ローカルコマンドラインインターフェース (CLI) を使用して、Deep Security AgentおよびDeep Security Managerにアクションを実行させることができます。また、CLIを使用して一部の設定を構成したり、システムリソース使用情報を表示したりすることもできます。
Deep Security APIを使用して、さまざまなCLIコマンドを自動化できます (First Steps Toward Deep Security Automationを参照してください)。

dsa_control

dsa_controlを使用すると、Deep Security Agentの設定を構成し、アクティベーション、不正プログラム対策スキャン、ベースラインの再構築などのアクションを手動でトリガーできます。
Windows OSでは、自己防御が有効になっている場合、ローカルユーザはDeep Security Agentをアンインストール、更新、停止、または制御することができません。さらに、CLIコマンドを実行する際には認証パスワードを入力する必要があります。
dsa_controlは英語の文字列のみをサポートしています。ユニコードはサポートされていません。
dsa_controlを使用するには
Windowsの場合:
  1. 管理者権限でコマンドプロンプトを開きます。
  2. Deep Security Agentのインストールディレクトリに変更します。例えば:
    cd C:\Program Files\Trend Micro\Deep Security Agent\
  3. dsa_control コマンドを実行します。
    dsa_control <option>
    ここで、<option>は、dsa_controlのオプションで説明されているオプションのいずれかに置き換えられます。
Linux、AIX、およびSolarisでは:
複数のdsa_controlコマンドを実行すると、新しいコマンドによって以前のコマンドが上書きされることがあります。複数のコマンドを実行する場合は、パラメータを並べて指定する必要があります。例: dsa_control -m "RecommendationScan:true" "UpdateComponent:true"
通常、 Deep Security Agentタスクの管理には、[予約タスク] UI ([管理]→[予約タスク] ) を使用することをお勧めします。詳細については、Deep Securityがタスクを実行するようにスケジュールするを参照してください。

dsa_control options

dsa_control [-a <str>] [-b] [-c <str>] [-d] [-g <str>] [-s <num>] [-m] [-p <str>] [-r] [-R <str>] [-t <num>] [-u <str>:<str>] [-w <str>:<str>] [-x dsm_proxy://<str>] [-y relay_proxy://<str>] [--buildBaseline] [--scanForChanges] [Additional keyword:value data to send to manager during activation or heartbeat...]
パラメータ
説明
-a <str>, --activate=<str>
次の形式で指定されたURLのManagerに対して、Agentを有効化します。
dsm://<host>:<port>/
指定する項目は次のとおりです。
  • <host> にはManagerの完全修飾ドメイン名 (FQDN)、IPv4アドレス、またはIPv6アドレスを入力します
  • <port>はマネージャのリスニングポート番号です
オプションで、引数の後に、アクティベーション時に送信する説明などの設定を指定することもできます。 「Agentからのハートビート有効化コマンド (「dsa_control -m」)」を参照してください。これらは、区切り文字としてコロンを使用して、key:valueのペアとして入力する必要があります。入力できるキーと値のペアの数に制限はありませんが、キーと値のペアはスペースで区切る必要があります。スペースや特殊文字が含まれる場合は、key:valueのペアを引用符で囲む必要があります。
-b, --bundle
アップデートバンドルを作成します。
-c <str>, --cert=<str>
証明書ファイルを特定します。
-d, --diag
エージェントパッケージを生成します。詳細については、保護対象コンピュータでのCLI経由でのエージェント診断パッケージの作成を参照してください。
-g <str>, --agent=<str>
AgentのURLです。初期設定:
https://localhost:<port>/
ここで、<port>はマネージャのリスニングポート番号です。
-m, --heartbeat
Agentを今すぐ強制的にManagerに接続します。
-p <str> または --passwd=<str>
以前にDeep Security Managerで設定した認証パスワード。詳細については、 Deep Security Managerを介してセルフプロテクションを設定するを参照してください。パスワードが設定されている場合は、dsa_controlコマンドにパスワードを含める必要がありますが、dsa_control -adsa_control -x、およびdsa_control -yは除きます。
例: dsa_control -m -p MyPa$$w0rd
パスワードは、コマンドラインに直接入力した場合、画面上に表示されます。入力中のパスワードをアスタリスク (*) にして非表示にする場合は、対話形式のコマンド-p *を入力します。この場合、パスワードの入力を求めるプロンプトが表示されます。
例:
dsa_control -m -p *
-r, --reset
エージェントの構成をリセットします。これにより、エージェントからアクティベーション情報が削除され、エージェントが無効化されます。
-R <str>, --restore=<str>
隔離ファイルを復元します。Windows版では、駆除したファイルや削除したファイルも復元できます。
-s <num>, --selfprotect=<num>
エージェントセルフプロテクションを有効にする (1: 有効、0: 無効)。セルフプロテクションは、ローカルエンドユーザがエージェントをアンインストール、停止、またはその他の操作を行うのを防ぎます。詳細については、エージェントセルフプロテクションの有効化または無効化を参照してください。これはWindows専用の機能です。
dsa_controlでは自己保護を有効にできますが、関連付けられた認証パスワードを設定することはできません。そのためにはDeep Security Managerが必要です。詳細については、Deep Security Managerを介してセルフプロテクションを設定するを参照してください。設定したら、コマンドラインで-pまたは--passwd=オプションを使用してパスワードを入力する必要があります。
Deep Security 9.0以前では、このオプションは、-H <num>, --harden=<num>でした
-t <num>, --retries=<num>
dsa_controlがエージェントサービスに連絡して付随する指示を実行できない場合、このパラメーターはdsa_control<num>回再試行するよう指示します。再試行の間には1秒の間隔があります。
-u <user>:<password>
プロキシで認証が必要な場合は、-x オプションとともにプロキシのユーザ名とパスワードを指定します。ユーザ名とパスワードは、コロン (:) で区切ります。例: # ./dsa_control -x dsm_proxy://<str> -u <new username>:<new password>
ユーザ名とパスワードを削除するには、空の文字列 ( "") を入力します。例: # ./dsa_control -x dsm_proxy://<str> -u <existing username>:""
プロキシのユーザ名のみを変更せずにプロキシのパスワードのみをアップデートする場合は、 -xなしで -u オプションを使用できます。例: # ./dsa_control -u <existing username>:<new password>
基本認証のみ。Digest認証とNTLM認証はサポートされていません。
dsa_control -uの使用はエージェントのローカル構成にのみ適用されます。このコマンドを実行しても、マネージャのセキュリティポリシーは変更されません。
-w <user>:<password>
プロキシで認証が必要な場合は、-y オプションとともにプロキシのユーザ名とパスワードを指定します。ユーザ名とパスワードは、コロン (:) で区切ります。例: # ./dsa_control -y relay_proxy://<str> -w <new username>:<new password>
ユーザ名とパスワードを削除するには、空の文字列 ( "") を入力します。例: # ./dsa_control -y relay_proxy://<str> -w <existing username>:""
プロキシのユーザ名のみを変更せずにプロキシのパスワードのみをアップデートする場合は、 -yなしで -w オプションを使用できます。例: # ./dsa_control -w <existing username>:<new password>
基本認証のみ。Digest認証とNTLM認証はサポートされていません。
dsa_control -wを使用する場合、エージェントのローカル構成にのみ適用されることに注意してください。このコマンドを実行しても、マネージャのセキュリティポリシーは変更されません。
-x dsm_proxy://<str>:<num>
エージェントとマネージャの間にプロキシを設定します。プロキシのIPv4 / IPv6アドレスまたはFQDNおよび ポート番号をコロンで区切って指定します。 (:).IPv6アドレスは角カッコで囲む必要があります。例: dsa_control -x "dsm_proxy://[fe80::340a:7671:64e7:14cc]:808/"。URLの代わりにアドレスを削除するには、空の文字列 ("").を入力します。
-uオプションも参照してください。
詳細については、 プロキシ経由でDeep Security Managerに接続するを参照してください。
dsa_control -xを使用しても、エージェントのローカル構成にのみ適用されることに注意してください。このコマンドを実行しても、マネージャのセキュリティポリシーは変更されません。
-y relay_proxy://<str>:<num>
エージェントとリレーの間にプロキシを設定します。プロキシのIPアドレスまたはFQDNと ポート番号をコロンで区切って指定します。 (:).IPv6アドレスは角カッコで囲む必要があります。例: dsa_control -y "relay_proxy://[fe80::340a:7671:64e7:14cc]:808/"。URLの代わりにアドレスを削除するには、空の文字列 ("").を入力します。
-wオプションも参照してください。
詳細については、 Deep Securityリレーへの接続 (プロキシ経由) を参照してください。
dsa_control -yを使用しても、エージェントのローカル構成にのみ適用されます。このコマンドを実行しても、マネージャのセキュリティポリシーは変更されませんのでご注意ください。
--buildBaseline
変更監視のベースラインを作成します。
--scanForChanges
変更監視の変更を検索します。
--max-dsm-retries
有効化を再試行する最大回数。0から100までの値を入力してください。初期設定値は30です。
--dsm-retry-interval
有効化を再試行する間隔 (秒)。1から3600までの値を入力してください初期設定値は300です。
 

Agentからのリモート有効化 (「dsa_control -a」)

エージェント起動アクティベーション(AIA)を有効にすると、マネージャとエージェント間の通信に問題が発生するのを防ぐことができ、配信スクリプトを使用してエージェントを簡単に配信できます。
AIAを設定し、インストールスクリプトを使用してAgentを有効化する方法については、Agentからのリモート有効化およびAgentからの通信を使用してAgentを有効化して保護するを参照してください。
コマンドの形式は次のとおりです:
dsa_control -a dsm://<host>:<port>/
指定する項目は次のとおりです。
  • <host> にはManagerの完全修飾ドメイン名 (FQDN)、IPv4アドレス、またはIPv6アドレスを入力します。
  • <port> は、エージェントからマネージャーへの通信 ポート番号 (初期設定では4120) です。
例:
dsa_control -a dsm://dsm.example.com:4120/ hostname:www12 "description:Long Description With Spaces"
dsa_control -a dsm://fe80::ad4a:af37:17cf:8937:4120

Agentからのハートビート有効化コマンド (「dsa_control -m」)

AgentからManagerに、ハートビートをただちに強制送信することができます。
有効化コマンドと同様、ハートビート有効化コマンドでも、実行中に設定をManagerに送信することができます。
パラメータ
説明
有効化中の使用
ハートビート中の使用
AntiMalwareCancelManualScan
ブール。
コンピュータ上で現在実行されている手動検索をキャンセルします。
"AntiMalwareCancelManualScan:true"
不可
AntiMalwareManualScan
ブール。
コンピュータに対して手動のマルウェア対策スキャンを開始します。
"AntiMalwareManualScan:true"
不可
description
文字列。
コンピュータの説明を設定します。最大2000文字。
"description:Extra information about the host"
displayname
文字列。
[コンピュータ] のホスト名の横にカッコで囲んで表示される表示名を設定します。最大2000文字。
"displayname:the_name"
externalid
整数。
externalid値を設定します。この値を使用して、Agentを一意に識別できます。この値には、従来のSOAP WebサービスAPIを使用してアクセスできます。
"externalid:123"
group
文字列。
[コンピュータ]でコンピュータが属するグループを設定します。グループ名の最大長は階層レベルごとに254文字です。
このパラメータは、メインの「コンピュータ」ルートブランチの標準グループにコンピュータを追加するためにのみ使用できます。ディレクトリ (Microsoft Active Directory)、VMware vCenter、またはクラウドプロバイダアカウントに属するグループにコンピュータを追加するためには使用できません。
"group:Zone A web servers"
groupid
整数。
"groupid:33"
hostname
文字列。
最大254文字。
ManagerがAgentに接続する際に使用するIPアドレス、ホスト名、またはFQDNを指定します。
"hostname:www1"
不可
IntegrityScan
ブール。
コンピュータで変更の検索を開始します。
"IntegrityScan:true"
不可
policy
文字列。
最大254文字。
イベントベースタスクによって割り当てられるポリシーは、Agentからのリモート有効化中に割り当てられるポリシーをオーバーライドします。
"policy:Policy Name"
policyid
整数。
"policyid:12"
relaygroup
文字列。
コンピュータを特定のRelayグループにリンクします。最大長254文字。
これはイベントベースタスク中に割り当てられたRelayグループには影響しません。このオプションかイベントベースタスクのいずれかを使用してください。両方は使用しないでください。
"relaygroup:Custom Relay Group"
relaygroupid
整数。
"relaygroupid:123"
relayid
整数。
"relayid:123"
tenantIDtoken
文字列。
Agentからのリモート有効化をテナントとして使用する場合は、tenantIDtokenの両方が必要です。tenantIDtokenはインストールスクリプト生成ツールから取得できます。
"tenantID:12651ADC-D4D5" and "token:8601626D-56EE"
RecommendationScan
ブール。
コンピュータで推奨設定の検索を開始します。
"RecommendationScan:true"
不可
UpdateComponent
ブール。
セキュリティアップデートの実行をDeep Security Managerに指示します。
Deep Security Agent 12.0以降でUpdateComponentパラメータを使用する場合は、Deep Security Relayもバージョン12.0以降であることを確認してください。詳細を表示
"UpdateComponent:true"
不可
RebuildBaseline
ブール。
コンピュータに変更監視ベースラインを再構築します。
"RebuildBaseline:true"
不可
UpdateConfiguration
ブール。
「ポリシーの送信」操作を実行するようDeep Security Managerに指示します。
"UpdateConfiguration:true"
不可

Deep Security Agentを有効化する

Agentをコマンドラインから有効化するには、テナントIDとパスワードが必要です。これらの情報はインストールスクリプトで確認できます。
  1. Deep Security Managerの右上隅にある[サポート]→[インストールスクリプト]をクリックします。
  2. プラットフォームを選択します。
  3. [インストール後にAgentを自動的に有効化]を選択します。
  4. インストールスクリプトで、tenantIDtokenの文字列を探します。

Windows

PowerShellの場合:
& $Env:ProgramFiles"\Trend Micro\Deep Security Agent\dsa_control" -a <manager URL> <tenant ID> <token>
cmd.exeの場合:
C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -a <manager URL> <tenant ID> <token>

Linux、AIX、およびSolaris

/opt/ds_agent/dsa_control -a <manager URL> <tenant ID> <token>

Agentからのハートビート有効化コマンド

Windows

PowerShellの場合:
& "\Program Files\Trend Micro\Deep Security Agent\dsa_control" -m
cmd.exeの場合:
C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -m

Linux、AIX、およびSolaris

/opt/ds_agent/dsa_control -m

不正プログラムの手動検索を開始する

Windows

  1. 管理者権限でコマンドプロンプト (cmd.exe) を開きます。
  2. 次のコマンドを入力します。
    cd C:\Program Files\Trend Micro\Deep Security Agent\
    dsa_control -m "AntiMalwareManualScan:true"

Linux、AIX、およびSolaris

/opt/ds_agent/dsa_control -m "AntiMalwareManualScan:true"

診断パッケージを作成する

Deep Security Agentに関する問題のトラブルシューティングを行う必要がある場合に、コンピュータの診断パッケージを作成して送信するよう、サポート担当者から求められることがあります。詳細な手順については、保護されているコンピュータでCLIを使用してAgentの診断パッケージを作成するを参照してください。
Deep Security Agentコンピュータの診断パッケージはDeep Security Manager経由で作成できますが、エージェントコンピュータが Agent / Appliance Initiatedコミュニケーションを使用するように設定されている場合、Managerは必要なログをすべて収集できません。そのため、テクニカルサポートから診断パッケージを要求された場合は、該当するAgentコンピュータで直接コマンドを実行する必要があります。

Agentをリセットする

このコマンドは対象のエージェントからアクティベーション情報を削除し、無効化します。

Windows

PowerShellの場合:
& "\Program Files\Trend Micro\Deep Security Agent\dsa_control" -r
cmd.exeの場合:
C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -r

Linux、AIX、およびSolaris

/opt/ds_agent/dsa_control -r

dsa_query

エージェント情報を表示するには、dsa_query コマンドを使用できます。

dsa_queryのオプション

dsa_query [-c <str>] [-p <str>] [-r <str]
パラメータ
説明
-p,--passwd <string>
オプションのAgentセルフプロテクション機能で使用される認証パスワードです。セルフプロテクションを有効化した際にパスワードを指定した場合は必須となります。
一部のクエリコマンドでは認証を直接バイパスできます。このような場合、パスワードは必要ありません。
-c,--cmd <string>
Agentに対してクエリコマンドを実行します。次のコマンドがサポートされます。
  • "GetHostInfo": ハートビート中にManagerに返されるIDを照会します
  • "GetAgentStatus": どの保護モジュールが有効になっているかを検索します. 不正プログラム対策 または 変更監視 検索のステータスおよびその他のその他の情報
  • "GetComponentInfo": 不正プログラム対策のパターンおよびエンジンのバージョン情報を照会します
  • "GetPluginVersion": Agentと保護モジュールのバージョン情報を照会します
  • “GetProxyInfo”: すべてのプロキシタイプのプロキシ情報を照会する
-r,--raw <string>
"-c"」と同じクエリコマンドの情報を返しますが、サードパーティのソフトウェアで解釈できるようにrawデータ形式で出力します。
pattern
  1. 結果をフィルタするためのワイルドカードのパターンです(オプション)。
    例:
    dsa_query -c "GetComponentInfo" -r "au" "AM*"
  2. より詳細な内容を印刷するオプションとして。
    例:
    dsa_query -c GetProxyInfo details=true
 

CPU使用率とRAM使用量を確認する

Windows

タスクマネージャーまたはprocmonを使用します。

LinuxおよびSolaris

top

AIX

topas

ds_agentプロセスまたはサービスが実行されていることを確認する

Windows

タスクマネージャーまたはprocmonを使用します。

Linux、AIX、およびSolaris

ps -ef|grep ds_agent

LinuxでAgentを再起動する

service ds_agent restart
または
/etc/init.d/ds_agent restart
または
systemctl restart ds_agent
一部の処理には-tenantnameパラメータまたは-tenantidパラメータのいずれかが必要です。テナント名を使用すると実行エラーが発生する場合は、関連付けられたテナントIDを使用してコマンドを再度実行します。

Solarisでエージェントを再起動する

svcadm restart ds_agent

AIXでエージェントを再起動する

stop agent: stopsrc -s ds_agent
start agent: startsrc -s ds_agent

dsa_scan

Windowsで管理者権限を持っているか、Linuxでrootアクセス権を持っている場合、dsa_scanコマンドを使用して、指定されたファイルやディレクトリ (サブディレクトリを含む) でスキャンタスクを実行できます。
dsa_scanは最大10個のDeep Security Agentインスタンスを同時に実行できます。
このコマンドはエージェントの現在のスキャンポリシーの含まれる設定と除外される設定 ([ポリシー]→[不正プログラム対策]→[追加]→[手動およびポリシー]→[不正プログラム対策]→[除外]→[手動]) を無視します。
dsa_scanを使用するには:
Windowsの場合:
  1. 管理者としてコマンドプロンプトを開きます。
  2. Change to the agent's installation directory: cd C:\Program Files\Trend Micro\Deep Security Agent\
  3. dsa_scan コマンドを実行します: dsa_scan <option> ここで <option>dsa_scan options に記載されている1つ以上のオプションです。
Linux で次のコマンドを実行します。
sudo /opt/ds_agent/dsa_scan <option>
<option>dsa_scan options. で説明されている1つ以上のオプションです
dsa_scan コマンドはmacOSではサポートされていません。

dsa_scanのオプション

dsa_scan [--target <str>] [--action <str>] [--log <str>]
パラメータ
説明
--target
入力ファイルの絶対パスとディレクトリを区切るために、区切り文字 "|" を使用したファイルパスまたはディレクトリ。
例ファイルパスとディレクトリ: "c:\user data|c:\app\config.exe|c:\workapps"
例のコマンド: dsa_scan --target "c:\user data|c:\app\config.exe|c:\workapps"
--action
オプション
サポートされているアクションは、許可、削除、隔離です。
パラメーターアクションが提供されていない場合、手動検索設定の現在のエージェント検索アクションが適用されます。
例コマンド: dsa_scan --action delete --target "c:\user data,c:\app\config.exe"
--log
オプション
出力ログファイルの絶対ファイルパス。
このオプションが指定されていない場合、スキャン結果はコマンドラインコンソールに出力されます。
例の出力ファイル: "c:\temp\scan.log"
例コマンド: dsa_scan --target "c:\users\" --log "c:\temp\scan.log"

dsa_scanの出力

次の表は、dsa_scanコマンドを実行した後に表示されるスキャンステータスラベルについて説明しています。
ラベル
説明
スキップ
検索ファイルのサイズが上限に達しました。
感染
ファイルが検索エンジンによって検出され、処理が実行されました。
警告
ファイルは検索エンジンによって検出されましたが、実行された処理に問題が発生しました。エラーコードを確認してください。
次に、検索出力の例を示します。
DSA on-demand scan utility
System date/time: 2023/10/12 16:04:10
trace id: 7acf6855-8547-46fc-a58f-9218d108e727
Scanning...
[Skipped] Path: /home/user1/Documents/oversize.zip
[Skipped] Path: /home/user1/Documents/xxx.big
[Infected] Path: /home/user1/Documents/readme, Action: Passed, Malware Name: EICAR, QuarantineID: 0, Error code: 0
[Infected] Path: /home/user1/Documents/sales.doc, Action: Cleaned, Malware Name: BRAIN.A, QuarantineID: 0, Error code: 0
[Warning] Path: /home/user1/Documents/po.ppt, Action: Quarantine, Malware Name: RANSOM.A, QuarantineID: 0, Error code: 5
[Infected] Path: /home/user1/Documents/shipment.zip(po.exe), Action: Deleted, Spyware Name: BLKFRI.A, QuarantineID: 0, Error code: 0
25 files scanned, 2 skipped in 10 seconds.
4 files out of 25 were infected.
End of Scan.

検索終了コード

dsa_scanコマンドの終了コードは、スキャンの成功または失敗を示します。
[成功終了コード]
成功の終了コードは、dsa_scanユーティリティが以下の表に従って、問題やウイルスを検出せず、ファイルをスキップせずにスキャンタスクを完了したことを示します。
終了コード
説明
解決方法
0
検索が完了し、不正プログラムは検出されませんでした。
不正プログラムが検出されずに検索タスクが完了しました。
1
不正プログラムが1つ以上検出され、検索が完了しました。
出力で [感染] および [警告] のラベルが付いた行を確認します。
2
スキャンが完了しました。不正プログラムは見つかりませんでしたが、いくつかのファイルがスキップされました。
出力で [スキップ] と表示されている行を確認します。
3
検索は完了しましたが、不正プログラムが検出され、一部のファイルがスキップされました。
出力で「感染」、「警告」、および「スキップ」のラベルが付いた行を確認します。
[致命的な終了コード]
dsa_scanユーティリティが致命的なエラーに遭遇した場合、dsa_scanはスキャンタスクを中断し、以下の表に従ってエラーコードを出力しました。
終了コード
説明
解決方法
246
引数文字列が長すぎます。
文字列サイズの制限は2048文字です。ターゲットパラメータを短くして、もう一度お試しください。
247
Security Platformをシャットダウンしています。
エージェントが停止しています。後でもう一度お試しください。
248
インスタンスが多すぎます。
同時に実行できるdsa_scanインスタンスは10個までです。インスタンスの数を減らしてください。
249
権限がありません。
このコマンドは、Linuxではroot、WindowsではAdministratorが必要です。検索ポリシーでエージェントが手動検索をトリガーまたはキャンセルすることを許可するを有効にします。
250
手動検索設定が設定されていません。
検索ポリシーで手動検索を設定します。
251
AM機能が有効になっていません。
検索ポリシーでAM機能を有効にします。
252
このプラットフォームはサポートされていません。
dsa_scanは現在のOSプラットフォームではサポートされていません。
253
Agentが実行されていません。
Deep Security Agentが実行されていません。エージェントを有効にするか、管理者に連絡してください。
254
パラメータが無効です。
入力パラメータが正しくありません。
255
予期しないエラーです。
しばらくしてからもう一度お試しください。問題が解決しない場合は、管理者に問い合わせてください。

dsm_c

dsm_c コマンドを使用して、マネージャの設定を構成し、ユーザアカウントのロックを解除できます。
注意
注意
いくつかのコマンドはDeep Security Managerの再起動を引き起こす可能性があります。コマンドを実行した後、Deep Security Managerが再起動したことを確認してください。

dsm_cオプション

dsm_c -action actionname
コマンドのヘルプを表示するには、-hオプションを使用します。dsm_c -h
一部の処理には-tenantnameパラメータまたは-tenantidパラメータのいずれかが必要です。テナント名を使用すると実行エラーが発生する場合は、関連付けられたテナントIDを使用してコマンドを再度実行します。以下の表に角括弧で示されているすべてのパラメータは必須です。
処理名
説明
使用方法
addazureendpoint
Azureエンドポイントを許可されたエンドポイントリストに追加します。このコマンドには ENDPOINT パラメータが必要です。このパラメータは、 https://<fqdn>の形式で指定する必要があります。許可されたエンドポイントリストは、 Deep Security ManagerにAzureアカウントを追加する際に指定されたエンドポイントの検証に使用されます。エンドポイントを指定しない場合、初期設定の組み込みエンドポイントのみが許可されます。
Azureアカウントの追加については、 Deep SecurityにMicrosoft Azureアカウントを追加するを参照してください。
関連するdsm_cオプション:
listazureendpointとremoveazureendpoint
dsm_c -action addazureendpoint -endpoint ENDPOINT
addcert
信頼済み証明書を追加します。
dsm_c -action addcert -purpose PURPOSE -cert CERT
addregion
プライベートクラウドプロバイダのリージョンを追加します。
dsm_c -action addregion -region REGION -display DISPLAY -endpoint ENDPOINT
changesetting
設定を変更します。
コマンドを実行する前に、デプロイメントをバックアップする必要があります。設定の影響を理解していない場合は、このコマンドを使用しないでください。設定に誤りがあると、サービスが使用できなくなったり、データを読み取れなくなったりする可能性があります。通常、このコマンドは、テクニカルサポートプロバイダから変更する設定NAMEを指示された場合にのみ使用します。通常の使用時にこのコマンドが必要になる場合があります。その場合の設定については、masterkeyなど、ドキュメントの該当するセクションで説明されています。
dsm_c -action changesetting -name NAME [-value VALUE | -valuefile FILENAME] [-computerid COMPUTERID] [-computername COMPUTERNAME] [-policyid POLICYID] [-policyname POLICYNAME] [-tenantname TENANTNAME | -tenantid TENANTID]
createinsertstatements
別のデータベースへのエクスポートに使用するinsert文を作成します。
dsm_c -action createinsertstatements [-file FILEPATH] [-generateDDL] [-databaseType sqlserver|oracle] [-maxresultfromdb count] [-tenantname TENANTNAME | -tenantid TENANTID]
diagnostic
システム用の診断パッケージを作成します。
必要に応じて、詳細な診断パッケージのプロセスメモリを増やすことができます。
dsm_c -action diagnostic [-verbose 0|1] [-tenantname TENANTNAME | -tenantid TENANTID]
disablefipsmode
FIPSモードを無効にする。
dsm_c -action disablefipsmode
enablefipsmode
FIPSモードを有効にする。
dsm_c -action enablefipsmode
fullaccess
管理者にFull Accessの役割を与えます。
dsm_c -action fullaccess -username USERNAME [-tenantname TENANTNAME | -tenantid TENANTID]
listazureendpoint
許可されているAzureエンドポイントをすべてリストします。
関連するdsm_cオプション:
addazureendpointとremoveazureendpoint
dsm_c -action listazureendpoint
listcerts
信頼済み証明書を一覧表示します。
dsm_c -action listcerts [-purpose PURPOSE]
listregions
プライベートクラウドプロバイダのリージョンを一覧表示します。
dsm_c -action listregions
masterkey
カスタムのマスターキーを生成、インポート、エクスポート、または使用して、以下を暗号化します。
  • データベースのパスワード
  • Keystoreパスワード
  • 個人データ
カスタムマスターキーが設定されていない場合、Deep Securityはハードコードされたシードを使用します。
[新規インストール]の実行中にすでにマスターキーを設定している場合は、このセットアップは完了です。マスターキーの作成をスキップして、今すぐ設定する場合は、手順1のコマンドから開始してください。すべてのコマンドを順に入力します。新しいマスターキーを生成するには、手順1のコマンドから開始し、すべてのコマンドを順に入力します。
[アップグレード]時にマスターキーを設定した場合は、データベースとプロパティファイルをバックアップして、手順4のコマンドから開始してください。
  1. dsm_c -action masterkey -subaction [generatekmskey -arn AWSARN | generatelocalkey] - Key Management System (KMS) キーのAmazon Resource Name (ARN) か、LOCAL_KEY_SECRETローカル環境変数を使用して、マスターキーを生成します。マルチノードDeep Security Managerでローカル環境変数を使用する場合は、システムレベルのすべてのノードで設定する必要があります (ユーザレベルの), では使用できません。また、最低でも次を含める必要があります。
    • 大文字
    • 小文字の手紙
    • 数字
    • 特殊文字
    • 8〜64文字
    Deep Security Managerでマスターキーを設定する場合、KMSまたはLOCAL_KEY_SECRETへの権限と信頼できるネットワークアクセスが必要です。マネージャは、使用中にマスターキーを暗号化および復号化するためにそれらを使用します。一時的にアクセスできない場合、Deep Security Managerは必要なデータを復号化できず、サービスが利用できなくなります。症状には、断続的なイベントログや再起動失敗のアラート、その他のさまざまなエラーが含まれることがあります。
  2. dsm_c -action masterkey -subaction export -file FILEPATH - マスターキーをバックアップのために、パスワードで暗号化されたファイルにエクスポートします。パスワードが要求されます。
    マスターキーを安全な場所にエクスポートしてバックアップする必要があります。マスターキーが紛失または破壊され、バックアップがない場合、すべての暗号化データが読み取れなくなります。その場合、Deep Security Manager、すべてのリレー、およびすべてのエージェントを再インストールする必要があります。キーが盗まれた場合、Deep Securityの展開のセキュリティが侵害されます。ヨーロッパの一般データ保護規則 (GDPR) などの一部のコンプライアンス規制では、個人データの侵害を72時間以内に法執行機関に通知することが法律で義務付けられており、違反すると罰金が科される可能性があります。詳細については、弁護士に相談してください。
    障害復旧を目的にバックアップを検証するには、マスターキーをインポートしてテストします。
    dsm_c -action masterkey -subaction [importkmskey -file FILEPATH -arn AWSARN | importlocalkey -file FILEPATH] — マスターキーのバックアップをインポートします。これは、破損したキーの災害復旧や、マスターキーを別のKMSに移行するために役立ちます。このコマンドを実行する前に、プライマリテナント (T0) データベースから既存のマスターキーを削除する必要があります。
    たとえば、以下のSQLコマンドを入力します。
    delete from systemsettings where uniquekey = 'settings.configuration.keyEncryptingKey'
  3. dsm_c -action masterkey -subaction encryptproperties — dsm.propertiesとconfiguration.properties内のキーストアおよびデータベースパスワードを暗号化するためにマスターキーを使用します。この設定を有効にするには、Deep Security Managerを再起動する必要があります。
  4. dsm_c -action masterkey -subaction encrypttenantkey -tenantid [all | TENANTNUM] — マルチテナント環境の場合は、マスターキーを使用して既存のテナントキーシードを暗号化します。テナントキーシードは、次の手順で使用できるサブキーを派生させます。このコマンドは複数回実行できます (すでに暗号化されているシードに追加の暗号化レイヤは適用されません)。
    オプションとして、新しいテナントにのみ暗号化を適用し、既存の各テナントに徐々に展開するには、次のコマンドを実行することから始めることができます。
    dsm_c -action changesetting -name settings.configuration.encryptTenantKeyForNewTenants -value true
    環境にプライマリテナントが1つしかない場合、tenantidallまたは0にすることができます。
  5. dsm_c -action masterkey -subaction encryptpii -tenantid [all | TENANTNUM] — マルチテナント展開がある場合は、各テナントのキーを使用して、データベース内の管理者および連絡先の個人データを暗号化します。環境に1つ (プライマリ) のテナントしかない場合、tenantidallまたは0のいずれかを指定できます。
  6. dsm_c -action masterkey -subaction encryptdsmprivatekey -tenantid [all | TENANTNUM] — マスターキーを使用して、SSL/TLSを介したアクティベーションおよびAgent/Manager間の通信に使用される秘密鍵を暗号化します。環境内に (プライマリ) テナントが1つしかない場合、tenantidallまたは0のいずれかになります。
  7. dsm_c -action masterkey -subaction isconfigured — マスターキーが作成されたかどうかを確認します。
removeazureendpoint
許可されたエンドポイントリストからAzureエンドポイントを削除します。
dsm_c -action addazureendpoint コマンドを使用して追加されたエンドポイントのみを削除できます。初期設定の組み込みエンドポイントは削除できません。
関連するdsm_cオプション:
addazureendpoint と listazureendpoint
dsm_c -action removeazureendpoint -endpoint ENDPOINT
removecert
信頼済み証明書を削除します。
dsm_c -action removecert -id ID
removeregion
プライベートクラウドプロバイダのリージョンを削除します。
dsm_c -action removeregion -region REGION
resetcounters
カウンタテーブルをリセットして空の状態に戻します。
dsm_c -action resetcounters [-tenantname TENANTNAME | -tenantid TENANTID]
script
スクリプトファイル内にあるdsm_cコマンドのバッチ処理を実行します。
dsm_c -action script -scriptfile FILEPATH [-tenantname TENANTNAME | -tenantid TENANTID]
setports
Deep Security Manager ポートを設定します。
dsm_c -action setports [-managerPort port] [-heartbeatPort port]
trustdirectorycert
ディレクトリの証明書を信頼します。
dsm_c -action trustdirectorycert -directoryaddress DIRECTORYADDRESS -directoryport DIRECTORYPORT [-username USERNAME] [-password PASSWORD] [-tenantname TENANTNAME | -tenantid TENANTID]
unlockout
ユーザアカウントのロックを解除します。
dsm_c -action unlockout -username USERNAME [-newpassword NEWPASSWORD] [-disablemfa][-tenantname TENANTNAME | -tenantid TENANTID]
upgradetasks
インサービスアップグレードの一環として必要になる場合がある、アップグレードタスク処理を実行します。
dsm_c -action upgradetasks [-listtasksets] [-listtasks -taskset UPGRADE_TASK_SET [-force]] [-tenantlist] [-tenantsummary] [-run -taskset UPGRADE_TASK_SET [-force] [-filter REGULAR_EXPRESSION]] [-showrollbackinfo -task TASKNAME] [-purgehistory [-task TASKNAME]] [-showhistory [-task TASKNAME]] [-tenantname TENANTNAME | -tenantid TENANTID]
  • [-listtasksets]:システム全体またはテナント (-tenantnameで指定) 用の一連のタスクを一覧表示します。
  • [-listtasks -taskset UPGRADE_TASK_SET [-force]]: 実行する変更内容を一覧表示します。すべてのタスクを表示するには、-forceを指定します。
  • [-tenantlist]: 指定したテナントの未解決アップグレード処理のバージョンを表示します。
  • [-tenantsummary]: 最新ではないテナントの概要を表示します。
  • [-run -taskset UPGRADE_TASK_SET [-force] [-filter REGX]]: 各テナントにアップグレード処理を実行します。実行済みであっても、すべてのタスクを実行する場合は、-forceを含めます。正規表現で処理を制限する場合は、-filterを含めます。
  • [-showrollbackinfo -task TASKNAME]: 指定したタスクのロールバック情報を表示します。1つのテナントまたはすべてのテナントを表示できます。
  • [-purgehistory [-task TASKNAME]]: 指定したテナントやタスクの履歴を削除します。テナントやタスクを指定しないと、すべての項目が対象になります。
  • [-showhistory [-task TASKNAME]]: 指定したテナントやタスクの履歴を表示します。テナントやタスクを指定しないと、すべての項目が対象になります。
versionget
現在のソフトウェアバージョン、データベーススキーマバージョン、またはその両方に関する情報を表示します。
dsm_c -action versionget [-software] [-dbschema]
viewsetting
設定値を表示します。
dsm_c -action viewsetting -name NAME [-computerid COMPUTERID] [-computername COMPUTERNAME] [-policyid POLICYID] [-policyname POLICYNAME] [-tenantname TENANTNAME | -tenantid TENANTID]

戻りコード

dsm_c コマンドは、コマンドが正常に実行されたかどうかを示す整数値を返します。返される値は次のとおりです:
  • 0: 正常に実行されました。
  • -1: 不明な性質の障害、例えばソフトウェアインストールの破損。
  • 1: 実行中のエラー、例えばデータベースが現在アクセスできない場合。
  • 2: 無効な引数が提供されました。