本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。

コマンドラインの基本

ローカルのコマンドラインインタフェース (CLI) から、Deep Security AgentとDeep Security Managerに対して数々の処理を実行するように指示できます。CLIではいくつかの設定を行い、システムリソースの使用量を表示することもできます。

また、以下のCLIコマンドの多くは、Deep Security APIを使用して自動化することが可能です。このAPIの使用を開始するには、Deep Security Automation Centerにあるガイド「First Steps Toward Deep Security Automation」を参照してください。

次にコマンドの構文と例を示します。

Deep Security Agent

Windowsでセルフプロテクションが有効になっている場合、ローカルユーザはAgentの管理、たとえばアンインストール、アップデート、停止などを行うことができません。また、CLIコマンドの実行時には、認証パスワードが必要となります。

dsa_control

dsa_controlを使用してAgentの設定を行い、有効化、不正プログラム検索、またはベースライン再構築などの処理を手動で開始できます。

Windowsの場合:

  • 管理者権限でコマンドプロンプトを開きます。
  • cd C:\Program Files\Trend Micro\Deep Security Agent\
  • dsa_control -m "AntiMalwareManualScan:true"

Linuxの場合:

  • sudo /opt/ds_agent/dsa_control -m "AntiMalwareManualScan:true"

使用方法

dsa_control [-a <str>] [-b] [-c <str>] [-d] [-g <str>] [-s <num>] [-m] [-p <str>] [-r] [-R <str>] [-t <num>] [-u <str>:<str>] [-w <str>:<str>] [-x dsm_proxy://<str>] [-y relay_proxy://<str>] [--buildBaseline] [--scanForChanges] [有効化またはハートビート中にManagerに送信する追加のキーワード:値データ...]

パラメータ Description
-a <str>、--activate=<str>

次の形式で指定されたURLのManagerに対して、Agentを有効化します。

dsm://<ホスト>:<ポート>/

指定する項目は次のとおりです。

  • <ホスト> にはManagerの完全修飾ドメイン名 (FQDN)、IPv4アドレス、またはIPv6アドレスを入力します。
  • <ポート>にはManagerの待機ポート番号を入力します。

必要に応じて、有効化中に送信する設定 (説明など) を、この引数に続けて指定することもできます。詳しくは、Agentからのハートビート有効化コマンド (「dsa_control -m」) を参照してください。パラメータはキー:値のペアとして入力する必要があります (セパレータにはコロンを使用します)。入力可能なキー:値のペアの数に制限はありませんが、キー:値のそれぞれのペアをスペースで区切る必要があります。キー:値のペアにスペースや特殊文字が含まれている場合は、キー:値のペアを引用符で囲む必要があります。

-b、--bundle アップデートバンドルを作成します。
-c <str>、--cert=<str> 証明書ファイルを特定します。
-d、--diag Agentパッケージを生成 します。詳細な手順については、保護されているコンピュータでCLIを使用してAgentの診断パッケージを作成するを参照してください。
-g <str>、--agent=<str>

AgentのURLです。初期設定:

https://localhost:<ポート>/

<ポート>にはManagerの待機ポート番号を入力します。

-m、--heartbeat Agentを今すぐ強制的にManagerに接続します。
-p <str>、--passwd=<str>

認証パスワードです。Deep Security Managerで以前に設定されている可能性があります。詳細については、Deep Security Managerを介してセルフプロテクションを設定するを参照してください。設定されている場合は、dsa_control -adsa_control -x、およびdsa_control -yを除くdsa_controlコマンドすべてにパスワードを含める必要があります。

例:dsa_control -m -p MyPa$$w0rd

パスワードは、コマンドラインに直接入力した場合、画面上に表示されます。入力中のパスワードをアスタリスク (*) にして非表示にする場合は、対話形式のコマンド-p *を入力します。この場合、パスワードの入力を求めるプロンプトが表示されます。

例:

dsa_control -p *

-r、--reset Agentの設定をリセットします。このコマンドにより、Agentから有効化情報が削除され、無効化されます。
-R <str>、--restore=<str> 隔離ファイルを復元します。Windows版では、駆除したファイルや削除したファイルも復元できます。
-s <num>、--selfprotect=<num>

Agentセルフプロテクションを有効にします (1:有効、0: 無効)。セルフプロテクションにより、ローカルのエンドユーザはAgentに対してアンインストールや停止などの制御ができなくなります。詳細については、Agentセルフプロテクションの有効化または無効化を参照してください。この機能はWindows版でのみ使用できます。

セルフプロテクションはdsa_controlコマンドで有効化できますが、関連付けられた認証パスワードの設定にはDeep Security Managerを使用する必要があります。詳細については、Deep Security Managerを介してセルフプロテクションを設定するを参照してください。パスワードは、設定後は-pまたは--passwd=オプションを使用してコマンドラインに入力する必要があります。

Deep Security 9.0以前では、このオプションは、-H <num>, --harden=<num>でした。
-t <num>、--retries=<num> Agentサービスに接続してdsa_controlコマンドの指示を実行できない場合に、dsa_controlを再試行する回数 (<num>) を設定します。再試行は、1秒おきに実行されます。
-u <ユーザ>:<パスワード> Agentがプロキシ経由でManagerに接続する場合は、プロキシのユーザ名とパスワードをコロン (:) で区切って入力します。ユーザ名とパスワードを削除するには、空の文字列 ("") を入力します。基本認証のみ。Digest認証とNTLM認証はサポートされていません。
-w <ユーザ>:<パスワード> Agentがセキュリティアップデートやソフトウェアを実行する際にプロキシ経由でRelayに接続する場合は、プロキシのユーザ名とパスワードをコロン (:) で区切って入力します。
-x dsm_proxy://<str>:<num> Agentがプロキシ経由でManagerに接続する場合は、プロキシのIPv4/IPv6アドレスまたはFQDNと、ポート番号をコロン (:) で区切って入力します。URLではなくアドレスを削除するには、空の文字列 ("") を入力します。IPv6アドレスは角カッコで囲む必要があります。例: dsa_control -x "dsm_proxy://[fe80::340a:7671:64e7:14cc]:808/"
-y relay_proxy://<str>:<num> Agentがセキュリティアップデートやソフトウェアを実行する際にプロキシ経由でRelayに接続する場合は、プロキシのIPアドレスまたはFQDNと、ポート番号をコロン (:) で区切って入力します。
--buildBaseline 変更監視のベースラインを構築します。
--scanForChanges 変更監視の変更を検索します。
--max-dsm-retries 有効化を再試行する最大回数。0から100までの値を入力してください。初期設定値は30です。
--dsm-retry-interval 有効化を再試行する間隔 (秒)。1から3600までの値を入力してください初期設定値は300です。

 

Agentからのリモート有効化 (「dsa_control -a」)

Agentからのリモート有効化 (AIA) を有効にすると、ManagerとAgent間の通信の問題を防ぐことができます。また、インストールスクリプトと共に使用すると、Agentのインストールを簡略化できます。

AIAを設定し、インストールスクリプトを使用してAgentを有効化する方法については、Agentからのリモート有効化およびAgentからの通信を使用してAgentを有効化して保護するを参照してください。

このコマンドには次の形式を使用します。

dsa_control -a dsm://<ホスト>:<ポート>/

指定する項目は次のとおりです。

  • <ホスト> にはManagerの完全修飾ドメイン名 (FQDN)、IPv4アドレス、またはIPv6アドレスを入力します。
  • <ポート>はAgentからManagerへの通信ポート番号です (443)。

次に例を示します。

dsa_control -a dsm://dsm.example.com:4120/ hostname:www12 "description:Long Description With Spaces"

dsa_control -a dsm://fe80::ad4a:af37:17cf:8937:4120

Agentからのハートビート有効化コマンド (「dsa_control -m」)

AgentからManagerに、ハートビートをただちに強制送信することができます。

有効化コマンドと同様、ハートビート有効化コマンドでも、実行中に設定をManagerに送信することができます。

パラメータ 説明 有効化中の使用 ハートビート中の使用
AntiMalwareCancelManualScan

ブール。

コンピュータ上で実行されている手動検索をキャンセルします。

"AntiMalwareCancelManualScan:true" 不可
AntiMalwareManualScan

ブール。

コンピュータに対して手動の不正プログラム検索を開始します。

"AntiMalwareManualScan:true" 不可
description

文字列。

コンピュータの説明を設定します。最大2000文字。

"description:ホストの追加情報"
displayname

文字列。

[コンピュータ] のホスト名の横にカッコで囲んで表示される表示名を設定します。最大2000文字。

"displayname:名前"
externalid

整数。

externalid値を設定します。この値を使用して、Agentを一意に識別できます。この値には、従来のSOAP WebサービスAPIを使用してアクセスできます。

"externalid:123"
group

文字列。

[コンピュータ] 画面に表示される、コンピュータの属するグループを設定します。1つの階層レベルの1つのグループ名につき最大254文字。

スラッシュ (「/」) はグループの階層を示します。groupパラメータはグループの階層を読み取ったり、作成したりできます。
このパラメータは、メインの「コンピュータ」ルートブランチの下位にある標準のグループにコンピュータを追加する場合にのみ使用できます。ディレクトリ (Microsoft Active Directory)、VMware vCenter、またはクラウドプロバイダのアカウントに所属するグループにコンピュータを追加する場合には使用できません。

"group:ゾーンAのWebサーバ"
groupid

整数。

"groupid:33"
hostname

文字列。

最大254文字。

ManagerがAgentに接続する際に使用するIPアドレス、ホスト名、またはFQDNを指定します。

"hostname:www1" 不可
IntegrityScan

ブール。

コンピュータで変更の検索を開始します。

"IntegrityScan:true" 不可
policy

文字列。

最大254文字。

ポリシー名とポリシーリストの大文字と小文字は区別しません。ポリシーが見つからない場合、ポリシーは割り当てられません。

イベントベースタスクによって割り当てられるポリシーは、Agentからのリモート有効化中に割り当てられるポリシーをオーバーライドします。

"policy:ポリシー名"
policyid

整数。

"policyid:12"
relaygroup

文字列。

コンピュータを特定のRelayグループにリンクします。最大254文字。

Relayグループ名と既存のRelayグループ名の大文字と小文字は区別しません。Relayグループが見つからない場合は、初期設定のRelayグループが使用されます。

これは、イベントベースタスクの際に割り当てられるRelayグループには影響を与えません。このオプションまたはイベントベースタスクのどちらかを使用してください。

"relaygroup:カスタムRelayグループ"
relaygroupid

整数。

"relaygroupid:123"
relayid

整数。

"relayid:123"
tenantIDtoken

文字列。

Agentからのリモート有効化をテナントとして使用する場合は、tenantIDtokenの両方が必要です。tenantIDtokenはインストールスクリプト生成ツールから取得できます。

"tenantID:12651ADC-D4D5"

および

"token:8601626D-56EE"
RecommendationScan

ブール。

コンピュータで推奨設定の検索を開始します。

"RecommendationScan:true" 不可
UpdateComponent

ブール。

セキュリティアップデートの実行をDeep Security Managerに指示します。

Deep Security Agent 12.0以降でUpdateComponentパラメータを使用する場合は、Deep Security Relayもバージョン12.0以降であることを確認してください。詳細を表示

"UpdateComponent:true" 不可
RebuildBaseline

ブール。

コンピュータに変更監視ベースラインを再構築します。

"RebuildBaseline:true" 不可
UpdateConfiguration

ブール。

「ポリシーの送信」処理を実行するようにDeep Security Managerに指示します。

"UpdateConfiguration:true" 不可

Agentを有効化する

Agentをコマンドラインから有効化するには、テナントIDとパスワードが必要です。これらの情報はインストールスクリプトで確認できます。

  1. Deep Security Managerの画面右上で、[サポート情報]→[インストールスクリプト] の順にクリックします。
  2. プラットフォームを選択します。
  3. [インストール後にAgentを自動的に有効化] を選択します。
  4. インストールスクリプトで、tenantIDtokenの文字列を探します。

Windows

PowerShellの場合:

&$Env:ProgramFiles"\Trend Micro\Deep Security Agent\dsa_control" -a <ManagerのURL> <テナントID> <トークン>

cmd.exeの場合:

C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -a <ManagerのURL> <テナントID> <トークン>

Linux

/opt/ds_agent/dsa_control -a <ManagerのURL> <テナントID> <トークン>

不正プログラム対策およびルールアップデート用にプロキシを設定する

Agentをプロキシ経由でRelayに接続する必要がある場合は、プロキシ接続を設定する必要があります。

Windows
  1. 管理者権限でコマンドプロンプト (cmd.exe) を開きます。
  2. 次のコマンドを入力します。

    cd C:\Program Files\Trend Micro\Deep Security Agent\

    dsa_control -w myUserName:MTPassw0rd

    dsa_control -y relay_proxy://squid.example.com:443

Linux

/opt/ds_agent/dsa_control -w myUserName:MTPassw0rd

/opt/ds_agent/dsa_control -y relay_proxy://squid.example.com:443

Managerへの接続用にプロキシを設定する

Agentをプロキシ経由でManagerに接続する必要がある場合は、プロキシ接続を設定する必要があります。

Windows
  1. 管理者権限でコマンドプロンプト (cmd.exe) を開きます。
  2. 次のコマンドを入力します。

    cd C:\Program Files\Trend Micro\Deep Security Agent\

    dsa_control -u myUserName:MTPassw0rd

    dsa_control -x dsm_proxy://squid.example.com:443

Linux

/opt/ds_agent/dsa_control -u myUserName:MTPassw0rd

/opt/ds_agent/dsa_control -x dsm_proxy://squid.example.com:443

Agentからのハートビート有効化コマンド

Windows

PowerShellの場合:

& "\Program Files\Trend Micro\Deep Security Agent\dsa_control" -m

cmd.exeの場合:

C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -m

Linux

/opt/ds_agent/dsa_control -m

不正プログラムの手動検索を開始する

Windows
  1. 管理者権限でコマンドプロンプト (cmd.exe) を開きます。
  2. 次のコマンドを入力します。

    cd C:\Program Files\Trend Micro\Deep Security Agent\

    dsa_control -m "AntiMalwareManualScan:true"

Linux

/opt/ds_agent/dsa_control -m "AntiMalwareManualScan:true"

診断パッケージを作成する

Deep Security Agentに関する問題のトラブルシューティングを行う必要がある場合に、コンピュータの診断パッケージを作成して送信するよう、サポート担当者から求められることがあります。詳細な手順については、保護されているコンピュータでCLIを使用してAgentの診断パッケージを作成するを参照してください。

Deep Security Agentコンピュータの診断パッケージはDeep Security Managerから作成できますが、AgentコンピュータがAgent/Applianceによって開始される通信を使用するよう設定されている場合は、Managerは必要なログの一部を収集できません。そのため、テクニカルサポートから診断パッケージを要求された場合は、該当するAgentコンピュータで直接コマンドを実行する必要があります。

Agentをリセットする

このコマンドにより、ターゲットのAgentから有効化情報が削除され、無効化されます。

Windows

PowerShellの場合:

& "\Program Files\Trend Micro\Deep Security Agent\dsa_control" -r

cmd.exeの場合:

C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -r

Linux

/opt/ds_agent/dsa_control -r

dsa_query

dsa_queryコマンドを使用して次のAgent情報を表示できます。

  • 各コンポーネントのライセンスのステータス
  • 検索の進捗状況
  • セキュリティアップデートコンポーネントのバージョン情報

使用方法

dsa_query [-c <str>] [-p <str>] [-r <str]

パラメータ Description
-p、--passwd <文字列>

オプションのAgentセルフプロテクション機能で使用される認証パスワードです。セルフプロテクションを有効化した際にパスワードを指定した場合は必須となります。

一部のクエリコマンドでは認証を直接バイパスできます。このような場合、パスワードは必要ありません。

-c、--cmd <文字列>

Agentに対してクエリコマンドを実行します。次のコマンドがサポートされます。

  • "GetHostInfo":ハートビート中にManagerに返されるIDを照会します。
  • "GetAgentStatus":Agentで有効になっている保護モジュールとその他の情報を照会します。
  • "GetComponentInfo":不正プログラム対策のパターンおよびエンジンのバージョン情報を照会します。
  • "GetPluginVersion":Agentと保護モジュールのバージョン情報を照会します。

-r、--raw <文字列> 「-c」と同じクエリコマンドの情報を返しますが、サードパーティのソフトウェアで解釈できるように未加工のデータ形式で出力します。
pattern

結果をフィルタするためのワイルドカードのパターンです (オプション)。

例:
dsa_query -c "GetComponentInfo" -r "au" "AM*"

 

CPU使用率とRAM使用量を確認する

Windows

タスクマネージャーまたはprocmonを使用します。

Linux

top

ds_agentプロセスまたはサービスが実行されていることを確認する

Windows

タスクマネージャーまたはprocmonを使用します。

Linux

ps -ef|grep ds_agent

LinuxでAgentを再起動する

service ds_agent restart

または

/etc/init.d/ds_agent restart

一部の処理には-tenantnameパラメータまたは-tenantidパラメータのいずれかが必要です。テナント名を使用すると実行エラーが発生する場合は、関連付けられたテナントIDを使用してコマンドを再度実行します。