المقدمة
يصف هذا المستند أوامر واجهة سطر الأوامر (CLI) المتوفرة للاستخدام مع موصل نقطة النهاية الآمنة على Linux و MacOS.
معلومات أساسية
تتوفر أوامر واجهة سطر الأوامر (CLI) للاستخدام من قبل جميع المستخدمين على نظام؛ ومع ذلك، تعتمد بعض الأوامر على تكوين النهج و/أو إذن الجذر. والاوامر التي تعتمد عليها يكشف عنها في كل هذه المقالة.
واجهة سطر الأوامر (CLI) ل Cisco Secure Endpoint Mac/Linux
انتقل إلى واجهة سطر الأوامر (CLI)
تتوفر واجهة سطر الأوامر (CLI) لنقطة النهاية الآمنة عند تثبيت موصل نقطة النهاية الآمنة وتشغيله على النظام:
- افتح نافذة المحطة الطرفية على Mac/Linux.
- قم بتشغيل أداة واجهة سطر الأوامر (CLI) في هذه المسارات:
- على Linux:
/opt/cisco/amp/bin/ampcli
- على Mac:
/opt/cisco/amp/ampcli
- عند بدء تشغيل واجهة سطر الأوامر (CLI)، يتم عرض هذه الرسالة:
ampcli - Cisco Secure Endpoint Connector Command Line Interface
Interactive mode
Enter 'q' or Ctrl+c to Exit
[logger] Set minimum reported log level to notice
Trying to connect...
Connected.
ampcli>
أوامر CLI المتوفرة
ملاحظة: يمكن أيضا تشغيل جميع أوامر واجهة سطر الأوامر (CLI) المتاحة مباشرة من سطر الأوامر، على سبيل المثال/opt/cisco/amp/bin/ampcli help/opt/cisco/amp/amcli يعمل المساعدة بنفس الطريقة التي تعمل بها إذا قمت بتشغيل واجهة سطر الأوامر (CLI) وrunhelp.
- للحصول على قائمة كاملة من أوامر CLI، يمكن للمستخدم
تشغيل المساعدة:
ampcli> help
about About Cisco Secure Endpoint connector
bp Show and sync behavioral protection signatures
* See 'bp help' for more.
clamav Show and sync ClamAV definitions
* See 'clamav help' for more.
connectivity-test Run connection tests
* See 'connectivity-test help' for more.
definitions Show virus definitions
defupdate Update virus definitions
exclusions List custom exclusions
history Show event history
* See 'history help' for more.
notify Toggle notifications
policy Show policy
quarantine List/restore quarantined file(s)
* See 'quarantine help' for more.
quit (or q) Quit ampcli interactive mode
scan Initiate/pause/stop a scan
* See 'scan help' for more.
status Get ampdaemon status
* See 'status help' for more.
sync Sync policy
verbose Toggle verbose mode
- الأوامر bp، clamav، connectivity-test، history،
scan، و quarantinetake معلمات إضافية، يتم وصفها إذا قام المستخدم بتشغيل الأمر مع المساعدة:
ampcli> bp help
Supported bp parameters:
status Display engine and definition information
sync Synchronizes BP signatures
ampcli> clamav help
Supported clamav parameters:
status Display engine and definition information
sync Synchronizes ClamAV definitions
ampcli> connectivity-test help
Supported connectivity-test parameters:
all Performs all connectivity tests
bpsig Performs a Behavioral Protection signature fetch test
crashdump Performs an upload test of a crash diagnostic
event Verifies connectivity to the event intake server
hc Performs a minimal connection test with the registration server
orbitalupdate Performs an orbital update download test
policy Performs a policy fetch test of the current policy. A policy serial number can be provided to fetch a specific policy
* Usage: 'policy [serial number]' (optional serial number, must be greater than 0)
fileupload Performs a file upload test
update Performs a connector update download test
ampcli> history help
Supported history parameters:
list List history
* Listing starts at page 1. Each time 'list' is run we move to
the next page. Specify a page number to jump directly to
that page.
pagesize Set history page size (max: 12)
* e.g. 'ampcli> history pagesize 10'
ampcli> scan help
Supported scan parameters:
flash Perform a flash scan
full Perform a full scan
custom Perform a custom scan on a file or directory (recursive)
e.g. '...> scan custom file_or_directory_to_scan'
pause Pause a running scan
resume Resume a paused scan
cancel Cancel a running scan
list List scheduled scans
ampcli> quarantine help
Supported quarantine parameters:
list List currently quarantined files
* Listing starts at page 1. Each time 'list' is run we move to
the next page. Specify a page number to jump directly to
that page.
restore Restore file by quarantine id
e.g. '...> quarantine restore <quarantine id>'
run 'quarantine list' first to find <quarantine id> in listing
ملاحظة: أستخدم معلمة المساعدة لتوفير معلمات الإدخال المدعومة لأمر معين، باستثناء تعليمات الحالة. عند إصدار تعليمات باستخدام أمر واجهة سطر الأوامر (CLI) الخاصة بالحالة، فإنها تعرض قائمة بجميع حالات الموصلات المدعومة، مع وصف قصير والأسباب المحتملة لكل حالة. يتم الإشارة إلى حالة الموصل الحالي في الجدول بواسطة **.
إستخدام أمر CLI
حول - يوفر معلومات، مثل الإصدار ومعرف GUID الخاص بالموصل.
ampcli> about
Cisco Secure Endpoint Connector v1.16.0.123
Copyright (c) 2013-2021 Cisco Systems, Inc. All rights reserved.
This product incorporates open source software; refer to
/opt/cisco/amp/doc/acknowledgement.txt for details.
[ 22b608b3-b20e-4bd3-8b53-def824acce8a ]
BP(يتوفر هذا الخيار فقط للإصدارات 1.22.0+ للموصل على نظام التشغيل Linux و 1.24.0+ على نظام التشغيل MacOS)
الحالة - عرض محرك الحماية السلوكية ومعلومات التعريف
- في حالة عدم تمكين "الحماية السلوكية"، فلن يتم توفير أي محرك إضافي أو معلومات توقيع:
ampcli> bp status
Behavioral Protection is not enabled
-
-
- إذا تم تمكين "الحماية السلوكية"، يتم عرض معلومات المحرك والوضع والتوقيع:
ampcli> bp status
APDE Engine Version: 3.1.0.0
BP Mode: Protect
BP Signature Serial Number: 8071
BP Signature Last Loaded: 2023-05-02 05:44:09 PM
-
المزامنة - مزامنة توقيعات الحماية السلوكية
كلاماف
الحالة - عرض محرك المطالبة ومعلومات التعريف
ampcli> clamav status
Definition Version: ClamAV(bytecode.cvd: 334, daily.cvd: 26893, main.cvd: 62)
Definitions Published: bytecode.cvd: 22 Feb 2023 16-33 -0500
daily.cvd: 01 May 2023 03-22 -0400
main.cvd: 16 Sep 2021 08-32 -0400
Definitions Last Updated: 2023-05-01 04:01:55 PM
-
مزامنة - مزامنة توقيعات المطالبة
إختبار الاتصال
all - إجراء جميع إختبارات الاتصالBPSIG - يجري إختبار إحضار توقيع الحماية السلوكيةcrashdump - إجراء إختبار تحميل لتشخيص عطلالحدث - يتحقق من الاتصال بخادم إدخال الحدثHC - تنفيذ إختبار اتصال محدود باستخدام خادم التسجيلOrbitalupdate - إجراء إختبار تنزيل تحديث مداريالنهج [الرقم التسلسلي] - إجراء إختبار إحضار نهج للنهج الحالي. يمكن توفير رقم تسلسلي لنهج لجلب سياسة معينةfileupload - يجري إختبار تحميل ملفتحديث - يقوم بتنفيذ إختبار تنزيل تحديث الموصل
Defupdate - إرسال طلب إلى مجموعة النظراء لتحديث تعريفات الفيروسات.
استبعادات - إظهار الاستبعادات الحالية للموصل:
- يجب أيضا تمكين هذا الإعداد في نهج الموصل لعرض الاستبعادات.
ampcli> exclusions
Exclusions:
Path /home
Path /mnt/hgfs
Regular Expression /var/log/.*\.log
تاريخ
قائمة المحفوظات - سرد محفوظات نشاط الموصل (عمليات الفحص والحجر الصحي وما إلى ذلك)صفحات السيرة <digital_value> - يضبط ترقيم الصفحات لطريقة عرض السيرة (12 كحد أقصى)
ampcli> history pagesize 12
Page size set to 12
عزل (يتوفر هذا الخيار فقط ل Mac Connector الإصدار 1.21.0 والأعلى (ليس على Linux))
عزل إيقاف <token> - إيقاف جلسة عزل نقطة النهاية باستخدام الرمز المميز المستخدم لبدء جلسة العزل
إعلام - تبديل إعلامات الموصل في تشغيل/إيقاف واجهة سطر الأوامر.
- يجب تمكين هذا الإعداد أيضا في نهج الموصل.
- على Mac، لا يؤثر هذا على الإعلامات في واجهة المستخدم.
ampcli> notify
Notifications set to on
ampcli> notify
Notifications set to off
النهج - يعرض السياسة الحالية للموصل:
ampcli> policy
Quarantine Behavior:
Quarantine malicious files.
Protection:
Monitor program install.
Monitor program start.
Passive on-execute mode.
Proxy: NONE
Notifications: Do not display cloud notifications.
Policy: Audit Policy for Cisco Secure Endpoint (#5755)
Last Updated: 2020-01-08 04:49 PM
Definition Version: ClamAV(bytecode.cvd: 331, daily.cvd: 25721, main.cvd: 59)
Definitions Last Updated: 2020-01-08 05:09 PM
بالنسبة للإصدارات 1.16.0 لموصل Mac والإصدارات الأحدث والإصدارات 1.17.0 لموصل Linux والإصدارات الأحدث، تتضمن السياسة حالة السياسة الخاصة بالمحول المداري:
Orbital: Enabled
هناك قيمتان لإعداد السياسات المدارية:
- تمكين: يتم تمكين المدار من خلال السياسة.
- معطل: تم تعطيل المدار عن طريق السياسة.
بالنسبة للإصدارات 1.21.0 من موصل Mac والإصدارات الأحدث (وليس على نظام التشغيل Linux)، يتضمن النهج حالة السياسة لعزل نقاط النهاية:
Isolation: Enabled
هناك قيمتان لإعداد نهج العزل:
- ممكن: تم تمكين عزل نقطة النهاية عبر النهج.
- معطل: تم تعطيل عزل نقطة النهاية عبر النهج.
Posture - show connector posture في تنسيق JSON
Posture Prettyprint - وضع الطباعة بتنسيق JSON جميل الطباعة
ampcli> posture
{"running": true, "connected": true, "connector_version": "1.19.1.1419", "agent_uuid": "e03ecde8-1aee-4d15-8bca-100e952ee4b9", "offline_engine": "ClamAV", "offline_engine_version": "0.103.5", "definition_version": "osx.cvd:1152", "last_definition_update_published": "osx.cvd: 05 May 2022 13-00 -0400", "last_definition_update_success": 1651857785, "last_scan": 1651857897, "last_scan_status": false, "protect_file_mode": true, "protect_process_mode": true, "scans": [{"scan_type": "flash", "scan_in_progress": false, "last_scan_finished": 1651857039}, {"scan_type": "full", "scan_in_progress": false, "last_scan_finished": 1651857897}, {"scan_type": "custom", "scan_in_progress": false, "last_scan_finished": 1651856819}], "engines": [{"enabled": true, "name": "ClamAV", "version": "0.103.5", "definitions": [{"version": 1152, "name": "osx.cvd", "timestamp": 1651770000, "last_successful_update": 1651857785}]}]}
عزل(يتوفر هذا الخيار فقط للمستخدمين ذوي امتيازات الجذر.)
قائمة العزل - قم بسرد العناصر المعزولة على النظام.Quarantine Restore <quarantine_id> - قم باستعادة ملف محجر بواسطة معرف العزل، والذي يمكن العثور عليه عبر أمر قائمة العزل.
إنهاء (أو q) - إنهاء واجهة سطر الأوامر لموصل Mac/Linux الآمن لنقطة النهاية.
-
فلاش المسح الضوئي- إجراء مسح ضوئي للنظام.المسح الضوئي الكامل- إجراء فحص كامل للنظام.فحص <path_to_scan> مخصص - مسح ملف أو دليل محدد ضوئيا.إيقاف المسح الضوئي مؤقتا - إيقاف أي عمليات مسح ضوئي قيد التشغيل حاليا مؤقتا.السيرة الذاتية للمسح الضوئي - إستئناف أي مسح ضوئي متوقف مؤقتا حاليا.إلغاء المسح الضوئي - إلغاء أي عمليات مسح ضوئي قيد التشغيل حاليا.قائمة المسح الضوئي - سرد أي عمليات مسح مجدولة يتم إجراؤها على النظام.
الحالة - توفر الحالة الحالية للموصل على النظام.
تعليمات الحالة- عرض جدول بجميع حالات الموصلات وحالة الموصل الحالية مع أوصاف كل حالة وأسباب حالة محددة.
ampcli> status
Status: Connected
Mode: Normal
Scan: Ready for scan
Last Scan: 2020-01-22 03:57 PM
Policy: Audit Policy for Cisco Secure Endpoint (#5755)
Command-line: Enabled
Faults: None
إذا كانت نقطة النهاية تحتوي على أخطاء موجودة، يعرض حقل الأخطاء عدد الأخطاء الموجودة لكل مستوى خطورة (Critical/Major/Minor). اعتبارا من الإصدار 1.12.3، تعرض واجهة سطر الأوامر حقل Fault IDsfield، والذي يعرض رموز الخطأ لكل خطأ يظهر على نقطة النهاية. ينتج واجهة سطر الأوامر (CLI) إرشادات متعلقة بكل خطأ موجود على نقطة النهاية.
مثال:
Faults: 1 Critical, 1 Major
Fault IDs: 1, 3
ID 1 - Critical: The system extensions failed to load. Approve the system extensions in Security & Privacy System Preferences.
ID 3 - Major: Full Disk Access not granted. Grant access to the ampdaemon executable in Security & Privacy System Preferences.
ampcli> status help
Status Description Reason(s)
=================================================================================
| Initializing... | Program starting/loading. | --
| | |
| Provisioning... | Endpoint identity | --
| | enrollment/subscription. |
| | |
| Provisioning | Endpoint identity | Cannot reach AMP services.
| failed, retrying | enrollment/subscription failed. | Missing SSL certificates.
| | Connector will retry. |
| | |
| Registering... | Registering endpoint identity. | --
| | |
| Registration | Endpoint identity registration | Cannot reach AMP services.
| failed, retrying | failed. Connector will retry. | Missing SSL certificates.
| | |
| Connecting... | Registering with disposition | --
| | service. |
| | |
| Connection failed, | Registration with disposition | Cannot reach AMP services.
| retrying | service failed. Connector will | Missing SSL certificates.
| | retry. |
| | |
| ** Connected | Enrollment and registration | --
| | succeeded. Connected to AMP |
| | services. Connector is operating |
| | normally. |
| | |
| Disabled | Connector is not operational. | AMP subscription is invalid
| | | or has expired.
| | |
| Disconnected, | Lost connection to the disposition | Network connection to the
| retrying | service after an initial | disposition service has been
| | connection was established. | interrupted.
| | Connector will attempt to |
| | reconnect. |
| | |
| Offline (the | The local network has been | Cable disconnected.
| network is down) | disconnected. | The network interface is
| | | disabled.
| | |
=================================================================================
** indicates the current status of the Connector
Run "ampcli connectivity-test" to help diagnose connection errors
بالنسبة للإصدارات 1.16.0 لموصل Mac والإصدارات الأحدث والإصدارات 1.17.0 لموصل Linux والإصدارات الأحدث، يتضمن الوضع الحالي للمدار على الكمبيوتر:
Orbital: Enabled (Running)
هناك ثلاث قيم للوضع المداري:
- تمكين (التشغيل): يشير إلى أن السياسة الحالية قد مكنت Orbital و Orbital service قيد التشغيل حاليا على الكمبيوتر.
- تمكين (عدم التشغيل): يشير إلى أن السياسة الحالية قد مكنت Orbital ولكن خدمة Orbital لا تعمل حاليا على الكمبيوتر.
- معطل: يشير إلى أن السياسة الحالية لم تقم بتمكين Orbital.
بالنسبة لإصدارات موصل Mac 1.21.0 والإصدارات الأحدث (وليس على نظام التشغيل Linux)، تتضمن الحالة الحالية لعزل نقطة النهاية على الكمبيوتر:
Isolation: Isolated
هناك ثلاث قيم للوضع المداري:
- معزول: يشير إلى أن السياسة الحالية قد مكنت عزل نقطة النهاية وأن الكمبيوتر معزول من الشبكة.
- غير معزول: يشير إلى أن السياسة الحالية قد مكنت عزل نقطة النهاية وأن الكمبيوتر ليس معزولا.
- معطل في النهج: يشير إلى أن السياسة الحالية لم تقم بتمكين عزل نقطة النهاية.
المزامنة - قم بمزامنة الموصل مع السحابة لضمان وجود أحدث نهج.
verbose - تبديل السجلات المطبعية لتشغيل/إيقاف واجهة سطر الأوامر.
ampcli> verbose
Verbose mode set to on
ampcli> verbose
Verbose mode set to off
معلومات إضافية
الدعم التقني والمستندات - Cisco Systems
نقطة النهاية الآمنة من Cisco - دليل المستخدم
التعليقات