このページのトピック
コマンドラインの基本
ローカルのコマンドラインインタフェース(CLI)を使用して、 Deep Security Agentと Workload Security の両方に多くの処理を実行できます。CLIではいくつかの設定を行い、システムリソースの使用量を表示することもできます。
次のCLIコマンドの多くは、 Workload Security APIを使用して自動化することもできます。APIの使用を開始するには、 First Steps for Workload Security Automationを参照してください。
以下はCLIコマンドです。
dsa_control
あなたは、いくつかのエージェントを構成する dsa_control を使用して、手動でこのような活性化、アンチマルウェアスキャン、およびベースラインの再構築など、いくつかのアクションをトリガーすることができます。
Windowsでセルフプロテクションが有効になっている場合、ローカルユーザはAgentの管理、たとえばアンインストール、アップデート、停止などを行うことができません。また、CLIコマンドの実行時には、認証パスワードが必要となります。
Dsa_control 英語の文字列のみがサポートされます。Unicodeはサポートされていません。
dsa_controlを使用するには
Windowsの場合:
- 管理者としてコマンドプロンプトを開きます。
- エージェントのインストールディレクトリに移動します。たとえば、次のとおりです。
cd C:\Program Files\Trend Micro\Deep Security Agent\ - dsa_controlを実行します。
dsa_control <option>
ここで、<option>は、 dsa_controlのオプションで説明されているオプションのいずれかに置き換えられます。
Linuxの場合:
sudo /opt/ds_agent/dsa_control <option>
ここで、<option>は、 dsa_controlのオプションで説明されているオプションのいずれかに置き換えられます。
dsa_control options
dsa_control [-a <str>] [-b] [-c <str>] [-d] [-g <str>] [-s <num>] [-m] [-p <str>] [-r] [-R <str>] [-t <num>] [-u <str>:<str>] [-w <str>:<str>] [-x dsm_proxy://<str>] [-y relay_proxy://<str>] [--buildBaseline] [--scanForChanges] [Additional keyword:value data to send to Workload Security during activation or heartbeat...]
| パラメータ | Description |
| -a <str>, --activate=<str> |
次の形式で指定されたURLのManagerに対して、Agentを有効化します。 dsm://<host>:<port>/ 指定する項目は次のとおりです。
必要に応じて、有効化中に送信する設定 (説明など) を、この引数に続けて指定することもできます。詳しくは、Agentからのハートビート有効化コマンド (「dsa_control -m」)を参照してください。パラメータはキー:値のペアとして入力する必要があります (セパレータにはコロンを使用します)。入力可能なキー:値のペアの数に制限はありませんが、キー:値のそれぞれのペアをスペースで区切る必要があります。キー:値のペアにスペースや特殊文字が含まれている場合は、キー:値のペアを引用符で囲む必要があります。 |
| -b, --bundle | アップデートバンドルを作成します。 |
| -c <str>, --cert=<str> | 証明書ファイルを特定します。 |
| -d, --diag | Agentパッケージを生成します。より詳細な手順については、 は、保護されたコンピュータにCLI経由でエージェント診断パッケージの作成を参照してください。 |
| -g <str>, --agent=<str> |
AgentのURLです。初期設定:
どこに |
| -m, --heartbeat | Agentを今すぐ強制的にManagerに接続します。 |
| -p <str> または --passwd=<str> |
以前に Workload Security で設定した認証パスワード。詳細については、 Self-protectionの設定( Workload Security )を参照してください。設定されている場合、パスワードはすべてのdsa_controlコマンドに含める必要があります。除外dsa_control -a 、dsa_control -x 、およびdsa_control -y 。 例: dsa_control -m -p MyPa$$w0rd パスワードは、コマンドラインに直接入力した場合、画面上に表示されます。入力時にアスタリスク (*) でパスワードを非表示にするには、対話形式のコマンド -p *を入力します。パスワードの入力が求められます。 例: dsa_control -m -p * |
| -r, --reset | Agentの設定をリセットします。このコマンドにより、Agentから有効化情報が削除され、無効化されます。 |
| -R <str>, --restore=<str> | 隔離ファイルを復元します。 Windows版では、駆除したファイルや削除したファイルも復元できます。 |
| -s <num>, --selfprotect=<num> |
Agentセルフプロテクションを有効にします (1: 有効、0: 無効)。セルフプロテクションにより、ローカルのエンドユーザはAgentに対してアンインストールや停止などの制御ができなくなります。 詳細については、「Agentセルフプロテクションの有効化または無効化」を参照してください。この機能はWindows版でのみ使用できます。 セルフプロテクションはdsa_controlコマンドで有効化できますが、関連付けられた認証パスワードの設定にはそれには Workload Security が必要です。詳細については、 Self-protectionの設定( Workload Security )を参照してください。パスワードが設定されると、 -p または --passwd= オプションを使用してコマンドラインでパスワードを入力する必要があります。 |
| -t <num>, --retries=<num> | dsa_controlがエージェントサービスに接続して命令を実行できない場合、このパラメータはdsa_controlに対して<num>回数を再試行するように指示します。再試行は、1秒おきに実行されます。 |
| -u <user>:<password> |
プロキシが認証を要求する場合は、 ユーザ名とパスワードを削除するには、空の文字列( "")を入力します。例: プロキシのユーザ名のみを変更せずにプロキシのパスワードのみをアップデートする場合は、 基本認証のみ。Digest認証とNTLM認証はサポートされていません。 注意: 使用 dsa_control -u は、エージェントのローカル設定にのみ適用されます。このコマンドを実行した結果、マネージャ上でセキュリティポリシーが変更されません。 |
| -w <user>:<password> |
プロキシが認証を要求する場合は、 ユーザ名とパスワードを削除するには、空の文字列( "")を入力します。例: プロキシのユーザ名のみを変更せずにプロキシのパスワードのみをアップデートする場合は、 |
| -x dsm_proxy://<str>:<num> | エージェントとマネージャの間にプロキシを設定します。プロキシのIPv4 / IPv6 アドレスまたはFQDNおよび ポート番号をコロン区切り (:)で区切って指定します。IPv6アドレスは角カッコで囲む必要があります。例: dsa_control -x "dsm_proxy://[fe80::340a:7671:64e7:14cc]:808/"。URLの代わりにアドレスを削除するには、空の文字列( "")を入力します。-uオプションも参照してください。 詳細については、 Connect to Workload Security (プロキシ経由)を参照してください。 注意: 使用dsa_control -x は、エージェントのローカル設定にのみ適用されます。このコマンドを実行した結果、マネージャ上でセキュリティポリシーが変更されません。 |
| -y relay_proxy://<str>:<num> | エージェントとリレーの間にプロキシを設定します。プロキシのIP アドレスまたはFQDNと ポート番号をコロン区切り (:)で区切って指定します。IPv6アドレスは角カッコで囲む必要があります。例: dsa_control -y "relay_proxy://[fe80::340a:7671:64e7:14cc]:808/"。URLの代わりにアドレスを削除するには、空の文字列( "")を入力します。 -wオプションも参照してください。 詳細については、 プロキシ経由のリレーへの接続を参照してください。 注意: 使用dsa_control -y は、エージェントのローカル設定にのみ適用されます。このコマンドを実行した結果、マネージャ上でセキュリティポリシーが変更されません。 |
| --buildBaseline | 変更監視のベースラインを作成します。 |
| --scanForChanges | 変更監視の変更を検索します。 |
| --max-dsm-retries | 有効化を再試行する最大回数。0から100までの値を入力してください。初期設定値は30です。 |
| --dsm-retry-interval | 有効化を再試行する間隔 (秒)。1から3600までの値を入力してください初期設定値は300です。 |
Agentからのリモート有効化 (「dsa_control -a」)
エージェント起動アクティベーション(AIA)を有効にすると、マネージャとエージェント間の通信に問題が発生するのを防ぐことができ、配信スクリプトを使用してエージェントを簡単に配信できます。
AIAを設定し、インストールスクリプトを使用してAgentを有効化する方法については、「Agentからのリモート有効化およびAgentからの通信を使用してAgentを有効化して保護する」を参照してください。
このコマンドには次の形式を使用します。
dsa_control -a dsm://<host>:<port>/
指定する項目は次のとおりです。
<host>マネージャの完全修飾ドメイン名(FQDN), IPv4アドレス、またはIPv6アドレス)のいずれかになります。<port>エージェントからマネージャへの通信 ポート番号 443です。
たとえば、次のとおりです。
dsa_control -a dsm://dsm.example.com:4120/ hostname:www12 "description:Long Description With Spaces"
dsa_control -a dsm://fe80::ad4a:af37:17cf:8937:4120
Agentからのハートビート有効化コマンド (「dsa_control -m」)
AgentからManagerに、ハートビートをただちに強制送信することができます。
有効化コマンドと同様、ハートビート有効化コマンドでも、実行中に設定をManagerに送信することができます。
| パラメータ | 説明 | 例 | 有効化中の使用 | ハートビート中の使用 |
| AntiMalwareCancelManualScan |
ブール。 オンデマンド(「手動」) をキャンセルします。現在コンピュータで実行中です。 |
"AntiMalwareCancelManualScan:true" | 不可 | 可 |
| AntiMalwareManualScan |
ブール。 コンピュータでのオンデマンド(「手動」)不正プログラム検索を開始します。 |
"AntiMalwareManualScan:true" | 不可 | 可 |
| description |
文字列。 コンピュータの説明を設定します。最大2000文字。 |
"description:Extra information about the host" | 可 | 可 |
| displayname |
文字列。 [コンピュータ] のホスト名の横にカッコで囲んで表示される表示名を設定します。最大2000文字。 |
"displayname:the_name" | 可 | 可 |
| externalid |
整数。 externalid 値を設定します。この値を使用して、Agentを一意に識別できます。この値には、従来のSOAP WebサービスAPIを使用してアクセスできます。 |
"externalid:123" | 可 | 可 |
| group |
文字列。 [コンピュータ] 画面に表示される、コンピュータの属するグループを設定します。1つの階層レベルの1つのグループ名につき最大254文字。
|
"group:Zone A web servers" | 可 | 可 |
| groupid |
整数。 |
"groupid:33" | 可 | 可 |
| hostname |
文字列。 最大254文字。
|
"hostname:www1" | 可 | 不可 |
| IntegrityScan |
ブール。 コンピュータで変更の検索を開始します。 |
"IntegrityScan:true" | 不可 | 可 |
| policy |
文字列。 最大254文字。
|
"policy:Policy Name"
|
可 | 可 |
| policyid |
整数。 |
"policyid:12" | 可 | 可 |
| relaygroup |
文字列。 コンピュータを特定のRelayグループにリンクします。最大254文字。
|
"relaygroup:Custom Relay Group"
|
可 | 可 |
| relaygroupid |
整数。 |
"relaygroupid:123" | 可 | 可 |
| relayid |
整数。 |
"relayid:123" | 可 | 可 |
| tenantIDおよび token |
文字列。 エージェント起動アクティベーションをテナントとして使用する場合は、 tenantID と token の両方が必要です。 tenantID および token は、配置スクリプト生成ツールから取得できます。 |
"tenantID:12651ADC-D4D5"
and "token:8601626D-56EE" |
可 | 可 |
| RecommendationScan |
ブール。 コンピュータで推奨設定の検索を開始します。 |
"RecommendationScan:true" | 不可 | 可 |
| UpdateComponent |
ブール。 セキュリティ更新を実行するように Workload Security に指示します。 Deep Security Agent 12.0以降で UpdateComponent パラメータを使用する場合は、リレーもバージョン12.0以降であることを確認してください。詳細を表示。 |
"UpdateComponent:true" | 不可 | 可 |
| RebuildBaseline |
ブール。 コンピュータの 変更監視 ベースラインを再構築します。 |
"RebuildBaseline:true" | 不可 | 可 |
| UpdateConfiguration |
ブール。 Workload Security に対して「ポリシーの送信」操作を実行するように指示します。 |
"UpdateConfiguration:true" | 不可 | 可 |
Agentを有効化する
Agentをコマンドラインから有効化するには、テナントIDとパスワードが必要です。これらの情報はインストールスクリプトで確認できます。
- Workload Securityの右上隅にある[ Support]→[Deployment Scripts]の順にクリックします。
- プラットフォームを選択します。
- [インストール後にAgentを自動的に有効化] を選択します。
- 展開スクリプトで、
tenantIDおよびtokenの文字列を指定します。
Windows
PowerShellの場合:
& $Env:ProgramFiles"\Trend Micro\Deep Security Agent\dsa_control" -a <manager URL> <tenant ID> <token>
cmd.exeの場合:
C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -a <manager URL> <tenant ID> <token>
Linux
/opt/ds_agent/dsa_control -a <manager URL> <tenant ID> <token>
Agentからのハートビート有効化コマンド
Windows
PowerShellの場合:
& "\Program Files\Trend Micro\Deep Security Agent\dsa_control" -m
cmd.exeの場合:
C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -m
Linux
/opt/ds_agent/dsa_control -m
不正プログラムの手動検索を開始する
Windows
- 管理者権限でコマンドプロンプト (cmd.exe) を開きます。
-
次のコマンドを入力します。
cd C:\Program Files \ Trend Micro \ Deep Security Agent\dsa_control -m "AntiMalwareManualScan:true"
Linux
/opt/ds_agent/dsa_control -m "AntiMalwareManualScan:true"
診断パッケージを作成する
Deep Security Agentに関する問題のトラブルシューティングを行う必要がある場合に、コンピュータの診断パッケージを作成して送信するよう、サポート担当者から求められることがあります。詳細な手順については、「保護されているコンピュータでCLIを使用してAgentの診断パッケージを作成する」を参照してください。
Workload Security を使用してDeep Security Agentコンピュータの診断パッケージを作成できますが、 Agent / Appliance Initiated communicationsを使用するようにエージェントコンピュータが設定されている場合、マネージャは必要なログをすべて収集できません。そのため、テクニカルサポートから診断パッケージを要求された場合は、該当するAgentコンピュータで直接コマンドを実行する必要があります。
Agentをリセットする
このコマンドにより、ターゲットのAgentから有効化情報が削除され、無効化されます。
Windows
PowerShellの場合:
& "\Program Files\Trend Micro\Deep Security Agent\dsa_control" -r
cmd.exeの場合:
C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -r
Linux
/opt/ds_agent/dsa_control -r
dsa_query
エージェント情報を表示するには、 dsa_query コマンドを使用できます。
dsa_queryのオプション
dsa_query [-c <str>] [-p <str>] [-r <str]
| パラメータ | Description |
| -p,--passwd <string> |
オプションのAgentセルフプロテクション機能で使用される認証パスワードです。セルフプロテクションを有効化した際にパスワードを指定した場合は必須となります。
一部のクエリコマンドでは認証を直接バイパスできます。このような場合、パスワードは必要ありません。
|
| -c,--cmd <string> |
Agentに対してクエリコマンドを実行します。次のコマンドがサポートされます。
|
| -r,--raw <string> | "-c" と同じクエリコマンド情報を返します。ただし、サードパーティのソフトウェア解釈用の生データフォーマットです。 |
| pattern |
結果をフィルタするためのワイルドカードのパターンです(オプション)。
例:
|
CPU使用率とRAM使用量を確認する
Windows
タスクマネージャーまたはprocmonを使用します。
Linux
top
ds_agentプロセスまたはサービスが実行されていることを確認する
Windows
タスクマネージャーまたはprocmonを使用します。
Linux
ps -ef|grep ds_agent
LinuxでAgentを再起動する
service ds_agent restart
または
/etc/init.d/ds_agent restart
or
systemctl restart ds_agent
アクションの中には、-tenantnameパラメータまたはa-tenantidパラメータ。テナント名を使用すると実行エラーが発生する場合は、関連付けられたテナントIDを使用してコマンドを再度実行します。