命令行工具
可以从本地命令行界面 (CLI) 指示趋势科技服务器深度安全防护系统客户端和趋势科技服务器深度安全防护系统管理中心执行许多操作。
有关基本命令行任务指令的示例,请参阅客户端任务的命令行基础知识。
在本主题中:
趋势科技服务器深度安全防护系统客户端
dsa_control 示例
可以使用 dsa_control -m 启动手动防恶意软件扫描。以下命令将强制系统立即执行波动信号操作,并且让管理中心启动扫描。
在 Windows 中:
- 以管理员身份打开命令提示符
- cd C:\Program Files\Trend Micro\Deep Security Agent\
- dsa_control -m "AntiMalwareManualScan:true"
在 Linux 中:
- /opt/ds_agent/dsa_control -m "AntiMalwareManualScan:true"
用法
dsa_control [-a <str>] [-b] [-c <str>] [-d] [-g <str>] [-s <num>] [-m] [-p <str>] [-r] [-R <str>] [-t <num>] [-u <str>:<str>] [-w <str>:<str>] [-x dsm_proxy://<str>] [-y relay_proxy://<str>] [--buildBaseline] [--scanForChanges] [激活或发出波动信号期间发送给管理中心的其他“关键字:值”数据...]
-
-a <str>, --activate=<str> 以指定的 URL 使用管理中心激活客户端。URL 格式必须为:
dsm://<host 或 IP>:<port>/
其中端口为管理中心的发现和波动信号端口号。
- -b, --bundle 创建更新包。
- -c <str>, --cert=<str> 标识证书文件。
- -d, --diag 生成客户端诊断数据包。
-
-g <str>, --agent=<str> 客户端 URL。缺省为:
https://localhost:<port>/
其中端口为管理中心的侦听端口号。
- -m, --heartbeat 要求客户端立即联系管理中心。
-
-p <str>, --passwd=<str> 认证密码。如果直接在命令行中键入密码,则密码会在窗口中显示。要在键入期间使用星号 (*) 隐藏密码,请输入交互式命令,这时系统会提示您输入密码:
dsa_control -p *
- -r, --reset 重置客户端配置。
- -R <str>, --restore=<str> 恢复隔离文件。(趋势科技服务器深度安全防护系统)
- -s <num>, --selfprotect=<num> 通过防止本地最终用户卸载、停止、或以其他方式控制客户端,在客户端上启用自我防护。启用自我防护时,命令行指令必须包含认证密码。(1: 启用,0:禁用)。此功能仅限于 Windows。
在趋势科技服务器深度安全防护系统 9.0 和较早版本中,此选项是 -H <num>, --harden=<num>
- -t <num>, --retries=<num> 如果 dsa_control 无法与客户端服务联系以执行附带的指令,此参数将指示 dsa_control 重试 <num> 次。各重试之间暂停一秒。
- -u <user>:<password> 如果客户端通过代理服务器连接至管理中心,请提供用冒号 (:) 隔开的代理服务器用户名和密码。
- -w <user>:<password> 如果客户端通过代理服务器连接至中继以获得安全更新和软件,请提供用冒号 (:) 隔开的代理服务器用户名和密码。
- -x dsm_proxy://<str>:<num> 如果客户端通过代理服务器连接至管理中心,请提供用冒号 (:) 隔开的代理服务器 IP 地址或 FQDN 和端口号。
- -y relay_proxy://<str>:<num> 如果客户端通过代理服务器连接至中继以获得安全更新和软件,请提供用冒号 (:) 隔开的代理服务器 IP 地址或 FQDN 和端口号。
- --buildBaseline 生成完整性监控基线
- --scanForChanges 扫描以发现完整性监控的更改
- --max-dsm-retries 激活重试次数。有效值在 0 和 100 之间(含 0 和 100)。缺省值为 30。
- --dsm-retry-interval 两次重新激活尝试之间的大致间隔时间(秒)。有效值在 1 和 3600 之间(含 0 和 3600)。缺省值为 300。
客户端启动的激活 ("dsa_control -a")
必须激活在计算机上安装的客户端,管理中心才能分配规则和策略,以保护计算机。激活过程包括在客户端和管理中心之间交换唯一的指纹。这确保了仅有一个管理中心(或其中一个管理中心节点)能够向客户端发送指令并与其进行通信。
可以通过右键单击“计算机”窗口中的计算机并选择操作 > 激活/重新激活,从管理中心手动激活客户端。
客户端可使用本地运行的命令行工具启动激活过程。向安装添加许多台计算机,并希望编写脚本以自动完成激活过程时,这非常有用。要启用客户端启动的激活,请转至管理 > 系统设置 > 客户端 ,然后选择允许客户端启动的激活。
最短激活指令包含激活命令和管理中心的 URL(包括端口号):
dsa_control -a dsm://<host>:<port>/
其中:
- -a 是激活客户端的命令,
- dsm://<host>:<port>/ 是将客户端指向管理中心的参数。(<host> 可以是管理中心的完全限定域名 (FQDN)、IPv4 地址或 IPv6 地址,而 <port> 是客户端与管理中心的通信端口号。)例如:
dsa_control -a dsm://fe80::ad4a:af37:17cf:8937:4120
主机名是唯一必需的参数。其他参数也可用(请参阅下面的可用参数表)。必须以键值对形式输入(使用冒号作为分隔符)。您可以输入任意数量的键值对,但必须用空格隔开各个键值对。例如:
dsa_control -a dsm://dsm-example-com:4120/ hostname:www12 "description:Long Description With Spaces"
(仅当您的值包含空格或特殊字符时才需要使用引号。)
通过代理服务器在专用网络上进行客户端启动的激活
专用网络上的客户端可以通过代理服务器与管理中心进行客户端启动的通信。
允许使用代理服务器在专用网络上进行客户端启动的激活:
- 在趋势科技服务器深度安全防护系统管理中心中,转至管理 > 系统设置 > 客户端。
- 在客户端启动的激活区域:
- 选择允许客户端启动的激活。
- 选择允许客户端指定主机名。
- 在如果同名计算机已存在列表中,选择“激活同名的新计算机”。
- 单击保存。
使用以下命令行选项来指示客户端通过代理服务器与管理中心进行通信:
| 语法 | 注释 |
|---|---|
dsa_control -x "dsm_proxy://<host or IP>/"
|
设置代理服务器的地址,客户端使用该代理服务器来与管理中心进行通信。 |
dsa_control -x ""
|
清除代理服务器地址。 |
dsa_control -u "<username:password>"
|
设置代理服务器用户名和密码。 |
dsa_control -u ""
|
清除代理服务器用户名和密码。 |
| 示例 | |
dsa_control -x "dsm_proxy://172.21.3.184:808/"
|
代理服务器 IPv4 地址。 |
dsa_control -x "dsm_proxy://squid:808/"
|
代理服务器主机名。 |
dsa_control -x "dsm_proxy://[fe80::340a:7671:64e7:14cc]:808/"
|
代理服务器 IPv6 地址。 |
dsa_control -u "root:Passw0rd!"
|
代理服务器认证为 "root",密码为 "Passw0rd!"(仅支持基本认证,不支持摘要和 NTLM)。 |
在客户端启动的激活的上下文中使用时,必须首先发出代理服务器命令,然后再发出客户端启动的激活命令。以下示例显示了设置代理服务器地址、设置代理服务器凭证和激活客户端的完整顺序:dsa_control -x "dsm_proxy://172.21.3.184:808/"dsa_control -u "root:Passw0rd!"dsa_control -a "dsm://dsm.example.com:4120/"趋势科技服务器深度安全防护系统管理中心中所需的设置
客户端启动的波动信号命令 ("dsa_control -m")
客户端启动的波动信号命令将指示客户端立即对管理中心执行波动信号操作。虽然就其本身而言该操作可能十分有用,但与上述激活命令一样,波动信号命令可用于将更多组参数传递给管理中心。
下表列出了可供激活和波动信号命令使用的参数。请注意,一些参数只能与激活或波动信号一起使用。
| 密钥 | 描述 | 示例 | 可在激活期间执行 | 可在波动信号期间激活后执行 | 值格式 | 注释 |
| AntiMalwareCancelManualScan | 取消当前在计算机上执行的按需 ("manual") 扫描。 | "AntiMalwareCancelManualScan:true" | 否 | 是 | 布尔值 |
|
| AntiMalwareManualScan | 启动对计算机的按需 ("manual") 防恶意软件扫描。 | "AntiMalwareManualScan:true" | 否 | 是 | 布尔值 |
|
| description | 设置 description 值。 | "description:Extra information about the host" | 是 | 是 | 字符串 | 最大长度 2000 个字符。 |
| displayname | 设置 displayname 值。(显示在主机名旁边的圆括号中。) | "displayname:the_name" | 是 | 是 | 字符串 | 最大长度 2000 个字符。 |
| externalid | 设置 externalid 值 | "externalid:123" | 是 | 是 | 整数 | 此值可用于唯一标识客户端。可使用 SOAP Web 服务 API 来访问该值。 |
| group | 设置“计算机”页面上计算机所属的组。 | "group:Zone A web servers" | 是 | 是 | 字符串 | 每个层次结构级别的每个组名的最大长度为 254 个字符。 正斜杠 ("/") 表示组层次结构。group 参数可以读取或创建组层次结构。 此参数只能用于将计算机添加到主“计算机”根分支下的标准组中。无法用于将计算机添加到属于目录 (MS Active Directory)、VMware vCenter 或云提供程序帐户的组中。 |
| groupid |
|
"groupid:33" | 是 | 是 | 整数 |
|
| hostname |
|
"hostname:www1" | 是 | 否 | 字符串 | 最大长度 254 个字符。 主机名可以指定最适用于与管理中心的计算机列表中的计算机联系的 IP 地址、主机名或 FQDN。 |
| IntegrityScan | 对计算机启动完整性扫描。 | "IntegrityScan:true" | 否 | 是 | 布尔值 |
|
| policy |
|
"policy:Policy Name" |
是 | 是 | 字符串 | 最大长度 254 个字符。 策略名称在不区分大小写时与策略列表匹配。如果找不到策略,将不会分配策略。 由基于事件的任务分配的策略将覆盖在客户端启动的激活期间分配的策略。 |
| policyid |
|
"policyid:12" | 是 | 是 | 整数 |
|
| relaygroup | 将计算机链接到特定中继组。 | "relaygroup:Custom Relay Group" |
是 | 是 | 字符串 | 最大长度 254 个字符。 中继组名称在不区分大小写时与现有中继组名称匹配。如果找不到中继组,将使用缺省中继组。 这不会影响在基于事件的任务期间分配的中继组。使用此选项或基于事件的任务,不可同时使用两者。 |
| relaygroupid |
|
"relaygroupid:123" | 是 | 是 | 整数 |
|
| relayid |
|
"relayid:123" | 是 | 是 | 整数 |
|
| tenantID 和 token |
|
"tenantID:12651ADC-D4D5" 和 "token:8601626D-56EE" |
是 | 是 | 字符串 | 如果作为租户使用客户端启动的激活,则需要同时提供 tenantID 和 token。可通过部署脚本生成工具获得 tenantID 和 token。 |
| RecommendationScan | 在计算机上启动“漏洞扫描 (推荐设置)”。 | "RecommendationScan:true" | 否 | 是 | 布尔值 |
|
| UpdateComponent | 指示管理中心执行安全更新。 | "UpdateComponent:true" | 否 | 是 | 布尔值 |
|
| RebuildBaseline | 在计算机上重新生成完整性监控基线。 | "RebuildBaseline:true" | 否 | 是 | 布尔值 |
|
| UpdateConfiguration | 指示趋势科技服务器深度安全防护系统管理中心执行“发送策略”操作。 | "UpdateConfiguration:true" | 否 | 是 | 布尔值 |
|
dsa_query
dsa_query 命令提供以下信息:
- 每个组件的使用授权状态
- 扫描进度
- 安全更新组件的版本信息
用法
dsa_query [-c <str>] [-p <str>] [-r <str]
- -p,--passwd <string>:认证密码。启用客户端自我防护时需要使用。
对于一些查询命令,会直接绕过认证,在这种情况下不需要使用密码。
- -c,--cmd <string>:对客户端执行查询命令。支持以下命令:
- "GetHostInfo":查询哪个身份在波动信号期间返回到管理中心
- "GetAgentStatus":查询哪些防护模块被启用以及其他杂项信息
- "GetComponentInfo":查询防恶意软件特征码和引擎的版本信息
- -r,--raw <string>:返回与 "-c" 相同的查询命令信息,但使用原始数据格式进行第三方软件解释。
特征码: 用来过滤结果的通配符特征码。可选。
示例:
dsa_query -c "GetComponentInfo" -r "au" "AM*"
趋势科技服务器深度安全防护系统管理中心
仅适用于本地趋势科技服务器深度安全防护系统软件安装
dsm_c
用法
dsm_c -action actionname
要输出命令相关帮助,请使用 -h 选项:dsm_c -h
下表中显示的所有包含在括号内的参数都是必需的。
某些操作要求使用-tenantname 参数或 -tenantid 参数。如果使用租户名称时出现执行问题,请使用租户 ID 尝试执行命令。| 操作名称 | 描述 | 用法 |
|---|---|---|
| addcert | 添加信任证书 | dsm_c -action addcert -purpose PURPOSE -cert CERT |
| addregion | 添加私有云提供程序区域 | dsm_c -action addregion -region REGION -display DISPLAY -endpoint ENDPOINT |
| changesetting | 更改设置 | dsm_c -action changesetting -name NAME -value VALUE [-computerid COMPUTERID] [-computername COMPUTERNAME] [-policyid POLICYID] [-policyname POLICYNAME] [-tenantname TENANTNAME | -tenantid TENANTID] |
| createinsertstatements | 创建插入语句(用于导出到其他数据库) | dsm_c -action createinsertstatements [-file FILEPATH] [-generateDDL] [-databaseType sqlserver|oracle] [-maxresultfromdb count] [-tenantname TENANTNAME | -tenantid TENANTID] |
| diagnostic | 创建系统的诊断数据包 | dsm_c -action diagnostic [-verbose 0|1] |
| fullaccess | 为管理员提供完全访问权限角色 | dsm_c -action fullaccess -username USERNAME [-tenantname TENANTNAME | -tenantid TENANTID] |
| listcerts | 列出信任证书 | dsm_c -action listcerts [-purpose PURPOSE] |
| listregions | 列出私有云提供程序区域 | dsm_c -action listregions |
| removecert | 移除信任证书 | dsm_c -action removecert -id ID |
| removeregion | 移除私有云提供程序区域 | dsm_c -action removeregion -region REGION |
| resetcounters | 重置计数器表(重置回空状态) | dsm_c -action resetcounters [-tenantname TENANTNAME | -tenantid TENANTID] |
| resetevents | 重置事件表(重置回空状态) | dsm_c -action resetevents -type all|am|wrs|fw|dpi|im|li[-tenantname TENANTNAME | -tenantid TENANTID] |
| setports | 设置趋势科技服务器深度安全防护系统管理中心端口 | dsm_c -action setports [-managerPort port] [-heartbeatPort port] |
| trustdirectorycert | 信任目录的证书 | dsm_c -action trustdirectorycert -directoryaddress DIRECTORYADDRESS -directoryport DIRECTORYPORT [-username USERNAME] [-password PASSWORD] [-tenantname TENANTNAME | -tenantid TENANTID] |
| unlockout | 解锁用户帐户 | dsm_c -action unlockout -username USERNAME [-newpassword NEWPASSWORD] [-disablemfa] |
| viewsetting | 查看设置值 | dsm_c -action viewsetting -name NAME [-computerid COMPUTERID] [-computername COMPUTERNAME] [-policyid POLICYID] [-policyname POLICYNAME] [-tenantname TENANTNAME | -tenantid TENANTID] |
返回代码
dsm_c 命令会返回一个整数值,指示命令是否执行成功。可以返回以下值:
- 0:成功执行
- -1:因未知原因执行失败,例如软件安装已损坏。
- 1:执行期间失败,例如数据库无法访问。
- 2:提供了无效参数。
