本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

コマンドラインの基本

ローカルのコマンドラインインタフェース (CLI) を使用して、 Deep Security AgentおよびDeep Security Managerに処理の実行を指示できます。また、CLIを使用して一部の設定を行ったり、システムリソースの使用状況情報を表示したりすることもできます。

Deep Security APIを使用して、さまざまなCLIコマンドを自動化できます (「First Steps Toward Deep Security Automation」を参照してください)。

dsa_control

dsa_controlを使用すると、 Deep Security Agentの一部の設定を行い、有効化、不正プログラム対策検索、ベースラインの再構築などの処理を手動で実行できます。

Windows OSでセルフプロテクションが有効になっている場合、ローカルユーザはDeep Security Agentのアンインストール、アップデート、停止などの操作を行うことができません。また、CLIコマンドの実行時に認証パスワードを指定する必要があります。

dsa_controlは英語の文字列のみをサポートします。 Unicodeはサポートされていません。

dsa_controlを使用するには

Windowsの場合:

  1. 管理者としてコマンドプロンプトを開きます。
  2. Deep Security Agentのインストールディレクトリに移動します。例:

    cd C:\Program Files\Trend Micro\Deep Security Agent\

  3. dsa_controlコマンドを実行します。

    dsa_control <option>

    ここで、<オプション>は、 dsa_control optionsで説明されているオプションのいずれかに置き換えられます。

Linux、AIX、およびSolarisの場合:

複数のdsa_controlコマンドを実行すると、新しいコマンドによって以前のコマンドが上書きされることがあります。複数のコマンドを実行する場合は、パラメータを並べて指定する必要があります。例: dsa_control -m "RecommendationScan:true" "UpdateComponent:true"

通常、 Deep Security Agentタスクの管理には、[予約タスク] UI ([管理]→[予約タスク] ) を使用することをお勧めします。詳細については、Deep Security予約タスクの設定を参照してください。

dsa_control options

 dsa_control [-a <str>] [-b] [-c <str>] [-d] [-g <str>] [-s <num>] [-m] [-p <str>] [-r] [-R <str>] [-t <num>] [-u <str>:<str>] [-w <str>:<str>] [-x dsm_proxy://<str>] [-y relay_proxy://<str>] [--buildBaseline] [--scanForChanges] [Additional keyword:value data to send to manager during activation or heartbeat...] 
パラメータ Description
-a <str>, --activate=<str>

次の形式で指定されたURLのManagerに対して、Agentを有効化します。

dsm://<host>:<port>/

指定する項目は次のとおりです。

  • <host> にはManagerの完全修飾ドメイン名 (FQDN)、IPv4アドレス、またはIPv6アドレスを入力します。
  • <port> は、管理者が待機している ポート番号です。

オプションで、引数の後に、アクティベーション時に送信する説明などの設定を指定することもできます。 「 Agentからのハートビート有効化コマンド (「dsa_control -m」)」を参照してください。これらは、区切り文字としてコロンを使用して、key:valueのペアとして入力する必要があります。入力できるキーと値のペアの数に制限はありませんが、キーと値のペアはスペースで区切る必要があります。スペースや特殊文字が含まれる場合は、key:valueのペアを引用符で囲む必要があります。

-b, --bundle アップデートバンドルを作成します。
-c <str>, --cert=<str> 証明書ファイルを特定します。
-d, --diag エージェントパッケージを生成します。詳細については、「保護されているコンピュータでCLIを使用してAgentの診断パッケージを作成する」を参照してください。
-g <str>, --agent=<str>

AgentのURLです。初期設定:

https://localhost:<port>/

にはManagerの待機ポート番号を入力します。

-m, --heartbeat Agentを今すぐ強制的にManagerに接続します。
-p <str> or --passwd=<str>

以前にDeep Security Managerで設定した認証パスワード。詳細については、「 Deep Security Managerを介してセルフプロテクションを設定する」を参照してください。パスワードが設定されている場合は、 dsa_control -adsa_control -x 、およびdsa_control -yを除くすべてのdsa_controlコマンドにパスワードを含める必要があります。

例: dsa_control -m -p MyPa$$w0rd

パスワードは、コマンドラインに直接入力した場合、画面上に表示されます。入力中のパスワードをアスタリスク (*) にして非表示にする場合は、対話形式のコマンド-p *を入力します。この場合、パスワードの入力を求めるプロンプトが表示されます。

例:

dsa_control -m -p *

-r, --reset Agentの設定をリセットします。これにより、Agentから有効化情報が削除され、 エージェントが無効化されます。
-R <str>, --restore=<str> 隔離ファイルを復元します。Windows版では、駆除したファイルや削除したファイルも復元できます。
-s <num>, --selfprotect=<num>

Agentの自己保護を有効にします (1: 有効、0: 無効)。自己保護機能により、ローカルのエンドユーザはAgentをアンインストール、停止、または制御できなくなります。詳細については、「 WindowsでのAgentセルフプロテクションの有効化または無効化」を参照してください。これはWindowsのみの機能です。

dsa_controlでは自己保護を有効にできますが、関連付けられた認証パスワードを設定することはできません。そのためにはDeep Security Managerが必要です。詳細については、「Deep Security Managerを介してセルフプロテクションを設定する」を参照してください。設定したら、コマンドラインで-pまたは--passwd=オプションを使用してパスワードを入力する必要があります。

Deep Security 9.0以前では、このオプションは、-H <num>, --harden=<num>でした。

-t <num>, --retries=<num> dsa_controlエージェントサービスに接続して付随する指示を実行できない場合、このパラメータはdsa_control<num>回再試行するよう指示します。再試行の間には 1 秒の一時停止があります。
-u <user>:<password>

プロキシで認証が必要な場合は、-x オプションとともにプロキシのユーザ名とパスワードを指定します。ユーザ名とパスワードは、コロン (:)で区切ります。例: # ./dsa_control -x dsm_proxy://<str> -u <new username>:<new password>

ユーザ名とパスワードを削除するには、空の文字列( "")を入力します。例: # ./dsa_control -x dsm_proxy://<str> -u <existing username>:""

プロキシのユーザ名のみを変更せずにプロキシのパスワードのみをアップデートする場合は、 -xなしで -u オプションを使用できます。例: # ./dsa_control -u <existing username>:<new password>

基本認証のみ。Digest認証とNTLM認証はサポートされていません。

dsa_control -uの使用は、エージェントのローカル設定にのみ適用されます。このコマンドを実行しても、マネージャのセキュリティポリシーは変更されません。

-w <user>:<password>

プロキシで認証が必要な場合は、-y オプションとともにプロキシのユーザ名とパスワードを指定します。ユーザ名とパスワードは、コロン (:)で区切ります。例: # ./dsa_control -y relay_proxy://<str> -w <new username>:<new password>

ユーザ名とパスワードを削除するには、空の文字列( "")を入力します。例: # ./dsa_control -y relay_proxy://<str> -w <existing username>:""

プロキシのユーザ名のみを変更せずにプロキシのパスワードのみをアップデートする場合は、 -yなしで -w オプションを使用できます。例: # ./dsa_control -w <existing username>:<new password>

基本認証のみ。Digest認証とNTLM認証はサポートされていません。

dsa_control -wの使用は、エージェントのローカル設定にのみ適用されることに注意してください。このコマンドを実行しても、マネージャのセキュリティポリシーは変更されません。

-x dsm_proxy://<str>:<num> エージェントとマネージャの間にプロキシを設定します。プロキシのIPv4 / IPv6アドレスまたはFQDNおよび ポート番号をコロンで区切って指定します。 (:).IPv6アドレスは角カッコで囲む必要があります。例: dsa_control -x "dsm_proxy://[fe80::340a:7671:64e7:14cc]:808/"。URLの代わりにアドレスを削除するには、空の文字列 ("").を入力します。

-uオプションも参照してください。

詳細については、 Deep Security Managerにプロキシ経由で接続する

dsa_control -xの使用は、エージェントのローカル設定にのみ適用されることに注意してください。このコマンドを実行しても、マネージャのセキュリティポリシーは変更されません。

-y relay_proxy://<str>:<num> エージェントとリレーの間にプロキシを設定します。プロキシのIPアドレスまたはFQDNと ポート番号をコロンで区切って指定します。 (:).IPv6アドレスは角カッコで囲む必要があります。例: dsa_control -y "relay_proxy://[fe80::340a:7671:64e7:14cc]:808/"。URLの代わりにアドレスを削除するには、空の文字列 ("").を入力します。

-wオプションも参照してください。

詳細については、 プロキシ経由でDeep Securityリレーに接続する)を参照してください。

dsa_control -yの使用は、エージェントのローカル設定にのみ適用されることに注意してください。このコマンドを実行しても、マネージャのセキュリティポリシーは変更されません。

--buildBaseline 変更監視のベースラインを作成します。
--scanForChanges 変更監視の変更を検索します。
--max-dsm-retries 有効化を再試行する最大回数。0から100までの値を入力してください。初期設定値は30です。
--dsm-retry-interval 有効化を再試行する間隔 (秒)。1から3600までの値を入力してください初期設定値は300です。

 

Agentからのリモート有効化 (「dsa_control -a」)

Agentからのリモート有効化 (AIA) を有効にすると、ManagerとAgent間の通信の問題を防ぐことができます。また、インストールスクリプトと共に使用すると、Agentのインストールを簡略化できます。

AIAを設定し、インストールスクリプトを使用してAgentを有効化する方法については、Agentからのリモート有効化およびAgentからの通信を使用してAgentを有効化して保護するを参照してください。

コマンドの形式は次のとおりです。

dsa_control -a dsm://<host>:<port>/

指定する項目は次のとおりです。

  • <host> にはManagerの完全修飾ドメイン名 (FQDN)、IPv4アドレス、またはIPv6アドレスを入力します。
  • <port> は、エージェント間の通信 ポート番号 (初期設定では4120)です。

次に例を示します。

dsa_control -a dsm://dsm.example.com:4120/ hostname:www12 "description:Long Description With Spaces"

dsa_control -a dsm://fe80::ad4a:af37:17cf:8937:4120

Agentからのハートビート有効化コマンド (「dsa_control -m」)

AgentからManagerに、ハートビートをただちに強制送信することができます。

有効化コマンドと同様、ハートビート有効化コマンドでも、実行中に設定をManagerに送信することができます。

パラメータ 説明 有効化中の使用 ハートビート中の使用
AntiMalwareCancelManualScan

ブール。

コンピュータ上で実行されている手動検索をキャンセルします。

"AntiMalwareCancelManualScan:true" 不可
AntiMalwareManualScan

ブール。

コンピュータに対して手動の不正プログラム検索を開始します。

"AntiMalwareManualScan:true" 不可
description

文字列。

コンピュータの説明を設定します。最大2000文字。

"description:Extra information about the host"
displayname

文字列。

[コンピュータ] のホスト名の横にカッコで囲んで表示される表示名を設定します。最大2000文字。

"displayname:the_name"
externalid

整数。

externalid値を設定します。この値を使用して、Agentを一意に識別できます。この値には、従来のSOAP WebサービスAPIを使用してアクセスできます。

"externalid:123"
group

文字列。

[コンピュータ] 画面に表示される、コンピュータの属するグループを設定します。1つの階層レベルの1つのグループ名につき最大254文字。

スラッシュ (「/」) はグループの階層を示します。groupパラメータはグループの階層を読み取ったり、作成したりできます。
このパラメータは、メインの「コンピュータ」ルートブランチの下位にある標準のグループにコンピュータを追加する場合にのみ使用できます。ディレクトリ (Microsoft Active Directory)、VMware vCenter、またはクラウドプロバイダのアカウントに所属するグループにコンピュータを追加する場合には使用できません。

"group:Zone A web servers"
groupid

整数。

"groupid:33"
hostname

文字列。

最大254文字。

ManagerがAgentに接続する際に使用するIPアドレス、ホスト名、またはFQDNを指定します。

"hostname:www1" 不可
IntegrityScan

ブール。

コンピュータで変更の検索を開始します。

"IntegrityScan:true" 不可
policy

文字列。

最大長は254文字です。

ポリシー名は、大文字と小文字を区別せずにポリシーリストに一致します。ポリシーが見つからない場合、ポリシーは割り当てられていません。

イベントベースのタスクによって割り当てられたポリシーは、Agentからの有効化中に割り当てられたポリシーよりも優先されます。

"policy:Policy Name"
policyid

整数。

"policyid:12"
relaygroup

文字列。

コンピュータを特定のRelayグループにリンクします。最大長は254文字です。

Relayグループ名は、既存のRelayグループ名と大文字と小文字が区別されません。 Relayグループが見つからない場合は、初期設定のRelayグループが使用されます。

イベントベースのタスクで割り当てられたRelayグループには影響しません。このオプションまたはイベントベースのタスクのいずれかを使用します。両方を使用することはできません。

"relaygroup:Custom Relay Group"
relaygroupid

整数。

"relaygroupid:123"
relayid

整数。

"relayid:123"
tenantIDtoken

文字列。

Agentからのリモート有効化をテナントとして使用する場合は、tenantIDtokenの両方が必要です。tenantIDtokenはインストールスクリプト生成ツールから取得できます。

"tenantID:12651ADC-D4D5"

and

"token:8601626D-56EE"
RecommendationScan

ブール。

コンピュータで推奨設定の検索を開始します。

"RecommendationScan:true" 不可
UpdateComponent

ブール。

セキュリティアップデートの実行をDeep Security Managerに指示します。

Deep Security Agent 12.0以降でUpdateComponentパラメータを使用する場合は、Deep Security Relayもバージョン12.0以降であることを確認してください。詳細を表示

"UpdateComponent:true" 不可
RebuildBaseline

ブール。

コンピュータに変更監視ベースラインを再構築します。

"RebuildBaseline:true" 不可
UpdateConfiguration

ブール。

「ポリシーの送信」操作を実行するようDeep Security Managerに指示します。

"UpdateConfiguration:true" 不可

Deep Security Agentの有効化

Agentをコマンドラインから有効化するには、テナントIDとパスワードが必要です。これらの情報はインストールスクリプトで確認できます。

  1. Deep Security Managerの画面右上で、[サポート情報]→[インストールスクリプト] の順にクリックします。
  2. プラットフォームを選択します。
  3. [インストール後にAgentを自動的に有効化] を選択します。
  4. インストールスクリプトで、tenantIDtokenの文字列を探します。

Windows

PowerShellの場合:

& $Env:ProgramFiles"\Trend Micro\Deep Security Agent\dsa_control" -a <manager URL> <tenant ID> <token>

cmd.exeの場合:

C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -a <manager URL> <tenant ID> <token>

Linux、AIX、およびSolaris

/opt/ds_agent/dsa_control -a <manager URL> <tenant ID> <token>

Agentからのハートビート有効化コマンド

Windows

PowerShellの場合:

& "\Program Files\Trend Micro\Deep Security Agent\dsa_control" -m

cmd.exeの場合:

C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -m

Linux、AIX、およびSolaris

/opt/ds_agent/dsa_control -m

不正プログラムの手動検索を開始する

Windows
  1. 管理者権限でコマンドプロンプト (cmd.exe) を開きます。
  2. 次のコマンドを入力します。

    cd C:\Program Files\Trend Micro\Deep Security Agent\

    dsa_control -m "AntiMalwareManualScan:true"

Linux、AIX、およびSolaris

/opt/ds_agent/dsa_control -m "AntiMalwareManualScan:true"

診断パッケージを作成する

Deep Security Agentに関する問題のトラブルシューティングを行う必要がある場合に、コンピュータの診断パッケージを作成して送信するよう、サポート担当者から求められることがあります。詳細な手順については、保護されているコンピュータでCLIを使用してAgentの診断パッケージを作成するを参照してください。

Deep Security Agentコンピュータの診断パッケージはDeep Security Manager経由で作成できますが、エージェントコンピュータが Agent / Appliance Initiatedコミュニケーションを使用するように設定されている場合、Managerは必要なログをすべて収集できません。そのため、テクニカルサポートから診断パッケージを要求された場合は、該当するAgentコンピュータで直接コマンドを実行する必要があります。

Agentをリセットする

このコマンドは、対象エージェントから有効化情報を削除し、対象エージェントを無効化します。

Windows

PowerShellの場合:

& "\Program Files\Trend Micro\Deep Security Agent\dsa_control" -r

cmd.exeの場合:

C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -r

Linux、AIX、およびSolaris

/opt/ds_agent/dsa_control -r

dsa_query

エージェント情報を表示するには、 dsa_query コマンドを使用できます。

dsa_queryのオプション

dsa_query [-c <str>] [-p <str>] [-r <str]

パラメータDescription
-p,--passwd <string>

オプションのAgentセルフプロテクション機能で使用される認証パスワードです。セルフプロテクションを有効化した際にパスワードを指定した場合は必須となります。

一部のクエリコマンドでは、認証を直接バイパスできます。この場合、パスワードは必要ありません。

-c,--cmd <string>

Agentに対してクエリコマンドを実行します。次のコマンドがサポートされます。

  • "GetHostInfo": ハートビート中にManagerに返されるIDを照会します。
  • "GetAgentStatus":どの保護モジュールが有効になっているかを検索します. 不正プログラム対策 または 変更監視 検索のステータスおよびその他のその他の情報
  • "GetComponentInfo": 不正プログラム対策のパターンおよびエンジンのバージョン情報を照会します。
  • "GetPluginVersion": Agentと保護モジュールのバージョン情報を照会します。
  • 「GetProxyInfo」 : すべてのプロキシタイプのプロキシ情報をクエリします。

-r,--raw <string>"-c"と同じクエリコマンドの情報を返しますが、サードパーティのソフトウェアで解釈できるように未加工のデータ形式で出力します。
pattern

  1. 結果をフィルタするためのワイルドカードのパターンです(オプション)。
  2. 例:
    dsa_query -c "GetComponentInfo" -r "au" "AM*"

  3. より詳細なコンテンツを印刷するオプションとして。
  4. 例:
    dsa_query -c GetProxyInfo details=true

 

CPU使用率とRAM使用量を確認する

Windows

タスクマネージャーまたはprocmonを使用します。

LinuxおよびSolaris

top

AIX

topas

ds_agentプロセスまたはサービスが実行されていることを確認する

Windows

タスクマネージャーまたはprocmonを使用します。

Linux、AIX、およびSolaris

ps -ef|grep ds_agent

LinuxでAgentを再起動する

service ds_agent restart

または

/etc/init.d/ds_agent restart

または

systemctl restart ds_agent

一部の処理には-tenantnameパラメータまたは-tenantidパラメータのいずれかが必要です。テナント名を使用すると実行エラーが発生する場合は、関連付けられたテナントIDを使用してコマンドを再度実行します。

Solarisでエージェントを再起動する

svcadm restart ds_agent

AIXでエージェントを再起動する

stop agent: stopsrc -s ds_agent

start agent: startsrc -s ds_agent

dsm_c

dsm_cコマンドを使用して、Managerの一部の設定を行ったり、ユーザアカウントのロックを解除したりできます。

一部のコマンドを実行すると、 Deep Security Managerが再起動することがあります。コマンドを実行したら、 Deep Security Managerが再起動されていることを確認します。

dsm_cオプション

dsm_c -action actionname

コマンドのヘルプを表示するには、-hオプションを使用します。dsm_c -h

一部の処理では、 -tenantnameパラメータまたは-tenantidパラメータのいずれかが必要です。テナント名の使用時に問題が発生した場合は、関連付けられたテナントIDを使用してコマンドを実行してください。次の表で括弧で囲まれたパラメータはすべて必須です。

処理名Description使用方法
addazureendpoint

Azureエンドポイントを許可されたエンドポイントリストに追加します。このコマンドには ENDPOINT パラメータが必要です。このパラメータは、 https://<fqdn>の形式で指定する必要があります。許可されたエンドポイントリストは、 Deep Security ManagerにAzureアカウントを追加する際に指定されたエンドポイントの検証に使用されます。エンドポイントを指定しない場合、初期設定の組み込みエンドポイントのみが許可されます。

Azureアカウントの追加については、 Deep SecurityへのMicrosoft Azureアカウントの追加

関連するdsm_cオプション:

listazureendpoint removeazureendpoint

dsm_c -action addazureendpoint -endpoint ENDPOINT
addcert信頼済み証明書を追加します。dsm_c -action addcert -purpose PURPOSE -cert CERT
addregionプライベートクラウドプロバイダのリージョンを追加します。dsm_c -action addregion -region REGION -display DISPLAY -endpoint ENDPOINT
changesetting

設定を変更します。

コマンドを実行する前に、デプロイメントをバックアップする必要があります。設定の影響を理解していない場合は、このコマンドを使用しないでください。設定に誤りがあると、サービスが使用できなくなったり、データを読み取れなくなったりする可能性があります。通常、このコマンドは、テクニカルサポートプロバイダから変更する設定NAMEを指示された場合にのみ使用します。通常の使用時にこのコマンドが必要になる場合があります。その場合の設定については、 masterkeyなど、ドキュメントの該当するセクションで説明されています。

dsm_c -action changesetting -name NAME [-value VALUE | -valuefile FILENAME] [-computerid COMPUTERID] [-computername COMPUTERNAME] [-policyid POLICYID] [-policyname POLICYNAME] [-tenantname TENANTNAME | -tenantid TENANTID]
createinsertstatements別のデータベースへのエクスポートに使用するinsert文を作成します。dsm_c -action createinsertstatements [-file FILEPATH] [-generateDDL] [-databaseType sqlserver|oracle] [-maxresultfromdb count] [-tenantname TENANTNAME | -tenantid TENANTID]
diagnostic

システム用の診断パッケージを作成します。

必要に応じて、詳細な診断パッケージのプロセスメモリを増やすことができます。

dsm_c -action diagnostic [-verbose 0|1] [-tenantname TENANTNAME | -tenantid TENANTID]
disablefipsmodeFIPSモードを無効にします。dsm_c -action disablefipsmode
enablefipsmodeFIPSモードを有効にします。dsm_c -action enablefipsmode
fullaccess管理者にFull Accessの役割を与えます。dsm_c -action fullaccess -username USERNAME [-tenantname TENANTNAME | -tenantid TENANTID]
listazureendpoint

許可されているAzureエンドポイントをすべてリストします。

関連するdsm_cオプション:

addazureendpoint removeazureendpoint

dsm_c -action listazureendpoint
listcerts信頼済み証明書を一覧表示します。dsm_c -action listcerts [-purpose PURPOSE]
listregionsプライベートクラウドプロバイダのリージョンを一覧表示します。dsm_c -action listregions
masterkey

カスタムのマスターキーを生成、インポート、エクスポート、または使用して、以下を暗号化します。

  • データベースのパスワード
  • Keystoreパスワード
  • 個人データ

カスタムマスターキーが設定されていない場合、 Deep Securityではハードコードされたシードが使用されます。

新規インストールの実行中にすでにマスターキーを設定している場合は、このセットアップは完了です。マスターキーの作成をスキップして、今すぐ設定する場合は、手順1のコマンドから開始してください。すべてのコマンドを順に入力します。新しいマスターキーを生成するには、手順1のコマンドから開始し、すべてのコマンドを順に入力します。

マスタ鍵、生成方法、および暗号化の詳細については、 Managerをインストールする のインストールを参照してください。

アップグレード時にマスターキーを設定した場合は、データベースとプロパティファイルをバックアップして、手順4のコマンドから開始してください。

  1. dsm_c -action masterkey -subaction [generatekmskey -arn AWSARN | generatelocalkey] - Key Management System (KMS) キーのAmazon Resource Name (ARN) か、LOCAL_KEY_SECRETローカル環境変数を使用して、マスターキーを生成します。マルチノードDeep Security Managerでローカル環境変数を使用する場合は、システムレベルのすべてのノードで設定する必要があります(ユーザレベルの), では使用できません。また、最低でも次を含める必要があります。

    • 大文字
    • 小文字の手紙
    • 数字
    • 特殊文字
    • 8〜64文字

    マスターキーを設定する場合は、 Deep Security ManagerでKMSまたはLOCAL_KEY_SECRETへの権限と信頼性の高いネットワークアクセスが必要です。 Managerはこれらを使用して、使用時にマスターキーを暗号化および復号化します。一時的にアクセスできない場合、 Deep Security Managerは必要なデータを復号化できず、サービスを使用できなくなります。症状には、再起動の失敗やその他のさまざまなエラーに関するイベントログやアラートが断続的に表示されることがあります。

  2. dsm_c -action masterkey -subaction export -file FILEPATH - マスターキーをバックアップのために、パスワードで暗号化されたファイルにエクスポートします。パスワードが要求されます。

    マスターキーは、安全な場所にエクスポートしてバックアップする必要があります。マスターキーを紛失または破損した場合、バックアップがないと、暗号化されたすべてのデータを読み取ることができなくなります。その場合は、Deep Security Manager、すべてのRelay、およびすべてのAgent/appliancesを再インストールする必要があります。キーが盗まれると、Deep Security環境のセキュリティが危険にさらされます。欧州の一般データ保護規則 (GDPR) などの一部のコンプライアンス規制では、個人データの漏えいを72時間以内に法執行機関に通知することが法律で義務付けられている場合があり、違反した場合は罰金が科される可能性があります。詳細については、弁護士にご相談ください。

    障害復旧を目的にバックアップを検証するには、マスターキーをインポートしてテストします。

    dsm_c -action masterkey -subaction [importkmskey -file FILEPATH -arn AWSARN | importlocalkey -file FILEPATH] — マスターキーのバックアップをインポートします。これは、破損したキーのディザスタリカバリや、マスターキーを別のKMSに移行する場合に役立ちます。このコマンドを実行する前に、プライマリテナント (T0) データベースから既存のマスターキーを削除する必要があります。

    たとえば、以下のSQLコマンドを入力します。

    delete from systemsettings where uniquekey = 'settings.configuration.keyEncryptingKey'

  3. dsm_c -action masterkey -subaction encryptproperties — マスター鍵を使用して、dsm.propertiesおよびconfiguration.propertiesのキーストアおよびデータベースのパスワードを暗号化します。この設定を有効にするには、 Deep Security Managerを再起動する必要があります。
  4. dsm_c -action masterkey -subaction encrypttenantkey -tenantid [all | TENANTNUM] — マルチテナント環境の場合は、マスターキーを使用して既存のテナントキーシードを暗号化します。テナントキーシードは、次の手順で使用できるサブキーを派生させます。このコマンドは複数回実行できます (すでに暗号化されているシードに追加の暗号化レイヤは適用されません)。

    必要に応じて、既存の各テナントに段階的にロールアウトしながら、新しいテナントにのみ暗号化を適用するには、次のコマンドを実行します。

    dsm_c -action changesetting -name settings.configuration.encryptTenantKeyForNewTenants -value true

    環境内に(プライマリ)テナントが1つしかない場合、 tenantidallまたは0のいずれかになります。

  5. dsm_c -action masterkey -subaction encryptpii -tenantid [all | TENANTNUM] — マルチテナント環境の場合は、各テナントのキーを使用して、データベース内の管理者および連絡先の個人データを暗号化します。環境内に(プライマリ)テナントが1つしかない場合、 tenantidallまたは0のいずれかになります。
  6. dsm_c -action masterkey -subaction encryptdsmprivatekey -tenantid [all | TENANTNUM] — マスターキーを使用して、SSL/TLSを介したアクティベーションおよびAgent/Manager間の通信に使用される秘密鍵を暗号化します。環境内に(プライマリ)テナントが1つしかない場合、 tenantidallまたは0のいずれかになります。
  7. dsm_c -action masterkey -subaction isconfigured — マスターキーが作成されたかどうかを確認します。
removeazureendpoint

許可されたエンドポイントリストからAzureエンドポイントを削除します。

dsm_c -action addazureendpoint コマンドを使用して追加されたエンドポイントのみを削除できます。初期設定の組み込みエンドポイントは削除できません。

関連するdsm_cオプション:

addazureendpoint listazureendpoint

dsm_c -action removeazureendpoint -endpoint ENDPOINT

removecert

信頼済み証明書を削除します。

dsm_c -action removecert -id ID
removeregionプライベートクラウドプロバイダのリージョンを削除します。dsm_c -action removeregion -region REGION
resetcountersカウンタテーブルをリセットして空の状態に戻します。dsm_c -action resetcounters [-tenantname TENANTNAME | -tenantid TENANTID]
scriptスクリプトファイル内にあるdsm_cコマンドのバッチ処理を実行します。dsm_c -action script -scriptfile FILEPATH [-tenantname TENANTNAME | -tenantid TENANTID]
setportsDeep Security Manager ポートを設定します。dsm_c -action setports [-managerPort port] [-heartbeatPort port]
trustdirectorycertディレクトリの証明書を信頼します。dsm_c -action trustdirectorycert -directoryaddress DIRECTORYADDRESS -directoryport DIRECTORYPORT [-username USERNAME] [-password PASSWORD] [-tenantname TENANTNAME | -tenantid TENANTID]
unlockoutユーザアカウントのロックを解除します。dsm_c -action unlockout -username USERNAME [-newpassword NEWPASSWORD] [-disablemfa][-tenantname TENANTNAME | -tenantid TENANTID]
upgradetasksインサービスアップグレードの一環として必要になる場合がある、アップグレードタスク処理を実行します。

dsm_c -action upgradetasks [-listtasksets] [-listtasks -taskset UPGRADE_TASK_SET [-force]] [-tenantlist] [-tenantsummary] [-run -taskset UPGRADE_TASK_SET [-force] [-filter REGULAR_EXPRESSION]] [-showrollbackinfo -task TASKNAME] [-purgehistory [-task TASKNAME]] [-showhistory [-task TASKNAME]] [-tenantname TENANTNAME | -tenantid TENANTID]

  • [-listtasksets]:システム全体またはテナント (-tenantnameで指定) 用の一連のタスクを一覧表示します。
  • [-listtasks -taskset UPGRADE_TASK_SET [-force]]: 実行する変更内容を一覧表示します。すべてのタスクを表示するには、-forceを指定します。
  • [-tenantlist]: 指定したテナントの未解決アップグレード処理のバージョンを表示します。
  • [-tenantsummary]: 最新ではないテナントの概要を表示します。
  • [-run -taskset UPGRADE_TASK_SET [-force] [-filter REGX]]: 各テナントにアップグレード処理を実行します。実行済みであっても、すべてのタスクを実行する場合は、-forceを含めます。正規表現で処理を制限する場合は、-filterを含めます。
  • [-showrollbackinfo -task TASKNAME]: 指定したタスクのロールバック情報を表示します。1つのテナントまたはすべてのテナントを表示できます。
  • [-purgehistory [-task TASKNAME]]: 指定したテナントやタスクの履歴を削除します。テナントやタスクを指定しないと、すべての項目が対象になります。
  • [-showhistory [-task TASKNAME]]: 指定したテナントやタスクの履歴を表示します。テナントやタスクを指定しないと、すべての項目が対象になります。
versionget現在のソフトウェアバージョン、データベーススキーマバージョン、またはその両方に関する情報を表示します。dsm_c -action versionget [-software] [-dbschema]
viewsetting設定値を表示します。dsm_c -action viewsetting -name NAME [-computerid COMPUTERID] [-computername COMPUTERNAME] [-policyid POLICYID] [-policyname POLICYNAME] [-tenantname TENANTNAME | -tenantid TENANTID]

リターンコード

dsm_cコマンドは、コマンドが正常に実行されたかどうかを示す整数値を返します。次の値が返されます。

  • 0 : 正常に実行されました。
  • -1 : ソフトウェアのインストールの破損など、原因不明のエラー。
  • 1 : データベースに現在アクセスできないなど、実行中にエラーが発生しました。
  • 2 : 無効な引数が指定されました。