ビュー:
ローカルのコマンドラインインタフェース (CLI) を使用して、エージェントと Server & Workload Protection の両方に多くの処理を実行するように指示できます。 CLIでは、一部の設定を行い、システムリソースの使用状況を表示することもできます。
ヒント
ヒント
Server & Workload Protection APIを使用して、以下のCLIコマンドの多くを自動化することもできます。 APIの使用を開始するには、を参照してください。 Server & Workload Protection 自動化への第一歩
CLIコマンドは次のとおりです。

dsa_control 親トピック

使用できますdsa_control一部のエージェント設定を構成したり、アクティベーション、不正プログラム検索、ベースラインの再構築などの一部の処理を手動で開始したりできます。
注意
注意
Windowsの場合自己保護が有効になっていますの場合、ローカルユーザはエージェントのアンインストール、アップデート、停止、またはその他の制御を行うことはできません。また、CLIコマンドの実行時に認証パスワードも指定する必要があります。
注意
注意
macOSでは、自己保護が有効になっている場合、ローカルユーザはエージェントのアンインストール、変更、停止、またはその他の制御を行うことはできません。また、CLIコマンドの実行時に認証パスワードも指定する必要があります。
注意
注意
Dsa_controlは英語の文字列のみをサポートします。 Unicodeはサポートされていません。
使用するdsa_control :

手順

  • Windowsの場合:
    1. 管理者権限でコマンドプロンプトを開きます。
    2. エージェントのインストールディレクトリに移動します。例: cd C:\Program Files\Trend Micro\Deep Security Agent\
    3. <option>がdsa_control オプションで説明されているオプションのいずれかに置き換えられる場合、dsa_control: dsa_control <option> を実行します。
  • Linuxの場合:
    • sudo /opt/ds_agent/dsa_control <option> <option> dsa_control オプションで説明されているオプションのいずれかに置き換えられる場合、
  • macOSの場合:
    1. 管理者としてターミナルウィンドウを開きます。
    2. エージェントのインストールディレクトリに移動します。例: cd /Library/Application Support/com.trendmicro.DSAgent
    3. <option>がdsa_control オプションで説明されているオプションのいずれかに置き換えられる場合、dsa_control: dsa_control <option> を実行します。

dsa_controlのオプション 親トピック

dsa_control [-a <str>] [-b] [-c <str>] [-d] [-g <str>] [-s <num>] [-m] [-p <str>] [-r] [-R <str>] [-t <num>] [-u <str>:<str>] [-w <str>:<str>] [-x dsm_proxy://<str>] [-y relay_proxy://<str>] [--buildBaseline] [--scanForChanges] [Additional keyword:value data to send to Server & Workload Protection during activation or heartbeat...]
パラメータ
説明
-a <str>, --activate=<str>
次の形式で指定されたURLのManagerに対して、Agentを有効化します。
dsm://<host>:<port>/
ここで、
<host>マネージャーの完全修飾ドメイン名 (FQDN)、IPv4 アドレス、または IPv6 アドレスのいずれかになります。
<port> is the manager's listening port number
必要に応じて、引数の後に、アクティベーション時に送信する説明などの設定を指定することもできます。参照Agentからのハートビートコマンド (「dsa_control -m」) 。キーと値のペアとして入力する必要があります (区切り文字はコロン)。入力できるキーと値のペアの数に制限はありませんが、キーと値のペアはスペースで区切る必要があります。スペースや特殊文字が含まれる場合は、key:valueのペアを引用符で囲む必要があります。
-b, --bundle
アップデートバンドルを作成します。
macOSではサポートされていません
-c <str>, --cert=<str>
証明書ファイルを特定します。
macOSではサポートされていません
-d, --diag
エージェントパッケージを生成します。
詳細な手順については、を参照してください。保護対象コンピュータでCLIを使用してエージェント診断パッケージを作成する
-g <str>, --agent=<str>
AgentのURLです。
デフォルトはhttps://localhost:<port>/どこ<port>マネージャーが聞いていますポート番号
macOSではサポートされていません
-m, --heartbeat
Agentを今すぐ強制的にManagerに接続します。
-p <str>また--passwd=<str>
以前に Server & Workload Protection で設定した可能性のある認証パスワード。参照Workload Securityによる自己保護の設定詳細については、
設定されている場合は、すべてのdsa_controlコマンドにパスワードを含める必要があります。を除くdsa_control -a ,dsa_control -x 、およびdsa_control -y
例: dsa_control -m -p MyPa$w0rd
コマンドラインにパスワードを直接入力すると、画面に表示されます。入力時にアスタリスク (\*) の付いたパスワードを非表示にするには、次のコマンドを対話形式で入力します。-p \*パスワードの入力を求められます。
例:
dsa_control -m -p *
-r, --reset
Agentの設定をリセットします。これにより、Agentから有効化情報が削除され、 エージェントが無効化されます。
-R <str>, --restore=<str>
隔離ファイルを復元します。 Windowsでは、駆除されたファイルや削除されたファイルを復元することもできます。
-s <num>, --selfprotect=<num>
エージェントの自己保護を有効にします (1: 有効、0: 無効)。自己保護機能により、ローカルエンドユーザはエージェントをアンインストール、停止、または制御できなくなります。詳細については、 エージェントセルフプロテクションの有効化または無効化[注意: ] dsa_controlでは自己保護を有効にできますが、関連付けられた認証パスワードを設定することはできません。そのためには Server & Workload Protection が必要です。参照Workload Securityによる自己保護の設定詳細については、設定が完了したら、コマンドラインでパスワードを入力する必要があります。-pまたは--passwd=オプション。
-t <num>, --retries=<num>
dsa_control がエージェントサービスに接続して付随する指示を実行できない場合、このパラメータはdsa_control に再試行するよう指示します。<num>何度か。再試行の間には 1 秒の一時停止があります。 macOS ではサポートされていません
-u <user>:<password>
と組み合わせて使用​​されます。-xプロキシが認証を必要とする場合、プロキシのユーザー名とパスワードを指定するオプション。ユーザー名とパスワードはコロン (:) で区切ります。例えば、# ./dsa_control -x dsm_proxy://<str> -u <new username>:<new password> 。ユーザー名とパスワードを削除するには、空の文字列 ("") を入力します。例えば、 # ./dsa_control -x dsm_proxy://<str> -u <existing username>:"" 。プロキシのユーザー名を変更せずにプロキシのパスワードのみを更新したい場合は、-uなしのオプション-x。例えば、# ./dsa_control -u <existing username>:<new password> 。基本認証のみ。ダイジェストと NTLM はサポートされていません。 [注意: ] の使用dsa_control -uエージェントのローカル構成にのみ適用されます。このコマンドを実行しても、マネージャー上のセキュリティ ポリシーは変更されません。
-w <user>:<password>
と組み合わせて使用​​されます。-yプロキシが認証を必要とする場合、プロキシのユーザー名とパスワードを指定するオプション。ユーザー名とパスワードはコロン (:) で区切ります。例えば、# ./dsa_control -y relay_proxy://<str> -w <new username>:<new password> 。ユーザー名とパスワードを削除するには、空の文字列 ("") を入力します。例えば、# ./dsa_control -y relay_proxy://<str> -w <existing username>:"" 。プロキシのユーザー名を変更せずにプロキシのパスワードのみを更新したい場合は、-wなしのオプション-y 。例えば、# ./dsa_control -w <existing username>:<new password> 。基本認証のみ。ダイジェストと NTLM はサポートされていません。 [注意: ] の使用dsa_control -wエージェントのローカル構成にのみ適用されます。このコマンドを実行しても、マネージャー上のセキュリティ ポリシーは変更されません。
-x dsm_proxy://<str>:<num>
エージェントとManagerの間にプロキシを設定します。プロキシのIPv4/IPv6アドレスまたはFQDNを入力し、ポート番号、コロン (:) で区切られます。 IPv6アドレスは角括弧で囲む必要があります。例:dsa_control -x "dsm_proxy://[fe80::340a:7671:64e7:14cc]:808/" 。 URLの代わりにアドレスを削除するには、空の文字列 ("") を入力します。 -uオプションも参照してください。詳細については、プロキシ経由で Server & Workload Protection に接続する[注意: ] の使用dsa_control -x Agentのローカル設定にのみ適用されます。このコマンドを実行しても、Managerのセキュリティポリシーは変更されません。
-y relay_proxy://<str>:<num>
エージェントとRelayの間にプロキシを設定します。プロキシのIPアドレスまたはFQDNを入力し、ポート番号、コロン (:) で区切られます。 IPv6アドレスは角括弧で囲む必要があります。例:dsa_control -y "relay_proxy://[fe80::340a:7671:64e7:14cc]:808/" 。 URLの代わりにアドレスを削除するには、空の文字列 ("") を入力します。 -wオプションも参照してください。詳細については、プロキシ経由でRelayに接続する[注意: ] の使用dsa_control -y Agentのローカル設定にのみ適用されます。このコマンドを実行しても、Managerのセキュリティポリシーは変更されません。
--buildBaseline
変更監視のベースラインを作成します。 macOSではサポートされていません
--scanForChanges
変更監視の変更を検索します。 macOSではサポートされていません
--max-dsm-retries
アクティベーションを再試行する回数。有効な値は0~100です。初期設定は30です。
--dsm-retry-interval
アクティベーションを再試行する間隔の概算秒数。有効な値は1~3600です。初期設定は300です。
--autoDetectOSProxy
OSプロキシの自動検出を有効/無効にするフラグ。このフラグは、C1WSのエージェント設定によって制御されます。値は、1: 有効、0: 無効です。
--osProxyResolveTimeout
プロキシリゾルバのタイムアウト値 (秒単位) は、dsa_control --osProxyResolveTimeout=で設定できます。<resolveTimeout> ;<connectTimeout> ;<sendTimeout> ;<receiveTimeout> 。これらはセミコロンで区切られ、各タイムアウト値の範囲は10~180であることに注意してください。
--pacproxy
エージェントの対応するプロキシを解決するように [プロキシ自動設定 (PAC)] サーバーを構成します。 PAC サーバーの IP アドレスまたは FQDN、ポート番号、および PAC ファイルのパスを指定します。例えば:http://<Host>:<Port>/<PAC file> PAC プロキシ設定をクリアするには、空の文字列 ("") を入力します。
このコマンドでは、次のような特定のコンポーネントタイプを割り当てる必要があります。
Manager間で通信するためのプロキシ解決用PACサーバの設定
> dsa_control --pacproxy http://pac.example/proxy.pac manager
Relay間で通信するためのプロキシ解決用PACサーバの設定
> dsa_control --pacproxy http://pac.example/proxy.pac relay
上記の両方のコマンドを同時に設定します。
> dsa_control --pacproxy http://pac.example/proxy.pac manager relay
既存の設定をクリアします。> dsa_control --pacproxyunpw "" manager relay
詳細については、プロキシ経由でRelayに接続する
注意
注意
  • dsa_control --pacproxyの使用は、エージェントのローカル設定にのみ適用されます。このコマンドを実行しても、Managerのセキュリティポリシーは変更されません。
  • このパラメータは、WindowsおよびLinuxプラットフォーム用のDeep Security Agentでのみサポートされます。
--pacproxyunpw
と組み合わせて使用​​されます。--pacproxyオプション。プロキシが認証を必要とする場合、PAC で解決されたプロキシのユーザー名とパスワードを指定します。ユーザー名とパスワードはコロン (:) で区切ります。ユーザー名とパスワードをクリアするには、空の文字列 ("") を入力します。コマンドでは、次のように特定のコンポーネント タイプを割り当てる必要があります。次のように、次のように通信します。プロキシを解決するための PAC サーバーを設定します。マネジャー> dsa_control --pacproxyunpw <username>:<password> managerRelay間で通信するためのプロキシを解決するためのPACサーバーを設定します。> dsa_control --pacproxyunpw <username>:<password> relay上記の両方のコマンドを一度に設定します。> dsa_control --pacproxyunpw <username>:<password> manager relay既存の設定をクリアします。> dsa_control --pacproxyunpw "" manager relayプロキシのユーザー名を変更せずにプロキシのパスワードを更新するには、--pacproxyunpwなしのオプション--pacproxy :> dsa_control --pacproxyunpw <existing username>:<new password>
注意
注意
  • このパラメータは、WindowsおよびLinuxプラットフォーム用のDeep Security Agentでのみサポートされます。
  • このパラメータは、基本認証のみを提供します。 DigestとNTLMはサポートされていません。
  • 使用するdsa_control --pacproxyunpw Agentのローカル設定にのみ適用されます。このコマンドを実行しても、Managerのセキュリティポリシーは変更されません。

Agentからのリモート有効化 (「dsa_control -a」) 親トピック

Agentからの起動による有効化 (AIA) を有効にすると、ManagerとAgent間の通信の問題を防ぎ、配信スクリプトを使用する場合にエージェントの配信を簡素化できます。
注意
注意
AIAを設定し、配信スクリプトを使用してAgentを有効にする手順については、を参照してください。 Agentからの有効化と通信を使用したAgentの有効化と保護
このコマンドには次の形式を使用します。
dsa_control -a dsm://<host>:<port>/
ここで、
  • <host>マネージャーの完全修飾ドメイン名 (FQDN)、IPv4 アドレス、または IPv6 アドレスのいずれかを指定できます。
  • <port>エージェントからマネージャーへのコミュニケーションですポート番号443)。
例:
dsa_control -a dsm://dsm.example.com:4120/ hostname:www12 "description:Long Description With Spaces"
dsa_control -a dsm://fe80::ad4a:af37:17cf:8937:4120

Agentからのハートビートコマンド (「dsa_control -m」) 親トピック

AgentからManagerに、ハートビートをただちに強制送信することができます。
有効化コマンドと同様、ハートビート有効化コマンドでも、実行中に設定をManagerに送信することができます。
パラメータ
説明
有効化中の使用
ハートビート中の使用
AntiMalwareCancelManualScan
ブール値。コンピュータで現在実行中のオンデマンド (「手動」) 検索をキャンセルします。
"AntiMalwareCancelManualScan:true"
no
はい
AntiMalwareManualScan
ブール値。コンピュータでオンデマンド (「手動」) の不正プログラム対策検索を開始します。
"AntiMalwareManualScan:true"
no
はい
description
文字列。コンピュータの説明を設定します。最大長は2000文字です。
"description:Extra information about the host"
はい
はい
displayname
文字列。 [コンピュータ]のホスト名の横にある括弧で囲まれた表示名を設定します。最大長は2000文字です。
"displayname:the_name"
はい
はい
externalid
整数。を設定します。externalid値。この値を使用して、エージェントを一意に識別できます。この値には、従来のSOAP WebサービスAPIを使用してアクセスできます。
"externalid:123"
はい
はい
group
文字列。コンピュータが属するグループを [コンピュータ]に設定します。階層レベルごとのグループ名の最大長は254文字です。スラッシュ ("/") は、グループ階層を示します。はgroupパラメータは、グループの階層を読み取ったり、階層を作成したりできます。このパラメータは、メインの「コンピュータ」ルートブランチの下の標準グループにコンピュータを追加する場合にのみ使用できます。ディレクトリ (Microsoft Active Directory)、VMware vCenter、またはクラウドプロバイダアカウントに属するグループにコンピュータを追加するためには使用できません。
"group:Zone A web servers"
はい
はい
groupid
整数。
"groupid:33"
はい
はい
hostname
文字列。最大長は254文字です。ホスト名には、Managerがエージェントへの接続に使用できるIPアドレス、ホスト名、またはFQDNを指定できます。
"hostname:www1"
はい
no
IntegrityScan
ブール値。コンピュータで整合性検索を開始します。
"IntegrityScan:true"
no
はい
policy
文字列。最大長は254文字です。ポリシー名は、大文字と小文字を区別せずにポリシーリストに一致します。ポリシーが見つからない場合、ポリシーは割り当てられません。イベントベースのタスクによって割り当てられたポリシーは、Agentからの有効化中に割り当てられたポリシーよりも優先されます。
"policy:Policy Name"
はい
はい
policyid
整数。
"policyid:12"
はい
はい
relaygroup
文字列。コンピュータを特定のRelayグループにリンクします。最大長は254文字です。 Relayグループ名は、既存のRelayグループ名と大文字と小文字が区別されません。 Relayグループが見つからない場合は、初期設定のRelayグループが使用されます。イベントベースのタスクで割り当てられたRelayグループには影響しません。このオプションまたはイベントベースのタスクのいずれかを使用します。両方を使用することはできません。
"relaygroup:Custom Relay Group"
はい
はい
relaygroupid
整数。
"relaygroupid:123"
はい
はい
relayid
整数。
"relayid:123"
はい
はい
tenantID and token
文字列。 Agentからのアクティベーションをテナントとして使用している場合は、tenantIDそしてtokenが必要です。はtenantIDそしてtoken配布スクリプト生成ツールから取得できます。
"tenantID:12651ADC-D4D5" and "token:8601626D-56EE"
はい
はい
RecommendationScan
ブール値。コンピュータで推奨設定の検索を開始します。
"RecommendationScan:true"
no
はい
UpdateComponent
ブール値。セキュリティアップデートを実行するように Server & Workload Protection に指示します。を使用する場合は、UpdateComponentパラメータをバージョン12.0以降のAgentで使用する場合は、Relayもバージョン12.0以降であることを確認してください。詳細はこちら
"UpdateComponent:true"
no
はい
RebuildBaseline
ブール値。コンピュータの変更監視ベースラインを再構築します。
"RebuildBaseline:true"
no
はい
UpdateConfiguration
ブール値。 「ポリシーの送信」操作を実行するように Server & Workload Protection に指示します。
"UpdateConfiguration:true"
no
はい

Agentを有効化する 親トピック

コマンドラインからエージェントを有効にするには、テナントIDとパスワードが必要です。これらは、配置スクリプトから取得できます。

手順

  1. Server & Workload Protectionの右上にある [管理][アップデート][使用ソフトウェア名][ローカル][インストールスクリプトの生成]をクリックします。
  2. プラットフォームを選択します。
  3. [インストール後にAgentを自動的に有効化]を選択します。
  4. 配置スクリプトで、次の文字列を見つけます。tenantIDそしてtoken

次に進む前に

Windows 親トピック

PowerShellの場合:
& $Env:ProgramFiles"\Trend Micro\Deep Security Agent\dsa_control" -a <manager URL> <tenant ID> <token>
cmd.exeの場合:
C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -a <manager URL> <tenant ID> <token>

Linux 親トピック

/opt/ds_agent/dsa_control -a <manager URL> <tenant ID> <token>

macOS 親トピック

cd /Library/Application Support/com.trendmicro.DSAgent/
sudo ./dsa_control -a <manager URL> <tenant ID> <token>

Agentからのハートビート有効化コマンド 親トピック

Windows 親トピック

PowerShellの場合:
& "\Program Files\Trend Micro\Deep Security Agent\dsa_control" -m
cmd.exeの場合:
C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -m

Linux 親トピック

/opt/ds_agent/dsa_control -m

macOS 親トピック

cd /Library/Application Support/com.trendmicro.DSAgent/
sudo ./dsa_control -m

不正プログラムの手動検索を開始する 親トピック

Windows 親トピック

手順

  1. 管理者権限でコマンドプロンプト (cmd.exe) を開きます。
  2. 次のコマンドを入力します。
    cd C:\Program Files\Trend Micro\Deep Security Agent\
    dsa_control -m "AntiMalwareManualScan:true"

Linux 親トピック

/opt/ds_agent/dsa_control -m "AntiMalwareManualScan:true"

macOS 親トピック

サポートされません。

診断パッケージの作成 親トピック

エージェントの問題のトラブルシューティングが必要な場合、サポートプロバイダから診断パッケージを作成してコンピュータから送信するように求められることがあります。詳細な手順については、を参照してください。保護対象コンピュータでCLIを使用してエージェント診断パッケージを作成する
注意
注意
Server & Workload Protection を使用してエージェントコンピュータ用の診断パッケージを生成できますが、 Agent/Applianceからの通信の場合、Managerは必要なログをすべて収集できません。そのため、テクニカルサポートから診断パッケージの提供を求められた場合は、エージェントコンピュータで直接コマンドを実行する必要があります。

Agentをリセットする 親トピック

このコマンドにより、ターゲットのAgentから有効化情報が削除され、無効化されます。

Windows 親トピック

PowerShellの場合:
& "\Program Files\Trend Micro\Deep Security Agent\dsa_control" -r
cmd.exeの場合:
C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -r

Linux 親トピック

/opt/ds_agent/dsa_control -r

macOS 親トピック

cd /Library/Application Support/com.trendmicro.DSAgent/
sudo ./dsa_control -r

dsa_query 親トピック

注意
注意
macOSではサポートされていません。
次を使用できます。dsa_queryエージェント情報を表示するコマンド。

dsa_queryのオプション 親トピック

dsa_query [-c <str>] [-p <str>] [-r <str]
パラメータ
説明
-p,--passwd <string>
オプションで使用する認証パスワードエージェントの自己保護機能。自己保護を有効にするときにパスワードを指定した場合は必須です。 [注意: ] 一部のクエリコマンドでは、認証を直接バイパスできます。この場合、パスワードは不要です。
-c,--cmd <string>
エージェントに対してquery-commandを実行します。次のコマンドがサポートされています。"GetHostInfo" : ハートビート時にManagerに返されるIDを問い合わせます。"GetAgentStatus" : 有効になっている保護モジュール、進行中の不正プログラム対策または変更監視の検索のステータス、およびその他の情報を照会します。"GetComponentInfo" : 不正プログラム対策パターンとエンジンのバージョン情報を照会します。"GetPluginVersion" : エージェントおよび保護モジュールのバージョン情報を照会します。
-r,--raw <string>
"-c"と同じクエリコマンド情報を返します。ただし、サードパーティのソフトウェアで解釈できる生データ形式です。
pattern
結果をフィルタするワイルドカードパターン。オプション。 [例:]dsa_query -c "GetComponentInfo" -r "au" "AM*"

CPU使用率とRAM使用率を確認する 親トピック

Windows 親トピック

タスクマネージャーまたはprocmonを使用します。

Linux 親トピック

top

ds_agentプロセスまたはサービスが実行されていることを確認する 親トピック

Windows 親トピック

タスクマネージャーまたはprocmonを使用します。

Linux 親トピック

ps -ef|grep ds_agent

LinuxでAgentを再起動する 親トピック

service ds_agent restart
または
/etc/init.d/ds_agent restart
または
systemctl restart ds_agent
一部の処理では、-tenantnameパラメータまたは-tenantidパラメータ。テナント名の使用時に問題が発生した場合は、関連付けられたテナントIDを使用してコマンドを実行してください。