Inleiding
In dit document worden de CLI-opdrachten (Command Line Interface) beschreven die beschikbaar zijn voor gebruik met de Secure Endpoint-connector op Linux en MacOS.
Achtergrondinformatie
De CLI-opdrachten zijn beschikbaar voor gebruik door alle gebruikers op een systeem; sommige opdrachten zijn echter afhankelijk van de beleidsconfiguratie en/of rootrechten. De commando's die hiervan afhankelijk zijn, worden in dit artikel bekendgemaakt.
Cisco Secure Endpoint Mac/Linux CLI
Navigeer naar de CLI
De Secure Endpoint CLI is beschikbaar wanneer de Secure Endpoint-connector is geïnstalleerd en op het systeem wordt uitgevoerd:
- Open het Terminal-venster op Mac/Linux.
- Voer het CLI-gereedschap uit in deze paden:
- op Linux:
/opt/cisco/amp/bin/ampcli
- op Mac:
/opt/cisco/amp/ampcli
- Wanneer de CLI wordt gestart, wordt dit bericht weergegeven:
ampcli - Cisco Secure Endpoint Connector Command Line Interface
Interactive mode
Enter 'q' or Ctrl+c to Exit
[logger] Set minimum reported log level to notice
Trying to connect...
Connected.
ampcli>
Beschikbare CLI-opdrachten
OPMERKING: alle beschikbare CLI-opdrachten kunnen ook rechtstreeks vanaf de opdrachtregel worden uitgevoerd, bijvoorbeeld/opt/cisco/amp/bin/ampcli
helpor/opt/cisco/amp/ampcli
helpt hetzelfde als wanneer u de CLI en runhelp
start.
- Voor een volledige lijst met CLI-opdrachten kan de gebruiker
Help uitvoeren
:
ampcli> help
about About Cisco Secure Endpoint connector
bp Show and sync behavioral protection signatures
* See 'bp help' for more.
clamav Show and sync ClamAV definitions
* See 'clamav help' for more.
connectivity-test Run connection tests
* See 'connectivity-test help' for more.
definitions Show virus definitions
defupdate Update virus definitions
exclusions List custom exclusions
history Show event history
* See 'history help' for more.
notify Toggle notifications
policy Show policy
quarantine List/restore quarantined file(s)
* See 'quarantine help' for more.
quit (or q) Quit ampcli interactive mode
scan Initiate/pause/stop a scan
* See 'scan help' for more.
status Get ampdaemon status
* See 'status help' for more.
sync Sync policy
verbose Toggle verbose mode
- De opdrachten bp, clamav, connectivity-test, history,
scan
, en quarantaine nemen extra parameters, die worden beschreven als de gebruiker het commando uitvoert samen met help
:
ampcli> bp help
Supported bp parameters:
status
Display engine and definition information
sync
Synchronizes BP signatures
ampcli> clamav help
Supported clamav parameters:
status Display engine and definition information
sync Synchronizes ClamAV definitions
ampcli> connectivity-test help
Supported connectivity-test parameters:
all Performs all connectivity tests
bpsig Performs a Behavioral Protection signature fetch test
crashdump Performs an upload test of a crash diagnostic
event Verifies connectivity to the event intake server
hc Performs a minimal connection test with the registration server
orbitalupdate Performs an orbital update download test
policy Performs a policy fetch test of the current policy. A policy serial number can be provided to fetch a specific policy
* Usage: 'policy [serial number]' (optional serial number, must be greater than 0)
fileupload Performs a file upload test
update Performs a connector update download test
ampcli> history help
Supported history parameters:
list List history
* Listing starts at page 1. Each time 'list' is run we move to
the next page. Specify a page number to jump directly to
that page.
pagesize Set history page size (max: 12)
* e.g. 'ampcli> history pagesize 10'
ampcli> scan help
Supported scan parameters:
flash Perform a flash scan
full Perform a full scan
custom Perform a custom scan on a file or directory (recursive)
e.g. '...> scan custom file_or_directory_to_scan'
pause Pause a running scan
resume Resume a paused scan
cancel Cancel a running scan
list List scheduled scans
ampcli> quarantine help
Supported quarantine parameters:
list List currently quarantined files
* Listing starts at page 1. Each time 'list' is run we move to
the next page. Specify a page number to jump directly to
that page.
restore Restore file by quarantine id
e.g. '...> quarantine restore '
run 'quarantine list' first to find in listing
OPMERKING: Gebruik de parameter help om de ondersteunde invoerparameters voor een bepaalde opdracht op te geven, met uitzondering van statushulp
. Wanneer de opdracht CLI-status wordt gegeven, wordt een lijst weergegeven met alle ondersteunde connectortoestanden, met een korte beschrijving en mogelijke redenen voor elke status. De huidige status van de connector wordt in de tabel aangegeven met **.
CLI-opdrachtgebruik
informatie
- geeft informatie, zoals de versie en GUID van de connector.
ampcli> about
Cisco Secure Endpoint Connector v1.16.0.123
Copyright (c) 2013-2021 Cisco Systems, Inc. All rights reserved.
This product incorporates open source software; refer to
/opt/cisco/amp/doc/acknowledgement.txt for details.
[ 22b608b3-b20e-4bd3-8b53-def824acce8a ]
bp
(Deze optie is alleen beschikbaar voor connectorversies 1.22.0+ op Linux en 1.24.0+ op macOS)
status
- weergave van de Behavioral Protection-engine en definitiegegevens
- Als Behavioral Protection niet is ingeschakeld, wordt er geen aanvullende engine- of handtekeninginformatie verstrekt:
ampcli> bp status
Behavioral Protection is not enabled
-
-
- Als Behavioral Protection (Gedragsbescherming) is ingeschakeld, worden de engine-, modus- en handtekeninggegevens weergegeven:
ampcli> bp status
APDE Engine Version: 3.1.0.0
BP Mode: Protect
BP Signature Serial Number: 8071
BP Signature Last Loaded: 2023-05-02 05:44:09 PM
-
synchroniseren
- de handtekeningen voor gedragsbescherming synchroniseren
clamav
Status
- Clamav-engine en definitiegegevens weergeven
ampcli> clamav status
Definition Version: ClamAV(bytecode.cvd: 334, daily.cvd: 26893, main.cvd: 62)
Definitions Published: bytecode.cvd: 22 Feb 2023 16-33 -0500
daily.cvd: 01 May 2023 03-22 -0400
main.cvd: 16 Sep 2021 08-32 -0400
Definitions Last Updated: 2023-05-01 04:01:55 PM
-
Synchroniseren
- Synchroniseer de clamav-handtekeningen
-
connectiviteitstest
alle
- Voert alle connectiviteitstests uit
bpsig
- Voert een Behavioral Protection handtekening fetch test uit
crashdump
- Voert een uploadtest uit van een crashdiagnose
gebeurtenis
- Connectiviteit met de innameserver voor gebeurtenissen verifiëren
hc
- Voert een minimale verbindingstest uit met de registratieserver
orbitale update
- Voert een downloadtest voor orbitale update uit
policy [serienummer]
- Voert een test uit voor het ophalen van beleid van het huidige beleid. Er kan een serienummer van het beleid worden opgegeven om een specifiek beleid op te halen
Bestand uploaden
- Voert een bestands upload test uit
update
- Een downloadtest voor een connector uitvoeren
defupdate
- stuur een verzoek naar de cloud om virusdefinities bij te werken.
Uitsluitingen
- Toon de huidige uitsluitingen voor de connector:
- Deze instelling moet ook zijn ingeschakeld in het connectorbeleid om uitsluitingen weer te geven.
ampcli> exclusions
Exclusions:
Path /home
Path /mnt/hgfs
Regular Expression /var/log/.*\.log
geschiedenis
Historielijst
- Lijst van de geschiedenis van connectoractiviteit (scans, quarantaines, enzovoort)
Historie Pagesize <numeric_value>
- Hiermee stelt u de paginagrootte in voor de geschiedenisweergave (max. 12)
ampcli> history pagesize 12
Page size set to 12
isoleren
(Deze optie is alleen beschikbaar voor Mac-connectorversies 1.21.0 en hoger (niet voor Linux))
Stop <token>
isoleren - Einde-eindpuntisolatiesessie stoppen met de token die is gebruikt om de isolatiesessie te starten
Waarschuwing
- Schakel connectormeldingen in de CLI in/uit.
- Deze instelling moet ook zijn ingeschakeld in het connectorbeleid.
- Op Mac heeft dit geen invloed op meldingen in de gebruikersinterface.
ampcli> notify
Notifications set to on
ampcli> notify
Notifications set to off
Beleid
- toont het huidige beleid voor de connector:
ampcli> policy
Quarantine Behavior:
Quarantine malicious files.
Protection:
Monitor program install.
Monitor program start.
Passive on-execute mode.
Proxy: NONE
Notifications: Do not display cloud notifications.
Policy: Audit Policy for Cisco Secure Endpoint (#5755)
Last Updated: 2020-01-08 04:49 PM
Definition Version: ClamAV(bytecode.cvd: 331, daily.cvd: 25721, main.cvd: 59)
Definitions Last Updated: 2020-01-08 05:09 PM
Voor Mac-connectorversies 1.16.0 en nieuwer en voor Linux-connectorversies 1.17.0 en nieuwer omvat het beleid de beleidsstatus voor Orbital:
Orbital: Enabled
Er zijn twee waarden voor de beleidsinstelling Orbital:
- Ingeschakeld: Orbital is ingeschakeld via beleid.
- Uitgeschakeld: Orbital is uitgeschakeld via beleid.
Voor Mac-connectorversies 1.21.0 en nieuwer (niet op Linux) omvat het beleid de beleidsstatus voor Endpoint Isolation:
Isolation: Enabled
Er zijn twee waarden voor de instelling van het isolatiebeleid:
- Ingeschakeld: Endpoint Isolation is ingeschakeld via beleid.
- Uitgeschakeld: Endpoint Isolation is uitgeschakeld via beleid.
houding
- toon connectorhouding in JSON-formaat
houding mooie print
- print houding met mooie print JSON formaat
ampcli> posture
{"running": true, "connected": true, "connector_version": "1.19.1.1419", "agent_uuid": "e03ecde8-1aee-4d15-8bca-100e952ee4b9", "offline_engine": "ClamAV", "offline_engine_version": "0.103.5", "definition_version": "osx.cvd:1152", "last_definition_update_published": "osx.cvd: 05 May 2022 13-00 -0400", "last_definition_update_success": 1651857785, "last_scan": 1651857897, "last_scan_status": false, "protect_file_mode": true, "protect_process_mode": true, "scans": [{"scan_type": "flash", "scan_in_progress": false, "last_scan_finished": 1651857039}, {"scan_type": "full", "scan_in_progress": false, "last_scan_finished": 1651857897}, {"scan_type": "custom", "scan_in_progress": false, "last_scan_finished": 1651856819}], "engines": [{"enabled": true, "name": "ClamAV", "version": "0.103.5", "definitions": [{"version": 1152, "name": "osx.cvd", "timestamp": 1651770000, "last_successful_update": 1651857785}]}]}
quarantaine
(Deze optie is alleen beschikbaar voor gebruikers met rootbevoegdheden.)
Quarantainelijst
- vermeld de in quarantaine geplaatste items op het systeem.
Quarantaine terugzetten <quarantine_id>
- Een in quarantaine geplaatst bestand terugzetten via de quarantaine-id, die kan worden gevonden via de opdracht quarantaine
lijst.
afsluiten (of q)
- sluit de Secure Endpoint Mac/Linux-connector CLI af.
-
Flash scannen
- Voer een Flash-scan van het systeem uit.
Volledig scannen
- Voer een volledige scan van het systeem uit.
Aangepast scannen <path_to_scan>
- Een opgegeven bestand of directory scannen.
Scanpauze
- Pauzeer alle scans die momenteel worden uitgevoerd.
Scannen hervatten
- Alle scans die momenteel zijn onderbroken hervatten.
Scannen Annuleren
- Alle scans annuleren die momenteel worden uitgevoerd.
Scanlijst
- vermeld alle geplande scans die op het systeem moeten worden uitgevoerd.
Status
- geeft de huidige status van de connector op het systeem aan.
Help bij status
- Geef een tabel weer met alle connectorstatussen, de huidige connectorstatus, met beschrijvingen van elke statusstatus en redenen voor een bepaalde status.
ampcli> status
Status: Connected
Mode: Normal
Scan: Ready for scan
Last Scan: 2020-01-22 03:57 PM
Policy: Audit Policy for Cisco Secure Endpoint (#5755)
Command-line: Enabled
Faults: None
Als er op een eindpunt fouten aanwezig zijn, toont het veld Fouten het aantal fouten dat aanwezig is voor elk prioriteitsniveau (kritiek/groot/klein). Vanaf connectorversie 1.12.3 toont de CLI een Fault
IDsfield, dat de Fault Codes toont voor elke fout die op het eindpunt is gemaakt. De CLI-outputrichtlijnen met betrekking tot elke fout die op het eindpunt aanwezig is.
ex:
Faults: 1 Critical, 1 Major
Fault IDs: 1, 3
ID 1 - Critical: The system extensions failed to load. Approve the system extensions in Security & Privacy System Preferences.
ID 3 - Major: Full Disk Access not granted. Grant access to the ampdaemon executable in Security & Privacy System Preferences.
ampcli> status help
Status Description Reason(s)
=================================================================================
| Initializing... | Program starting/loading. | --
| | |
| Provisioning... | Endpoint identity | --
| | enrollment/subscription. |
| | |
| Provisioning | Endpoint identity | Cannot reach AMP services.
| failed, retrying | enrollment/subscription failed. | Missing SSL certificates.
| | Connector will retry. |
| | |
| Registering... | Registering endpoint identity. | --
| | |
| Registration | Endpoint identity registration | Cannot reach AMP services.
| failed, retrying | failed. Connector will retry. | Missing SSL certificates.
| | |
| Connecting... | Registering with disposition | --
| | service. |
| | |
| Connection failed, | Registration with disposition | Cannot reach AMP services.
| retrying | service failed. Connector will | Missing SSL certificates.
| | retry. |
| | |
| ** Connected | Enrollment and registration | --
| | succeeded. Connected to AMP |
| | services. Connector is operating |
| | normally. |
| | |
| Disabled | Connector is not operational. | AMP subscription is invalid
| | | or has expired.
| | |
| Disconnected, | Lost connection to the disposition | Network connection to the
| retrying | service after an initial | disposition service has been
| | connection was established. | interrupted.
| | Connector will attempt to |
| | reconnect. |
| | |
| Offline (the | The local network has been | Cable disconnected.
| network is down) | disconnected. | The network interface is
| | | disabled.
| | |
=================================================================================
** indicates the current status of the Connector
Run "ampcli connectivity-test" to help diagnose connection errors
Voor Mac-connectorversies 1.16.0 en nieuwer en voor Linux-connectorversies 1.17.0 en nieuwer omvat de status de huidige status van Orbital op de computer:
Orbital: Enabled (Running)
Er zijn drie waarden voor de orbitale status:
- Ingeschakeld (Uitgevoerd): geeft aan dat het huidige beleid Orbital heeft ingeschakeld en dat de Orbital-service momenteel op de computer wordt uitgevoerd.
- Ingeschakeld (niet actief): geeft aan dat het huidige beleid Orbital heeft ingeschakeld, maar dat de Orbital-service momenteel niet op de computer wordt uitgevoerd.
- Uitgeschakeld: geeft aan dat het huidige beleid Orbital niet heeft ingeschakeld.
Voor Mac-connectorversies 1.21.0 en nieuwer (niet op Linux) omvat de status de huidige status van Endpoint Isolation op de computer:
Isolation: Isolated
Er zijn drie waarden voor de orbitale status:
- Geïsoleerd: geeft aan dat het huidige beleid Endpoint Isolation heeft ingeschakeld en dat de computer is geïsoleerd van het netwerk.
- Niet geïsoleerd: geeft aan dat het huidige beleid Endpoint Isolation heeft ingeschakeld en dat de computer niet is geïsoleerd.
- Uitgeschakeld in Beleid: geeft aan dat het huidige beleid Endpoint Isolation niet heeft ingeschakeld.
synchroniseren
- synchroniseer de connector met de cloud om het nieuwste beleid te garanderen.
verbose
- logboeken met verbose schakelaar voor de CLI aan/uit.
ampcli> verbose
Verbose mode set to on
ampcli> verbose
Verbose mode set to off
Aanvullende informatie
Technische ondersteuning en documentatie – Cisco Systems
Cisco Secure Endpoint - Gebruikershandleiding