コマンドラインの基本

ローカルのコマンドラインインタフェース (CLI) から、Deep Security AgentとDeep Security Managerに対して数々の処理を実行するように指示できます。CLIではいくつかの設定を行い、システムリソースの使用量を表示することもできます。

また、以下のCLIコマンドの多くは、Deep Security APIを使用して自動化することが可能です。このAPIの使用を開始するには、Deep Security Automation Centerにあるガイド「First Steps Toward Deep Security Automation」を参照してください。

次にコマンドの構文と例を示します。

Deep Security Agent

Windowsでセルフプロテクションが有効になっている場合、ローカルユーザはAgentの管理、たとえばアンインストール、アップデート、停止などを行うことができません。また、CLIコマンドの実行時には、認証パスワードが必要となります。

dsa_control

Dsa_control は、英語の文字列のみをサポートします。Unicodeはサポートされていません。

dsa_controlを使用してAgentの設定を行い、有効化、不正プログラム検索、またはベースライン再構築などの処理を手動で開始できます。

Windowsの場合:

  • 管理者権限でコマンドプロンプトを開きます。
  • cd C:\Program Files\Trend Micro\Deep Security Agent\
  • dsa_control -m "AntiMalwareManualScan:true"

Linuxの場合:

  • sudo /opt/ds_agent/dsa_control -m "AntiMalwareManualScan:true"

使用方法

dsa_control [-a <str>] [-b] [-c <str>] [-d] [-g <str>] [-s <num>] [-m] [-p <str>] [-r] [-R <str>] [-t <num>] [-u <str>:<str>] [-w <str>:<str>] [-x dsm_proxy://<str>] [-y relay_proxy://<str>] [--buildBaseline] [--scanForChanges] [Additional keyword:value data to send to manager during activation or heartbeat...]

パラメータ Description
-a <str>, --activate=<str>

次の形式で指定されたURLのManagerに対して、Agentを有効化します。

dsm://<host>:<port>/

指定する項目は次のとおりです。

  • <ホスト> にはManagerの完全修飾ドメイン名 (FQDN)、IPv4アドレス、またはIPv6アドレスを入力します。
  • <ポート>にはManagerの待機ポート番号を入力します。

必要に応じて、有効化中に送信する設定 (説明など) を、この引数に続けて指定することもできます。詳しくは、Agentからのハートビート有効化コマンド (「dsa_control -m」)を参照してください。パラメータはキー:値のペアとして入力する必要があります (セパレータにはコロンを使用します)。入力可能なキー:値のペアの数に制限はありませんが、キー:値のそれぞれのペアをスペースで区切る必要があります。キー:値のペアにスペースや特殊文字が含まれている場合は、キー:値のペアを引用符で囲む必要があります。

-b, --bundle アップデートバンドルを作成します。
-c <str>, --cert=<str> 証明書ファイルを特定します。
-d, --diag Agentパッケージを生成します。詳細な手順については、保護されているコンピュータでCLIを使用してAgentの診断パッケージを作成するを参照してください。
-g <str>, --agent=<str>

AgentのURLです。初期設定:

https://localhost:<port>/

にはManagerの待機ポート番号を入力します。

-m, --heartbeat Agentを今すぐ強制的にManagerに接続します。
-p <str>、--passwd=<str>

認証パスワードです。Deep Security Managerで以前に設定されている可能性があります。詳細については、Deep Security Managerを介してセルフプロテクションを設定するを参照してください。設定されている場合は、dsa_control -adsa_control -x、およびdsa_control -yを除くdsa_controlコマンドすべてにパスワードを含める必要があります。

例: dsa_control -m -p MyPa$$w0rd

パスワードは、コマンドラインに直接入力した場合、画面上に表示されます。入力中のパスワードをアスタリスク (*) にして非表示にする場合は、対話形式のコマンド-p *を入力します。この場合、パスワードの入力を求めるプロンプトが表示されます。

例:

dsa_control -m -p *

-r, --reset Agentの設定をリセットします。このコマンドにより、Agentから有効化情報が削除され、無効化されます。
-R <str>, --restore=<str> 隔離ファイルを復元します。Windows版では、駆除したファイルや削除したファイルも復元できます。
-s <num>, --selfprotect=<num>

Agentセルフプロテクションを有効にします (1: 有効、0: 無効)。セルフプロテクションにより、ローカルのエンドユーザはAgentに対してアンインストールや停止などの制御ができなくなります。詳細については、Agentセルフプロテクションの有効化または無効化を参照してください。この機能はWindows版でのみ使用できます。

セルフプロテクションはdsa_controlコマンドで有効化できますが、関連付けられた認証パスワードの設定にはDeep Security Managerを使用する必要があります。詳細については、Deep Security Managerを介してセルフプロテクションを設定するを参照してください。パスワードは、設定後は-pまたは--passwd=オプションを使用してコマンドラインに入力する必要があります。

Deep Security 9.0以前では、このオプションは、-H <num>, --harden=<num>でした。
-t <num>, --retries=<num> Agentサービスに接続してdsa_controlコマンドの指示を実行できない場合に、dsa_controlを再試行する回数 (<num>) を設定します。再試行は、1秒おきに実行されます。
-u <user>:<password>

プロキシが認証を要求する場合は、 -x オプションと組み合わせてプロキシのユーザ名とパスワードを指定します。ユーザ名とパスワードは、コロン (:)で区切ります。例: # ./dsa_control -x dsm_proxy://<str> -u <new username>:<new password>

ユーザ名とパスワードを削除するには、空の文字列( "")を入力します。例: # ./dsa_control -x dsm_proxy://<str> -u <existing username>:""

プロキシのユーザ名のみを変更せずにプロキシのパスワードのみをアップデートする場合は、 -xなしで -u オプションを使用できます。例: # ./dsa_control -u <existing username>:<new password>

基本認証のみ。Digest認証とNTLM認証はサポートされていません。

注意: dsa_control -u の使用は、エージェントのローカル設定にのみ適用されます。このコマンドを実行した結果、マネージャ上でセキュリティポリシーが変更されません。

-w <user>:<password>

プロキシが認証を要求する場合は、 -y オプションと組み合わせてプロキシのユーザ名とパスワードを指定します。ユーザ名とパスワードは、コロン (:)で区切ります。例: # ./dsa_control -y dsm_proxy://<str> -w <new username>:<new password>

ユーザ名とパスワードを削除するには、空の文字列( "")を入力します。例: # ./dsa_control -y dsm_proxy://<str> -w <existing username>:""

プロキシのユーザ名のみを変更せずにプロキシのパスワードのみをアップデートする場合は、 -yなしで -w オプションを使用できます。例: # ./dsa_control -w <existing username>:<new password>

注意: dsa_control -w の使用は、エージェントのローカル設定にのみ適用されます。このコマンドを実行した結果、マネージャ上でセキュリティポリシーが変更されません。

-x dsm_proxy://<str>:<num> Agentがプロキシ経由でManagerに接続する場合は、プロキシのIPv4/IPv6アドレスまたはFQDNと、ポート番号をコロン (:) で区切って入力します。URLではなくアドレスを削除するには、空の文字列 ("") を入力します。IPv6アドレスは角カッコで囲む必要があります。次に例を示します。dsa_control -x "dsm_proxy://[fe80::340a:7671:64e7:14cc]:808/"
-y relay_proxy://<str>:<num> Agentがセキュリティアップデートやソフトウェアを実行する際にプロキシ経由でRelayに接続する場合は、プロキシのIPアドレスまたはFQDNと、ポート番号をコロン (:) で区切って入力します。
--buildBaseline 変更監視のベースラインを構築します。
--scanForChanges 変更監視の変更を検索します。
--max-dsm-retries 有効化を再試行する最大回数。0から100までの値を入力してください。初期設定値は30です。
--dsm-retry-interval 有効化を再試行する間隔 (秒)。1から3600までの値を入力してください初期設定値は300です。

 

Agentからのリモート有効化 (「dsa_control -a」)

Agentからのリモート有効化 (AIA) を有効にすると、ManagerとAgent間の通信の問題を防ぐことができます。また、インストールスクリプトと共に使用すると、Agentのインストールを簡略化できます。

AIAを設定し、インストールスクリプトを使用してAgentを有効化する方法については、Agentからのリモート有効化およびAgentからの通信を使用してAgentを有効化して保護するを参照してください。

このコマンドには次の形式を使用します。

dsa_control -a dsm://<host>:<port>/

指定する項目は次のとおりです。

  • <ホスト> にはManagerの完全修飾ドメイン名 (FQDN)、IPv4アドレス、またはIPv6アドレスを入力します。
  • <ポート>はAgentからManagerへの通信ポート番号です (初期設定は4120)。

次に例を示します。

dsa_control -a dsm://dsm.example.com:4120/ hostname:www12 "description:Long Description With Spaces"

dsa_control -a dsm://fe80::ad4a:af37:17cf:8937:4120

Agentからのハートビート有効化コマンド (「dsa_control -m」)

AgentからManagerに、ハートビートをただちに強制送信することができます。

有効化コマンドと同様、ハートビート有効化コマンドでも、実行中に設定をManagerに送信することができます。

パラメータ 説明 有効化中の使用 ハートビート中の使用
AntiMalwareCancelManualScan

ブール。

コンピュータ上で実行されている手動検索をキャンセルします。

"AntiMalwareCancelManualScan:true" 不可
AntiMalwareManualScan

ブール。

コンピュータに対して手動の不正プログラム検索を開始します。

"AntiMalwareManualScan:true" 不可
description

文字列。

コンピュータの説明を設定します。最大2000文字。

"description:ホストの追加情報"
displayname

文字列。

[コンピュータ] のホスト名の横にカッコで囲んで表示される表示名を設定します。最大2000文字。

"displayname:名前"
externalid

整数。

externalid値を設定します。この値を使用して、Agentを一意に識別できます。この値には、従来のSOAP WebサービスAPIを使用してアクセスできます。

"externalid:123"
group

文字列。

[コンピュータ] 画面に表示される、コンピュータの属するグループを設定します。1つの階層レベルの1つのグループ名につき最大254文字。

スラッシュ (「/」) はグループの階層を示します。groupパラメータはグループの階層を読み取ったり、作成したりできます。
このパラメータは、メインの「コンピュータ」ルートブランチの下位にある標準のグループにコンピュータを追加する場合にのみ使用できます。ディレクトリ (Microsoft Active Directory)、VMware vCenter、またはクラウドプロバイダのアカウントに所属するグループにコンピュータを追加する場合には使用できません。

"group:ゾーンAのWebサーバ"
groupid

整数。

"groupid:33"
hostname

文字列。

最大254文字。

ManagerがAgentに接続する際に使用するIPアドレス、ホスト名、またはFQDNを指定します。

"hostname:www1" 不可
IntegrityScan

ブール。

コンピュータで変更の検索を開始します。

"IntegrityScan:true" 不可
policy

文字列。

最大254文字。

ポリシー名とポリシーリストの大文字と小文字は区別しません。ポリシーが見つからない場合、ポリシーは割り当てられません。

イベントベースタスクによって割り当てられるポリシーは、Agentからのリモート有効化中に割り当てられるポリシーをオーバーライドします。

"policy:ポリシー名"
policyid

整数。

"policyid:12"
relaygroup

文字列。

コンピュータを特定のRelayグループにリンクします。最大254文字。

Relayグループ名と既存のRelayグループ名の大文字と小文字は区別しません。Relayグループが見つからない場合は、初期設定のRelayグループが使用されます。

これは、イベントベースタスクの際に割り当てられるRelayグループには影響を与えません。このオプションまたはイベントベースタスクのどちらかを使用してください。

"relaygroup:カスタムRelayグループ"
relaygroupid

整数。

"relaygroupid:123"
relayid

整数。

"relayid:123"
tenantIDtoken

文字列。

Agentからのリモート有効化をテナントとして使用する場合は、tenantIDtokenの両方が必要です。tenantIDtokenはインストールスクリプト生成ツールから取得できます。

"tenantID:12651ADC-D4D5"

および

"token:8601626D-56EE"
RecommendationScan

ブール。

コンピュータで推奨設定の検索を開始します。

"RecommendationScan:true" 不可
UpdateComponent

ブール。

セキュリティアップデートの実行をDeep Security Managerに指示します。

Deep Security Agent 12.0以降でUpdateComponentパラメータを使用する場合は、Deep Security Relayもバージョン12.0以降であることを確認してください。詳細を表示

"UpdateComponent:true" 不可
RebuildBaseline

ブール。

コンピュータに変更監視ベースラインを再構築します。

"RebuildBaseline:true" 不可
UpdateConfiguration

ブール。

「ポリシーの送信」処理を実行するようにDeep Security Managerに指示します。

"UpdateConfiguration:true" 不可

Agentを有効化する

Agentをコマンドラインから有効化するには、テナントIDとパスワードが必要です。これらの情報はインストールスクリプトで確認できます。

  1. Deep Security Managerの画面右上で、[サポート情報]→[インストールスクリプト] の順にクリックします。
  2. プラットフォームを選択します。
  3. [インストール後にAgentを自動的に有効化] を選択します。
  4. インストールスクリプトで、tenantIDtokenの文字列を探します。

Windows

PowerShellの場合:

& $Env:ProgramFiles"\Trend Micro\Deep Security Agent\dsa_control" -a <manager URL> <tenant ID> <token>

cmd.exeの場合:

C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -a <manager URL> <tenant ID> <token>

Linux

/opt/ds_agent/dsa_control -a <manager URL> <tenant ID> <token>

不正プログラム対策およびルールアップデート用にプロキシを設定する

Agentをプロキシ経由でRelayに接続する必要がある場合は、プロキシ接続を設定する必要があります。

Windows
  1. 管理者権限でコマンドプロンプト (cmd.exe) を開きます。
  2. 次のコマンドを入力します。

    cd C:\Program Files\Trend Micro\Deep Security Agent\

    dsa_control -w myUserName:MTPassw0rd

    dsa_control -y relay_proxy://squid.example.com:443

Linux

/opt/ds_agent/dsa_control -w myUserName:MTPassw0rd

/opt/ds_agent/dsa_control -y relay_proxy://squid.example.com:443

Managerへの接続用にプロキシを設定する

Agentをプロキシ経由でManagerに接続する必要がある場合は、プロキシ接続を設定する必要があります。

Windows
  1. 管理者権限でコマンドプロンプト (cmd.exe) を開きます。
  2. 次のコマンドを入力します。

    cd C:\Program Files\Trend Micro\Deep Security Agent\

    dsa_control -u myUserName:MTPassw0rd

    dsa_control -x dsm_proxy://squid.example.com:443

Linux

/opt/ds_agent/dsa_control -u myUserName:MTPassw0rd

/opt/ds_agent/dsa_control -x dsm_proxy://squid.example.com:443

Agentからのハートビート有効化コマンド

Windows

PowerShellの場合:

& "\Program Files\Trend Micro\Deep Security Agent\dsa_control" -m

cmd.exeの場合:

C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -m

Linux

/opt/ds_agent/dsa_control -m

不正プログラムの手動検索を開始する

Windows
  1. 管理者権限でコマンドプロンプト (cmd.exe) を開きます。
  2. 次のコマンドを入力します。

    cd C:\Program Files\Trend Micro\Deep Security Agent\

    dsa_control -m "AntiMalwareManualScan:true"

Linux

/opt/ds_agent/dsa_control -m "AntiMalwareManualScan:true"

診断パッケージを作成する

Deep Security Agentに関する問題のトラブルシューティングを行う必要がある場合に、コンピュータの診断パッケージを作成して送信するよう、サポート担当者から求められることがあります。詳細な手順については、保護されているコンピュータでCLIを使用してAgentの診断パッケージを作成するを参照してください。

Deep Security Agentコンピュータの診断パッケージはDeep Security Managerから作成できますが、AgentコンピュータがAgent/Applianceによって開始される通信を使用するよう設定されている場合は、Managerは必要なログの一部を収集できません。そのため、テクニカルサポートから診断パッケージを要求された場合は、該当するAgentコンピュータで直接コマンドを実行する必要があります。

Agentをリセットする

このコマンドにより、ターゲットのAgentから有効化情報が削除され、無効化されます。

Windows

PowerShellの場合:

& "\Program Files\Trend Micro\Deep Security Agent\dsa_control" -r

cmd.exeの場合:

C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -r

Linux

/opt/ds_agent/dsa_control -r

dsa_query

エージェント情報を表示するには、 dsa_query コマンドを使用できます。

使用方法

dsa_query [-c <str>] [-p <str>] [-r <str]

パラメータ Description
-p,--passwd <string>

オプションのAgentセルフプロテクション機能で使用される認証パスワードです。セルフプロテクションを有効化した際にパスワードを指定した場合は必須となります。

一部のクエリコマンドでは認証を直接バイパスできます。このような場合、パスワードは必要ありません。

-c,--cmd <string>

Agentに対してクエリコマンドを実行します。次のコマンドがサポートされます。

  • "GetHostInfo": ハートビート中にManagerに返されるIDを照会します。
  • "GetAgentStatus":どの保護モジュールが有効になっているかを検索します. 不正プログラム対策 および 変更監視 検索のステータス、その他のその他の情報を照会します。
  • "GetComponentInfo": 不正プログラム対策のパターンおよびエンジンのバージョン情報を照会します。
  • "GetPluginVersion": Agentと保護モジュールのバージョン情報を照会します。

-r,--raw <string> 「-c」と同じクエリコマンドの情報を返しますが、サードパーティのソフトウェアで解釈できるように未加工のデータ形式で出力します。
pattern

結果をフィルタするためのワイルドカードのパターンです(オプション)。

例:
dsa_query -c "GetComponentInfo" -r "au" "AM*"

 

CPU使用率とRAM使用量を確認する

Windows

タスクマネージャーまたはprocmonを使用します。

Linux

top

ds_agentプロセスまたはサービスが実行されていることを確認する

Windows

タスクマネージャーまたはprocmonを使用します。

Linux

ps -ef|grep ds_agent

LinuxでAgentを再起動する

service ds_agent restart

または

/etc/init.d/ds_agent restart

or

systemctl restart ds_agent

一部の処理には-tenantnameパラメータまたは-tenantidパラメータのいずれかが必要です。テナント名を使用すると実行エラーが発生する場合は、関連付けられたテナントIDを使用してコマンドを再度実行します。

Deep Security Manager

コマンドを使用して、Managerでいくつかの設定を行い、ユーザアカウントをロック解除できます。

一部のコマンドではDeep Security Managerが再起動することがあります。コマンドが実行されたら、Deep Security Managerが再起動したことを確認します。

使用方法

dsm_c -action actionname

コマンドのヘルプを表示するには、-hオプションを使用します。dsm_c -h

次の表のカッコで囲まれたパラメータは、すべて必須パラメータです。

一部の処理には-tenantnameパラメータまたは-tenantidパラメータのいずれかが必要です。テナント名を使用すると実行エラーが発生する場合は、関連付けられたテナントIDを使用してコマンドを再度実行します。

処理名 Description 使用方法
addcert 信頼済み証明書を追加します。 dsm_c -action addcert -purpose 目的 -cert 証明書
addregion プライベートクラウドプロバイダのリージョンを追加します。 dsm_c -action addregion -region REGION -display DISPLAY -endpoint ENDPOINT
changesetting

設定を変更します。

このコマンドの実行前に環境をバックアップしてください。この設定による影響を理解している場合を除いては、このコマンドは使用しないでください。誤った設定により、サービスが利用不可能となったり、データが読み取り不能となったりすることがあります。このコマンドを使用するのは通常、テクニカルサポートから依頼された場合のみです。この場合、どの設定の名前を変更するか指示があります。通常の処理でこのコマンドの使用が必要となることもあります。その場合、設定方法はドキュメント内の該当セクション (masterkey など) に記載されています。

dsm_c -action changesetting -name 名前 [-value 値 | -valuefile ファイル名] [-computerid コンピュータID] [-computername コンピュータ名] [-policyid ポリシーID] [-policyname ポリシー名] [-tenantname テナント名 | -tenantid テナントID]
createinsertstatements 別のデータベースへのエクスポートに使用するinsert文を作成します。 dsm_c -action createinsertstatements [-file ファイルパス] [-generateDDL] [-databaseType sqlserver|oracle] [-maxresultfromdb 数] [-tenantname テナント名 | -tenantid テナントID]
diagnostic

システム用の診断パッケージを作成します。

必要に応じて、詳細な診断パッケージのプロセスメモリを増やすことができます。

dsm_c -action diagnostic [-verbose 0|1] [-tenantname テナント名 | -tenantid テナントID]
fullaccess 管理者にFull Accessの役割を与えます。 dsm_c -action fullaccess -username ユーザ名 [-tenantname テナント名 | -tenantid テナントID]
listcerts 信頼済み証明書を一覧表示します。 dsm_c -action listcerts [-purpose PURPOSE]
listregions プライベートクラウドプロバイダのリージョンを一覧表示します。 dsm_c -action listregions
masterkey

カスタムのマスターキーを生成、インポート、エクスポート、または使用して、以下を暗号化します。

  • データベースのパスワード
  • Keystoreパスワード
  • 個人データ
カスタムのマスターキーが設定されていない場合、Deep Securityではハードコードされたシードが使用されます。個人データは、初期設定では暗号化されません。

新規インストール時にカスタムのマスターキーを設定した場合は、セットアップがすでにインストーラにより行われています。マスターキーの生成をスキップしていて、その設定を今行う必要がある場合は、手順1のコマンドから開始して、順番にすべてのコマンドを入力してください。

アップグレード時にマスターキーを設定した場合は、データベースとプロパティファイルをバックアップして、手順4のコマンドから開始してください。

  1. dsm_c -action masterkey -subaction [generatekmskey -arn AWSARN | generatelocalkey] - Key Management System (KMS) キーのAmazon Resource Name (ARN) か、LOCAL_KEY_SECRETローカル環境変数を使用して、マスターキーを生成します。複数ノードのDeep Security Managerにローカル環境変数を使用する場合は、すべてのノードに対してユーザレベルではなくシステムレベルで、64文字以下で設定する必要があります。

    マスターキーの設定時には、Deep Security Managerで権限が必要となります。また、KMSまたはLOCAL_KEY_SECRETとのネットワーク接続が安定している必要もあります。マスターキーの暗号化と復号化を行う際にこれらが必要となります。一時的に接続が切れた場合は、Deep Security Managerでは必要なデータの復号化ができなくなり、サービスが利用不可能になります。症状としては、再起動の失敗などのエラーに関するイベントログやアラートが断続的に途切れたりします。
  2. dsm_c -action masterkey -subaction export -file ファイルパス - マスターキーをバックアップのために、パスワードで暗号化されたファイルにエクスポートします。パスワードが要求されます。

    マスターキーを安全な場所にエクスポートしてバックアップします。バックアップがないと、マスターキーを紛失または破損した場合に暗号化データがすべて読み取り不能となります。その場合、Deep Security Manager、すべてのRelay、およびすべてのAgent/Appliancesの再インストールが必要となります。マスターキーが盗まれた場合は、Deep Security環境のセキュリティが侵害されます。欧州の一般データ保護規則 (GDPR) などのコンプライアンス規則により、個人データの漏えいから72時間以内に監督機関に通知する義務が生じたり、コンプライアンスに準拠していない場合に罰金が科せられたりする場合があります。詳しくは、弁護士に相談してください。

    障害復旧を目的にバックアップを検証するには、マスターキーをインポートしてテストします。

    dsm_c -action masterkey -subaction [importkmskey -file ファイルパス -arn AWSARN | importlocalkey -file ファイルパス] - バックアップしたマスターキーをインポートします。このコマンドは、マスターキーが破損した場合に障害復旧を行う場合や、マスターキーを他のKMSに移行する場合に役立ちます。このコマンドの実行前に、プライマリテナント (T0) のデータベースから既存のマスターキーを削除する必要があります。

    たとえば、以下のSQLコマンドを入力します。

    delete from systemsettings where uniquekey = 'settings.configuration.keyEncryptingKey'

  3. dsm_c -action masterkey -subaction encryptproperties - マスターキーを使用して、dsm.propertiesとconfiguration.propertiesのKeystoreパスワードおよびデータベースのパスワードを暗号化します。この設定を有効にするには、Deep Security Managerを再起動してください。
  4. dsm_c -action masterkey -subaction encrypttenantkey -tenantid [all | テナント番号] - マルチテナント環境が構築されている場合に、マスターキーを使用して既存のテナントキーシードを暗号化します。テナントキーシードは、次の手順で使用するサブキーを生成するために必要となります。シードがすでに暗号化されていたとしても、何重にも暗号化されることはないため、複数回実行しても安全です。

    既存のテナントの暗号化は徐々に行い、今は新しいテナントのみを暗号化する場合は、次のコマンドを最初に入力してください。

    dsm_c -action changesetting -name settings.configuration.encryptTenantKeyForNewTenants -value true

  5. dsm_c -action masterkey -subaction encryptpii -tenantid [all | テナント番号] - 各テナントのキーを使用して、データベースに格納されている管理者と連絡先の個人データを暗号化します。
  6. dsm_c -action masterkey -subaction encryptdsmprivatekey -tenantid [all | テナント番号] - マスターキーを使用して、有効化など、SSL/TLS経由のAgentとManagerの通信で使用される秘密鍵を暗号化します。
removecert 信頼済み証明書を削除します。 dsm_c -action removecert -id ID
removeregion プライベートクラウドプロバイダのリージョンを削除します。 dsm_c -action removeregion -region REGION
resetcounters カウンタテーブルをリセットして空の状態に戻します。 dsm_c -action resetcounters [-tenantname テナント名 | -tenantid テナントID]
script スクリプトファイル内にあるdsm_cコマンドのバッチ処理を実行します。 dsm_c -action script -scriptfile ファイルパス [-tenantname テナント名 | -tenantid テナントID]
setports Deep Security Managerのポートを設定します。 dsm_c -action setports [-managerPort ポート] [-heartbeatPort ポート]
trustdirectorycert ディレクトリの証明書を信頼します。 dsm_c -action trustdirectorycert -directoryaddress ディレクトリアドレス -directoryport ディレクトリポート [-username ユーザ名] [-password パスワード] [-tenantname テナント名 | -tenantid テナントID]
unlockout ユーザアカウントのロックを解除します。 dsm_c -action unlockout -username ユーザ名 [-newpassword 新規パスワード] [-disablemfa][-tenantname テナント名 | -tenantid テナントID]
upgradetasks インサービスアップグレードの一環として必要になる場合がある、アップグレードタスク処理を実行します。

dsm_c -action upgradetasks [-listtasksets] [-listtasks -taskset アップグレードタスクセット [-force]] [-tenantlist] [-tenantsummary] [-run -taskset アップグレードタスクセット [-force] [-filter 正規表現]] [-showrollbackinfo -task タスク名] [-purgehistory [-task タスク名]] [-showhistory [-task タスク名]] [-tenantname テナント名 | -tenantid テナントID]

  • [-listtasksets]:システム全体またはテナント (-tenantnameで指定) 用の一連のタスクを一覧表示します。
  • [-listtasks -taskset UPGRADE_TASK_SET [-force]]: 実行する変更内容を一覧表示します。すべてのタスクを表示するには、-forceを指定します。
  • [-tenantlist]: 指定したテナントの未解決アップグレード処理のバージョンを表示します。
  • [-tenantsummary]: 最新ではないテナントの概要を表示します。
  • [-run -taskset UPGRADE_TASK_SET [-force] [-filter REGX]]: 各テナントにアップグレード処理を実行します。実行済みであっても、すべてのタスクを実行する場合は、-forceを含めます。正規表現で処理を制限する場合は、-filterを含めます。
  • [-showrollbackinfo -task TASKNAME]: 指定したタスクのロールバック情報を表示します。1つのテナントまたはすべてのテナントを表示できます。
  • [-purgehistory [-task TASKNAME]]: 指定したテナントやタスクの履歴を削除します。テナントやタスクを指定しないと、すべての項目が対象になります。
  • [-showhistory [-task TASKNAME]]: 指定したテナントやタスクの履歴を表示します。テナントやタスクを指定しないと、すべての項目が対象になります。
versionget 現在のソフトウェアバージョン、データベーススキーマバージョン、またはその両方に関する情報を表示します。 dsm_c -action versionget [-software] [-dbschema]
viewsetting 設定値を表示します。 dsm_c -action viewsetting -name 名前 [-computerid コンピュータID] [-computername コンピュータ名] [-policyid ポリシーID] [-policyname ポリシー名] [-tenantname テナント名 | -tenantid テナントID]

リターンコード

dsm_cコマンドは、コマンドの実行に成功したかどうかを示す整数値を返します。返される値は以下のとおりです。

  • 0: 実行に成功
  • -1: ソフトウェアのインストールの破損など、原因不明の失敗
  • 1: データベースに現在アクセスできないなど、実行中の失敗
  • 2: 指定されている引数が無効