PowerShellの場合:
& "\Program Files\Trend Micro\Deep Security Agent\dsa_control" -m
cmd.exeの場合:
C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -m
Linux
/opt/ds_agent/dsa_control -m
macOS
cd /Library/Application Support/com.trendmicro.DSAgent/
sudo ./dsa_control -m
不正プログラムの手動検索を開始する
Windows
- 管理者権限でコマンドプロンプト (cmd.exe) を開きます。
-
次のコマンドを入力します。
cd C:\Program Files\Trend Micro\Deep Security Agent\dsa_control -m "AntiMalwareManualScan:true"
Linux
/opt/ds_agent/dsa_control -m "AntiMalwareManualScan:true"
macOS
サポートされていません。
診断パッケージを作成する
エージェントの問題のトラブルシューティングを行う必要がある場合に、コンピュータの診断パッケージを作成して送信するよう、サポート担当者から求められることがあります。詳細な手順については、「保護されているコンピュータでCLIを使用してAgentの診断パッケージを作成する」を参照してください。
Workload Security を使用してエージェントコンピュータの診断パッケージを作成できますが、 Agent / Appliance Initiated communicationsを使用するようにエージェントコンピュータが設定されている場合、マネージャは必要なログをすべて収集できません。そのため、テクニカルサポートから診断パッケージを要求された場合は、該当するAgentコンピュータで直接コマンドを実行する必要があります。
Agentをリセットする
このコマンドにより、ターゲットのAgentから有効化情報が削除され、無効化されます。
Windows
PowerShellの場合:
& "\Program Files\Trend Micro\Deep Security Agent\dsa_control" -r
cmd.exeの場合:
C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -r
Linux
/opt/ds_agent/dsa_control -r
macOS
cd /Library/Application Support/com.trendmicro.DSAgent/
sudo ./dsa_control -r
dsa_query
macOSではサポートされていません。
エージェント情報を表示するには、 dsa_query コマンドを使用できます。
dsa_queryのオプション
dsa_query [-c <str>] [-p <str>] [-r <str]
| パラメータ | Description |
|---|---|
-p,--passwd <string> |
オプションのAgentセルフプロテクション機能で使用される認証パスワードです。セルフプロテクションを有効化した際にパスワードを指定した場合は必須となります。 注意: 一部のクエリコマンドでは、認証を直接バイパスできます。この場合、パスワードは必要ありません。 |
-c,--cmd <string> |
Agentに対してクエリコマンドを実行します。次のコマンドがサポートされます。 "GetHostInfo":ハートビート中にManagerに返されるIDを問い合わせます。 "GetAgentStatus":有効になっている保護モジュール、処理中の 不正プログラム対策 または 変更監視 のステータス、およびその他のその他の情報を照会します。 "GetComponentInfo":不正プログラム対策パターンファイルおよびエンジンのバージョン情報を照会します。 "GetPluginVersion": エージェントと保護モジュールのバージョン情報を照会します。 |
-r,--raw <string> |
"-c" と同じクエリコマンド情報を返しますが、サードパーティ製のソフトウェア解釈用の未加工のデータ形式です。<!-ds_agentからの未加工の応答(例: for" GetComponentInfo" ;, with" -r 'au'"オプションを使用すると、クラスおよび1つのAUコンポーネントの種類を使用してバージョンをクエリできます。-> |
pattern |
結果をフィルタするためのワイルドカードのパターンです(オプション)。 例: dsa_query -c "GetComponentInfo" -r "au" "AM*" |
CPU使用率とRAM使用量を確認する
Windows
タスクマネージャーまたはprocmonを使用します。
Linux
top
ds_agentプロセスまたはサービスが実行されていることを確認する
Windows
タスクマネージャーまたはprocmonを使用します。
Linux
ps -ef|grep ds_agent
LinuxでAgentを再起動する
service ds_agent restart
または
/etc/init.d/ds_agent restart
or
systemctl restart ds_agent
アクションの中には、-tenantnameパラメータまたはa-tenantidパラメータ。テナント名を使用すると実行エラーが発生する場合は、関連付けられたテナントIDを使用してコマンドを再度実行します。