命令列基礎 | Trend Micro Service Central

檢視次數:

您可以使用本地命令行介面 (CLI) 來指揮代理和 Server & Workload Security保護執行許多操作。CLI 還可以配置一些設定，並顯示系統資源使用情況。

秘訣

您也可以使用 Server & Workload Security保護 API 自動化以下許多 CLI 命令。要開始使用 API，請參閱邁向 Server & Workload Security保護自動化的第一步。

以下是 CLI 命令：

dsa_control
dsa_query

dsa_control

您可以使用dsa_control來配置一些代理設定，並手動觸發一些操作，例如啟動、惡意程式防護掃描和基線重建。

注意

在 Windows 上，當已啟動自我保護時，本機使用者無法卸載、更新、停止或以其他方式控制代理。他們在執行 CLI 命令時還必須提供驗證密碼。

注意

在 macOS 上，當自我保護已啟動時，本機使用者無法卸載、修改、停止或以其他方式控制代理。他們在執行 CLI 命令時還必須提供驗證密碼。

注意

Dsa_control 只支援英文字串。不支援 Unicode。

要使用dsa_control：

步驟

在 Windows 中：
1. 以管理員身份開啟命令提示字元。
2. Change to the agent's installation directory. For example: cd C:\Program Files\Trend Micro\Deep Security Agent\
3. 執行 dsa_control：dsa_control <option>，其中 <option> 替換為 dsa_control 選項中描述的選項之一
在 Linux 中：
- sudo /opt/ds_agent/dsa_control <option>，其中 <option> 需替換為 dsa_control options 中描述的其中一個選項
在 macOS 中：
1. 以管理員身份開啟終端機視窗。
2. 更改至代理程式的安裝目錄。例如：cd /Library/Application Support/com.trendmicro.DSAgent
3. 執行 dsa_control：dsa_control <option>，其中 <option> 替換為 dsa_control 選項中描述的選項之一

dsa_control 選項

dsa_control [-a <str>] [-b] [-c <str>] [-d] [-g <str>] [-s <num>] [-m] [-p <str>]
                     [-r] [-R <str>] [-t <num>] [-u <str>:<str>] [-w <str>:<str>] [-x dsm_proxy://<str>]
                     [-y relay_proxy://<str>] [--buildBaseline] [--scanForChanges] [在啟動或心跳期間發送給Server & Workload Security保護的其他關鍵字:值資料防護...]

參數

說明

-a <str>, --activate=<str>

以此格式在指定的 URL 處啟用代理：

dsm://<host>:<port>/

位置：

<host> 可以是管理者的完整網域名稱 (FQDN)、IPv4 位址或 IPv6 位址

<port> is the manager's listening port number

選擇性地，在參數之後，您還可以指定一些設定，例如在啟動期間發送的描述。請參閱代理啟動的心跳命令 ("dsa_control -m")。它們必須以 key:value 的形式輸入（使用冒號作為分隔符）。您可以輸入的 key:value 對數量沒有上限，但 key:value 對之間必須用空格分隔。如果 key:value 對中包含空格或特殊字符，則需要使用引號將其括起來。

-b, --bundle

建立更新包。

不支援 macOS

-c <str>, --cert=<str>

識別憑證檔案。

不支援 macOS

-d, --diag

生成代理套件。

如需更詳細的說明，請參閱透過 CLI 在受保護的電腦防護上建立代理診斷套件。

-g <str>, --agent=<str>

代理程式 URL。

默認為 https://localhost:<port>/，其中 <port> 是管理員的監聽通訊埠號碼。

不支援 macOS

-m, --heartbeat

強制代理立即聯繫管理員。

-p <str> 或 --passwd=<str>

您之前可能在 Server & Workload Security保護中配置的驗證密碼。詳情請參閱通過工作負載安全配置自我保護。

如果已配置，則密碼必須包含在所有 dsa_control 命令 exceptdsa_control -a、dsa_control -x 和 dsa_control -y 中。

範例：dsa_control -m -p MyPa$w0rd

如果您直接在命令行中輸入密碼，密碼會顯示在螢幕上。要在輸入時用星號 (\*) 隱藏密碼，請輸入命令的互動形式，-p \*，這會提示您輸入密碼。

範例:

dsa_control -m -p *

-r, --reset

重置代理的配置。這將從代理中移除啟動資訊並將其停用。

-R <str>, --restore=<str>

還原被隔離的檔案。在 Windows 上，您也可以還原已清除和已刪除的檔案。

-s <num>, --selfprotect=<num>

啟用代理自我保護（1：啟用，0：關閉）。自我保護可防止本地終端使用者卸載、停止或以其他方式控制代理。詳情請參閱啟用或關閉代理自我保護。Note: 雖然 dsa_control 允許您啟用自我保護，但它不允許您配置相關的驗證密碼。您需要 Server & Workload Security保護來完成此操作。詳情請參閱通過工作負載安全配置自我保護。配置完成後，需在命令行中使用 -p 或 --passwd= 選項輸入密碼。

-t <num>, --retries=<num>

如果 dsa_control 無法聯繫代理服務以執行隨附指令，該參數指示 dsa_control 重試 <num> 次。重試之間有 1 秒的暫停。macOS 不支持

-u <使用者>:<密碼>

與 -x 選項一起使用，以指定 Proxy 的用戶名和密碼（如果 Proxy 需要驗證）。用冒號 (:) 分隔用戶名和密碼。例如，# ./dsa_control -x dsm_proxy://<str> -u <new username>:<new password>。要刪除用戶名和密碼，請輸入空字符串 ("")。例如，# ./dsa_control -x dsm_proxy://<str> -u <existing username>:""。如果您只想更新 Proxy 的密碼而不更改 Proxy 的用戶名，可以使用 -u 選項而不使用 -x。例如，# ./dsa_control -u <existing username>:<new password>。僅支持基本驗證。不支持 Digest 和 NTLM。Note: 使用 dsa_control -u 僅適用於代理的本地配置。運行此命令不會更改管理器上的安全策略。

-w <user>:<password>

與 -y 選項一起使用，以指定 Proxy 的使用者名稱和密碼，如果 Proxy 需要驗證。使用冒號 (:) 分隔使用者名稱和密碼。例如，# ./dsa_control -y relay_proxy://<str> -w <new username>:<new password>。要移除使用者名稱和密碼，請輸入空字串 ("")。例如，# ./dsa_control -y relay_proxy://<str> -w <existing username>:""。如果您只想更新 Proxy 的密碼而不更改 Proxy 的使用者名稱，您可以使用 -w 選項而不使用 -y。例如，# ./dsa_control -w <existing username>:<new password>。僅支援基本驗證。不支援 Digest 和 NTLM。Note: 使用 dsa_control -w 僅適用於代理的本地配置。執行此命令不會更改管理器上的安全策略。

-x dsm_proxy://<str>:<num>

在代理和管理器之間配置一個 Proxy。提供 Proxy 的 IPv4/IPv6 位址或 FQDN 和通訊埠號碼，用冒號 (:) 分隔。IPv6 位址必須用方括號括起來。例如：dsa_control -x "dsm_proxy://[fe80::340a:7671:64e7:14cc]:808/"。要移除位址，請輸入空字串 ("") 代替 URL。另請參閱 -u 選項。欲了解更多資訊，請參閱透過 Proxy 連接到 Server & Workload Security保護。Note: 使用 dsa_control -x 僅適用於代理的本地配置。執行此命令不會更改管理器上的任何安全性政策。

-y relay_proxy://<str>:<num>

配置代理伺服器於代理程式與中繼站之間。請提供代理伺服器的 IP 位址或 FQDN 以及通訊埠號碼，並以冒號 (:) 分隔。IPv6 位址必須用方括號括起來。例如：dsa_control -y "relay_proxy://[fe80::340a:7671:64e7:14cc]:808/"。若要移除位址，請輸入空字串 ("") 代替 URL。另請參閱 -w 選項。欲了解詳細資訊，請參閱透過 Proxy 連接至中繼站。Note: 使用 dsa_control -y 僅適用於代理程式的本地配置。執行此命令不會更改管理者的任何安全性政策。

--buildBaseline

建立完整性監控的基準。不支援 macOS

--scanForChanges

掃瞄完整性監控的變更。在 macOS 上不支援

--max-dsm-retries

重試啟動的次數。有效值為0到100（含）。預設值為30。

--dsm-retry-interval

重試啟動之間的延遲時間（以秒為單位）。有效值為1到3600（含）。預設值為300。

--autoDetectOSProxy

用於啟用/關閉自動檢測作業系統 Proxy 的標誌。該標誌由 C1WS 中的代理配置控制。值為 1：啟用，0：關閉。

--osProxyResolveTimeout

Proxy 解析器的超時值可以以秒為單位設置，可以通過 dsa_control --osProxyResolveTimeout=<resolveTimeout>;<connectTimeout>;<sendTimeout>;<receiveTimeout> 來設置。請注意，它們以分號分隔，每個超時值的範圍是 10 到 180。

--pacproxy

配置 Proxy Auto-Configuration (PAC) 伺服器以解析代理程式的相應 Proxy。請提供 PAC 伺服器的 IP 位址或 FQDN、通訊埠號碼和 PAC 檔案的路徑。例如：http://<Host>:<Port>/<PAC file>要清除 PAC Proxy 設定，請輸入空字串 ("")。

該命令必須指派某個特定的元件類型，例如：

設置 PAC 伺服器以解析 Proxy 以便在管理器之間進行通信

> dsa_control --pacproxy http://pac.example/proxy.pac manager

設置 PAC 伺服器以解析 Proxy 以在中繼站之間進行通信

> dsa_control --pacproxy http://pac.example/proxy.pac relay

同時設置上述兩個命令：

> dsa_control --pacproxy http://pac.example/proxy.pac manager relay

清除現有設定：> dsa_control --pacproxyunpw "" manager relay

如需詳細資訊，請參閱透過 Proxy 連接中繼。

注意

使用 dsa_control --pacproxy 僅適用於代理的本地配置。執行此命令不會更改管理器上的任何安全策略。
此參數僅受 Windows 和 Linux 平台上的 Deep Security Agent 支援。

--pacproxyunpw

與 --pacproxy 選項一起使用。它指定 PAC 解析的 Proxy 的使用者名稱和密碼，如果 Proxy 需要驗證。使用冒號 (:) 分隔使用者名稱和密碼。要清除使用者名稱和密碼，請輸入空字串 ("")。該命令必須指派某個組件類型，例如：設置 PAC 伺服器以解析 Proxy 以在 Manager 之間進行通信> dsa_control --pacproxyunpw <username>:<password> manager設置 PAC 伺服器以解析 Proxy 以在 Relay 之間進行通信> dsa_control --pacproxyunpw <username>:<password> relay同時設置上述兩個命令：> dsa_control --pacproxyunpw <username>:<password> manager relay清除現有設置：> dsa_control --pacproxyunpw "" manager relay要在不更改 Proxy 的使用者名稱的情況下更新 Proxy 的密碼，請使用 --pacproxyunpw 選項而不使用 --pacproxy：> dsa_control --pacproxyunpw <existing username>:<new password>。

注意

此參數僅支援 Windows 和 Linux 平台的 Deep Security Agent。
此參數僅提供基本驗證。不支援 Digest 和 NTLM。
使用 dsa_control --pacproxyunpw 僅適用於代理程式的本地配置。執行此命令不會更改管理器上的任何安全策略。

代理啟動的啟用（"dsa_control -a"）

啟用代理啟動的激活 (AIA) 可以防止管理者與代理之間的通信問題，並在與部署腳本一起使用時簡化代理部署。

注意

如需有關如何配置 AIA 並使用部署腳本來啟用代理的說明，請參閱使用代理啟動和通信來啟用和保護代理。

該命令的格式為

dsa_control -a dsm://<host>:<port>/

位置：

<host> 可以是管理者的完整網域名稱 (FQDN)、IPv4 位址或 IPv6 位址。
<port> 是代理到管理員的通訊通訊埠號碼 443)。

例如：

dsa_control -a dsm://dsm.example.com:4120/ hostname:www12 "description:Long Description
                     With Spaces"

dsa_control -a dsm://fe80::ad4a:af37:17cf:8937:4120

代理啟動的心跳命令 ("dsa_control -m")

您可以強制代理程式立即向管理員發送心跳信號。

與啟動類似，心跳指令在連線期間也可以將設定傳送給管理者。

參數	說明	範例	啟用期間使用	在心跳期間使用
`取消手動掃描`	布林值。取消目前正在電腦防護上進行的隨選（“手動”）掃瞄。	`"AntiMalwareCancelManualScan:true"`	否	是
`反惡意軟體手動掃描`	布林值。啟動電腦防護的隨選（“手動”）惡意程式防護掃瞄。	`"AntiMalwareManualScan:true"`	否	是
`描述`	字串。設定電腦防護的描述。最大長度為2000個字元。	`"description:有關主機的額外資訊"`	是	是
`顯示名稱`	字串。設定顯示名稱，顯示在 Computers 上主機名稱旁的括號內。最大長度為 2000 個字元。	`"displayname:the_name"`	是	是
`externalid`	整數。設置`externalid`值。此值可用於唯一識別代理。該值可以使用傳統的SOAP Web服務API訪問。	`"externalid:123"`	是	是
`群組`	字串。設定電腦在 Computers 所屬的群組。每個層級的群組名稱最長為 254 個字元。正斜線 ("/") 表示群組層級。`group` 參數可以讀取或建立群組層級。此參數僅能用於將電腦新增至主要 "電腦防護" 根分支下的標準群組。不能用於將電腦新增至屬於目錄 (Microsoft Active Directory)、VMware vCenters 或雲端提供者帳戶的群組。	`"群組：區域 A 網頁伺服器"`	是	是
`groupid`	整數。	`"groupid:33"`	是	是
`主機名稱`	字串。最大長度為 254 個字元。主機名稱可以指定管理者用來連接代理程式的 IP 位址、主機名稱或 FQDN。	`"hostname:www1"`	是	否
`完整性掃描`	布林值。啟動電腦防護完整性掃瞄。	`"IntegrityScan:true"`	否	是
`政策`	字串。最大長度為 254 個字元。策略名稱與策略清單不區分大小寫匹配。如果未找到策略，則不會分配任何策略。由事件驅動任務分配的策略將覆蓋在代理啟動激活期間分配的策略。	`"policy:策略名稱"`	是	是
`policyid`	整數。	`"policyid:12"`	是	是
`relaygroup`	字串。將電腦防護連結到特定的中繼群組。最大長度為 254 個字元。中繼群組名稱不區分大小寫，與現有的中繼群組名稱匹配。如果找不到中繼群組，將使用預設的中繼群組。這不會影響在事件驅動任務中分配的中繼群組。請使用此選項或事件驅動任務，不能同時使用。	`"relaygroup:自訂中繼群組"`	是	是
`relaygroupid`	整數。	`"relaygroupid:123"`	是	是
`relayid`	整數。	`"relayid:123"`	是	是
`tenantID` 和 `token`	字串。如果作為租戶使用代理啟動激活，則需要 `tenantID` 和 `token`。`tenantID` 和 `token` 可以從部署程式檔生成工具中獲取。	`"tenantID:12651ADC-D4D5"` 和 `"token:8601626D-56EE"`	是	是
`建議掃描`	布林值。啟動電腦防護的推薦掃瞄。	`"RecommendationScan:true"`	否	是
`更新元件`	布林值。指示 Server & Workload Security保護執行安全更新。當在 12.0 版以上的代理上使用 `UpdateComponent` 參數時，請確保中繼器也在 12.0 版或更高版本。了解更多。	`"UpdateComponent:true"`	否	是
`重建基準`	布林值。在電腦防護上重建完整性監控基線。	`"RebuildBaseline:true"`	否	是
`更新配置`	布林值。指示 Server & Workload Security保護執行「發送政策」操作。	`"UpdateConfiguration:true"`	否	是

啟用代理程式

要從命令列啟動代理程式，您需要知道租戶 ID 和密碼。您可以從部署程式檔中獲取它們。

步驟

在Server & Workload Security保護的右上角，點選Administration → Updates → Software → Local → Generate Deployment Scripts。
選擇您的平台。
選擇Activate Agent automatically after installation。
在部署程式檔中，找到 tenantID 和 token 的字串。

接下來需執行的動作

Windows

在 PowerShell 中：

& $Env:ProgramFiles"\Trend Micro\Deep Security Agent\dsa_control" -a <manager URL>
                     <tenant ID> <token>

在 cmd.exe 中：

C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -a
                     <manager URL> <tenant ID> <token>

Linux

/opt/ds_agent/dsa_control -a <manager URL> <租戶 ID> <token>

macOS

cd /Library/Application Support/com.trendmicro.DSAgent/

sudo ./dsa_control -a <manager URL> <租戶 ID> <token>

強制代理程式聯絡管理程式

Windows

在 PowerShell 中：

& "\Program Files\Trend Micro\Deep Security Agent\dsa_control" -m

在 cmd.exe 中：

C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -m

Linux

/opt/ds_agent/dsa_control -m

macOS

cd /Library/Application Support/com.trendmicro.DSAgent/

sudo ./dsa_control -m

啟動手動惡意程式防護掃瞄

Windows

步驟

以管理員身份開啟命令提示字元 (cmd.exe)。
輸入這些命令：

cd C:\Program Files\Trend Micro\Deep Security Agent\

dsa_control -m "AntiMalwareManualScan:true"

Linux

/opt/ds_agent/dsa_control -m "AntiMalwareManualScan:true"

macOS

不支援。

建立診斷套件

如果您需要排除代理程式問題，您的技術支援中心可能會要求您從電腦防護建立並傳送診斷套件。如需更詳細的指示，請參閱透過 CLI 在受保護的電腦防護上建立代理程式診斷套件。

注意

您可以通過 Server & Workload Security保護為代理電腦生成診斷包，但如果代理電腦配置為使用代理/設備啟動通信，則管理器無法收集所有所需的日誌。因此，當技術支援要求診斷包時，您需要直接在代理電腦上運行命令。

重置代理

此命令將從目標代理中移除啟動資訊並將其停用。

Windows

在 PowerShell 中：

& "\Program Files\Trend Micro\Deep Security Agent\dsa_control" -r

在 cmd.exe 中：

C:\Windows\system32>"\Program Files\Trend Micro\Deep Security Agent\dsa_control" -r

Linux

/opt/ds_agent/dsa_control -r

macOS

cd /Library/Application Support/com.trendmicro.DSAgent/

sudo ./dsa_control -r

dsa_query

注意

不支援 macOS。

您可以使用 dsa_query 命令來顯示代理資訊。

dsa_query 選項

dsa_query [-c <str>] [-p <str>] [-r <str]

參數	說明
`-p,--passwd <字串>`	使用可選的代理自我保護功能的驗證密碼。如果您在啟用自我保護時指定了密碼，則必須提供密碼。Note: 對於某些查詢命令，可以直接繞過驗證，在這種情況下，不需要密碼。
`-c,--cmd <字串>`	對代理執行查詢命令。支援以下命令：`"GetHostInfo"`：查詢在心跳期間返回給管理者的身份 `"GetAgentStatus"`：查詢啟動的防護模組、正在進行的惡意程式防護或完整性監控掃描狀態，以及其他雜項資訊 `"GetComponentInfo"`：查詢惡意程式防護模式和引擎的版本資訊 `"GetPluginVersion"`：查詢代理和防護模組的版本資訊
`-r,--raw <字串>`	返回與`"-c"`相同的查詢命令資訊，但以原始資料防護格式供第三方軟體解釋。
`模式`	用於篩選結果的萬用字元模式。可選。 Example:`dsa_query -c "GetComponentInfo" -r "au" "AM*"`

檢查 CPU 使用率和 RAM 使用率

Windows

使用工作管理員或 procmon。

Linux

頂部

檢查 ds_agent 進程或服務是否正在運行

Windows

使用工作管理員或 procmon。

Linux

ps -ef|grep ds_agent

在 Linux 上重新啟動代理

service ds_agent restart

或

/etc/init.d/ds_agent restart

或

systemctl restart ds_agent

某些操作需要 -tenantname 參數或 -tenantid 參數。如果使用租戶名稱時發生執行問題，請嘗試使用相關的租戶 ID 執行命令。