コマンドラインの基本

ローカルのコマンドラインインタフェース(CLI)を使用して、 Deep Security Agentと Workload Security の両方に多くの処理を実行できます。CLIではいくつかの設定を行い、システムリソースの使用量を表示することもできます。

次のCLIコマンドの多くは、 Workload Security APIを使用して自動化することもできます。APIの使用を開始するには、 First Steps for Workload Security Automationを参照してください。

以下はCLIコマンドです。

dsa_control

あなたは、いくつかのエージェントを構成する dsa_control を使用して、手動でこのような活性化、アンチマルウェアスキャン、およびベースラインの再構築など、いくつかのアクションをトリガーすることができます。

Windowsでセルフプロテクションが有効になっている場合、ローカルユーザはAgentの管理、たとえばアンインストール、アップデート、停止などを行うことができません。また、CLIコマンドの実行時には、認証パスワードが必要となります。

Dsa_control 英語の文字列のみがサポートされます。Unicodeはサポートされていません。

dsa_controlを使用するには

Windowsの場合:

  1. 管理者としてコマンドプロンプトを開きます。
  2. エージェントのインストールディレクトリに移動します。たとえば、次のとおりです。
    cd C:\Program Files\Trend Micro\Deep Security Agent\
  3. dsa_controlを実行します。
    dsa_control <option>
    ここで、 <option> は、 dsa_controlのオプションで説明されているオプションのいずれかに置き換えられます。

Linuxの場合:

dsa_control options

dsa_control [-a <str>] [-b] [-c <str>] [-d] [-g <str>] [-s <num>] [-m] [-p <str>] [-r] [-R <str>] [-t <num>] [-u <str>:<str>] [-w <str>:<str>] [-x dsm_proxy://<str>] [-y relay_proxy://<str>] [--buildBaseline] [--scanForChanges] [Additional keyword:value data to send to Workload Security during activation or heartbeat...]

パラメータ Description
-a <str>, --activate=<str>

次の形式で指定されたURLのManagerに対して、Agentを有効化します。

dsm://<host>:<port>/

指定する項目は次のとおりです。

  • <host> には、マネージャの完全修飾ドメイン名(FQDN), IPv4アドレスまたはIPv6アドレス)を指定します。
  • <port> マネージャの待機中の ポート番号です。

必要に応じて、有効化中に送信する設定 (説明など) を、この引数に続けて指定することもできます。詳しくは、Agentからのハートビート有効化コマンド (「dsa_control -m」)を参照してください。パラメータはキー:値のペアとして入力する必要があります (セパレータにはコロンを使用します)。入力可能なキー:値のペアの数に制限はありませんが、キー:値のそれぞれのペアをスペースで区切る必要があります。キー:値のペアにスペースや特殊文字が含まれている場合は、キー:値のペアを引用符で囲む必要があります。

-b, --bundle アップデートバンドルを作成します。
-c <str>, --cert=<str> 証明書ファイルを特定します。
-d, --diag Agentパッケージを生成します。より詳細な手順については、 は、保護されたコンピュータにCLI経由でエージェント診断パッケージの作成を参照してください。
-g <str>, --agent=<str>

AgentのURLです。初期設定:

https://localhost:<port>/

どこに<port>マネージャーが聞いているポート番号

-m, --heartbeat Agentを今すぐ強制的にManagerに接続します。
-p <str> または --passwd=<str>

以前に Workload Security で設定した認証パスワード。詳細については、 Self-protectionの設定( Workload Security )を参照してください。設定されている場合、パスワードはすべてのdsa_controlコマンドに含める必要があります。除外dsa_control -adsa_control -x 、およびdsa_control -y

例: dsa_control -m -p MyPa$$w0rd

パスワードは、コマンドラインに直接入力した場合、画面上に表示されます。入力時にアスタリスク (*) でパスワードを非表示にするには、対話形式のコマンド -p *を入力します。パスワードの入力が求められます。

例:

dsa_control -m -p *

-r, --reset Agentの設定をリセットします。このコマンドにより、Agentから有効化情報が削除され、無効化されます。
-R <str>, --restore=<str> 隔離ファイルを復元します。 Windows版では、駆除したファイルや削除したファイルも復元できます。
-s <num>, --selfprotect=<num>

Agentセルフプロテクションを有効にします (1: 有効、0: 無効)。セルフプロテクションにより、ローカルのエンドユーザはAgentに対してアンインストールや停止などの制御ができなくなります。 詳細については、「Agentセルフプロテクションの有効化または無効化」を参照してください。この機能はWindows版でのみ使用できます。

セルフプロテクションはdsa_controlコマンドで有効化できますが、関連付けられた認証パスワードの設定にはそれには Workload Security が必要です。詳細については、 Self-protectionの設定( Workload Security )を参照してください。パスワードが設定されると、 -p または --passwd= オプションを使用してコマンドラインでパスワードを入力する必要があります。

-t <num>, --retries=<num> dsa_controlがエージェントサービスに接続して命令を実行できない場合、このパラメータはdsa_controlに対して<num>回数を再試行するように指示します。再試行は、1秒おきに実行されます。
-u <user>:<password>

プロキシが認証を要求する場合は、 -x オプションと組み合わせてプロキシのユーザ名とパスワードを指定します。ユーザ名とパスワードは、コロン (:)で区切ります。例: # ./dsa_control -x dsm_proxy://<str> -u <new username>:<new password>

ユーザ名とパスワードを削除するには、空の文字列( "")を入力します。例: # ./dsa_control -x dsm_proxy://<str> -u <existing username>:""

プロキシのユーザ名のみを変更せずにプロキシのパスワードのみをアップデートする場合は、 -xなしで -u オプションを使用できます。例: # ./dsa_control -u <existing username>:<new password>

基本認証のみ。Digest認証とNTLM認証はサポートされていません。

注意: 使用 dsa_control -u は、エージェントのローカル設定にのみ適用されます。このコマンドを実行した結果、マネージャ上でセキュリティポリシーが変更されません。

-w <user>:<password>

プロキシが認証を要求する場合は、 -y オプションと組み合わせて使用して、プロキシのユーザameおよびパスワードを指定します。ユーザ名とパスワードは、コロン (:)で区切ります。例: # ./dsa_control -y relay_proxy://<str> -w <new username>:<new password>

ユーザ名とパスワードを削除するには、空の文字列( "")を入力します。例: # ./dsa_control -y relay_proxy://<str> -w <existing username>:""

プロキシのユーザ名のみを変更せずにプロキシのパスワードのみをアップデートする場合は、 -yなしで -w オプションを使用できます。例: # ./dsa_control -w <existing username>:<new password>

-x dsm_proxy://<str>:<num> エージェントとマネージャの間にプロキシを設定します。プロキシのIPv4 / IPv6 アドレスまたはFQDNおよび ポート番号をコロン区切り (:)で区切って指定します。IPv6アドレスは角カッコで囲む必要があります。例: dsa_control -x "dsm_proxy://[fe80::340a:7671:64e7:14cc]:808/"。URLの代わりにアドレスを削除するには、空の文字列( "")を入力します。

-uオプションも参照してください。

詳細については、 Connect to Workload Security (プロキシ経由)を参照してください。

注意:  使用dsa_control -x は、エージェントのローカル設定にのみ適用されます。このコマンドを実行した結果、マネージャ上でセキュリティポリシーが変更されません。

-y relay_proxy://<str>:<num> エージェントとリレーの間にプロキシを設定します。プロキシのIP アドレスまたはFQDNと ポート番号をコロン区切り (:)で区切って指定します。IPv6アドレスは角カッコで囲む必要があります。例: dsa_control -y "relay_proxy://[fe80::340a:7671:64e7:14cc]:808/"。URLの代わりにアドレスを削除するには、空の文字列( "")を入力します。

-wオプションも参照してください。

詳細については、 プロキシ経由のリレーへの接続を参照してください。

注意:  使用dsa_control -y は、エージェントのローカル設定にのみ適用されます。このコマンドを実行した結果、マネージャ上でセキュリティポリシーが変更されません。

--buildBaseline 変更監視のベースラインを作成します。
--scanForChanges 変更監視の変更を検索します。
--max-dsm-retries 有効化を再試行する最大回数。0から100までの値を入力してください。初期設定値は30です。
--dsm-retry-interval 有効化を再試行する間隔 (秒)。1から3600までの値を入力してください初期設定値は300です。

Agentからのリモート有効化 (「dsa_control -a」)

エージェント起動アクティベーション(AIA)を有効にすると、マネージャとエージェント間の通信に問題が発生するのを防ぐことができ、配信スクリプトを使用してエージェントを簡単に配信できます。

AIAを設定し、インストールスクリプトを使用してAgentを有効化する方法については、「Agentからのリモート有効化およびAgentからの通信を使用してAgentを有効化して保護する」を参照してください。

このコマンドには次の形式を使用します。

dsa_control -a dsm://<host>:<port>/

指定する項目は次のとおりです。

  • <host> マネージャの完全修飾ドメイン名(FQDN), IPv4アドレス、またはIPv6アドレス)のいずれかになります。
  • <port> エージェントからマネージャへの通信 ポート番号 443です。

たとえば、次のとおりです。

dsa_control -a dsm://dsm.example.com:4120/ hostname:www12 "description:Long Description With Spaces"

dsa_control -a dsm://fe80::ad4a:af37:17cf:8937:4120

Agentからのハートビート有効化コマンド (「dsa_control -m」)

AgentからManagerに、ハートビートをただちに強制送信することができます。

有効化コマンドと同様、ハートビート有効化コマンドでも、実行中に設定をManagerに送信することができます。

パラメータ 説明 有効化中の使用 ハートビート中の使用
AntiMalwareCancelManualScan

ブール。

オンデマンド(「手動」) をキャンセルします。現在コンピュータで実行中です。

"AntiMalwareCancelManualScan:true" 不可
AntiMalwareManualScan

ブール。

 コンピュータでのオンデマンド(「手動」)不正プログラム検索を開始します。

"AntiMalwareManualScan:true" 不可
description

文字列。

コンピュータの説明を設定します。最大2000文字。

"description:Extra information about the host"
displayname

文字列。

[コンピュータ] のホスト名の横にカッコで囲んで表示される表示名を設定します。最大2000文字。

"displayname:the_name"
externalid

整数。

externalid 値を設定します。この値を使用して、Agentを一意に識別できます。この値には、従来のSOAP WebサービスAPIを使用してアクセスできます。

"externalid:123"
group

文字列。

[コンピュータ] 画面に表示される、コンピュータの属するグループを設定します。1つの階層レベルの1つのグループ名につき最大254文字。

スラッシュ(「/」)はグループ階層を示します。 group パラメータは、グループの階層を読み取りまたは作成できます。
このパラメータは、メインの[コンピュータ]ルートブランチ下の標準グループにコンピュータを追加する場合にのみ使用できます。ディレクトリ (Microsoft Active Directory)、VMware vCenter、またはクラウドプロバイダのアカウントに所属するグループにコンピュータを追加する場合には使用できません。

"group:Zone A web servers"
groupid

整数。

"groupid:33"
hostname

文字列。

最大254文字。

ホスト名には、マネージャがエージェントへの接続に使用できるIPアドレス、ホスト名、またはFQDNを指定できます。

"hostname:www1" 不可
IntegrityScan

ブール。

コンピュータで変更の検索を開始します。

"IntegrityScan:true" 不可
policy

文字列。

最大254文字。

ポリシー名は大文字と小文字が区別され、ポリシーリストに一致します。ポリシーが見つからない場合、ポリシーは割り当てられません。

イベントベースのタスクによって割り当てられたポリシーは、エージェント起動アクティベーション時に割り当てられたポリシーよりも優先されます。

"policy:Policy Name"
policyid

整数。

"policyid:12"
relaygroup

文字列。

コンピュータを特定のRelayグループにリンクします。最大254文字。

リレーグループ名は、既存のリレーグループ名と大文字と小文字が区別されます。Relayグループが見つからない場合は、初期設定のRelayグループが使用されます。

イベントベースのタスクで割り当てられるリレーグループには影響しません。このオプションまたはイベントベースタスクのどちらかを使用してください。

"relaygroup:Custom Relay Group"
relaygroupid

整数。

"relaygroupid:123"
relayid

整数。

"relayid:123"
tenantIDおよび token

文字列。

エージェント起動アクティベーションをテナントとして使用する場合は、 tenantIDtoken の両方が必要です。 tenantID および token は、配置スクリプト生成ツールから取得できます。

"tenantID:12651ADC-D4D5"

and

"token:8601626D-56EE"
RecommendationScan

ブール。

コンピュータで推奨設定の検索を開始します。

"RecommendationScan:true" 不可
UpdateComponent

ブール。

セキュリティ更新を実行するように Workload Security に指示します。

Deep Security Agent 12.0以降で UpdateComponent パラメータを使用する場合は、リレーもバージョン12.0以降であることを確認してください。詳細を表示

"UpdateComponent:true" 不可
RebuildBaseline

ブール。

コンピュータの 変更監視 ベースラインを再構築します。

"RebuildBaseline:true" 不可
UpdateConfiguration

ブール。

Workload Security に対して「ポリシーの送信」操作を実行するように指示します。

"UpdateConfiguration:true" 不可

Agentを有効化する

Agentをコマンドラインから有効化するには、テナントIDとパスワードが必要です。これらの情報はインストールスクリプトで確認できます。

  1. Workload Securityの右上隅にある[ Support]→[Deployment Scripts]の順にクリックします。
  2. プラットフォームを選択します。
  3. [インストール後にAgentを自動的に有効化] を選択します。
  4. 展開スクリプトで、 tenantID および tokenの文字列を指定します。
Windows

PowerShellの場合:

& $Env:ProgramFiles"\Trend Micro\Deep Security Agent\dsa_control" -a <manager URL> <tenant ID> <token>

cmd.exeの場合:

C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -a <manager URL> <tenant ID> <token>

Linux

/opt/ds_agent/dsa_control -a <manager URL> <tenant ID> <token>

Agentからのハートビート有効化コマンド

Windows

PowerShellの場合:

& "\Program Files\Trend Micro\Deep Security Agent\dsa_control" -m

cmd.exeの場合:

C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -m

Linux

/opt/ds_agent/dsa_control -m

不正プログラムの手動検索を開始する

Windows
  1. 管理者権限でコマンドプロンプト (cmd.exe) を開きます。
  2. 次のコマンドを入力します。

    cd C:\Program Files \ Trend Micro \ Deep Security Agent\

    dsa_control -m "AntiMalwareManualScan:true"

Linux

/opt/ds_agent/dsa_control -m "AntiMalwareManualScan:true"

診断パッケージを作成する

Deep Security Agentに関する問題のトラブルシューティングを行う必要がある場合に、コンピュータの診断パッケージを作成して送信するよう、サポート担当者から求められることがあります。詳細な手順については、「保護されているコンピュータでCLIを使用してAgentの診断パッケージを作成する」を参照してください。

Workload Security を使用してDeep Security Agentコンピュータの診断パッケージを作成できますが、 Agent / Appliance Initiated communicationsを使用するようにエージェントコンピュータが設定されている場合、マネージャは必要なログをすべて収集できません。そのため、テクニカルサポートから診断パッケージを要求された場合は、該当するAgentコンピュータで直接コマンドを実行する必要があります。

Agentをリセットする

このコマンドにより、ターゲットのAgentから有効化情報が削除され、無効化されます。

Windows

PowerShellの場合:

& "\Program Files\Trend Micro\Deep Security Agent\dsa_control" -r

cmd.exeの場合:

C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -r

Linux

/opt/ds_agent/dsa_control -r

dsa_query

エージェント情報を表示するには、 dsa_query コマンドを使用できます。

dsa_queryのオプション

dsa_query [-c <str>] [-p <str>] [-r <str]

パラメータ Description
-p,--passwd <string>

オプションのAgentセルフプロテクション機能で使用される認証パスワードです。セルフプロテクションを有効化した際にパスワードを指定した場合は必須となります。

一部のクエリコマンドでは認証を直接バイパスできます。このような場合、パスワードは必要ありません。

-c,--cmd <string>

Agentに対してクエリコマンドを実行します。次のコマンドがサポートされます。

  • "GetHostInfo":ハートビート中にどのIDがマネージャに返されるかをクエリします。
  • "GetAgentStatus":どの保護モジュールが有効になっているか、 不正プログラム対策 または 変更監視 検索のステータス、およびその他のその他の情報を照会します。
  • "GetComponentInfo":不正プログラム対策パターンファイルとエンジンのバージョン情報をクエリします。
  • "GetPluginVersion":エージェントおよび保護モジュールのバージョン情報をクエリします。

-r,--raw <string> "-c" と同じクエリコマンド情報を返します。ただし、サードパーティのソフトウェア解釈用の生データフォーマットです。
pattern

結果をフィルタするためのワイルドカードのパターンです(オプション)。

例:
dsa_query -c "GetComponentInfo" -r "au" "AM*"

CPU使用率とRAM使用量を確認する

Windows

タスクマネージャーまたはprocmonを使用します。

Linux

top

ds_agentプロセスまたはサービスが実行されていることを確認する

Windows

タスクマネージャーまたはprocmonを使用します。

Linux

ps -ef|grep ds_agent

LinuxでAgentを再起動する

service ds_agent restart

または

/etc/init.d/ds_agent restart

or

systemctl restart ds_agent

アクションの中には、-tenantnameパラメータまたはa-tenantidパラメータ。テナント名を使用すると実行エラーが発生する場合は、関連付けられたテナントIDを使用してコマンドを再度実行します。