Inleiding
Dit document beschrijft de opdrachten van de Opdracht Line Interface (CLI) beschikbaar voor gebruik met de Cisco Secure Endpoint-connector op Mac of Linux-besturingssysteem.
De CLI is beschikbaar voor alle gebruikers van een systeem, hoewel de beschikbaarheid van bepaalde opdrachten kan afhangen van de configuratie van het beleid en/of de wortelrechten. De opdrachten die hiervan afhankelijk zijn, worden in dit artikel openbaar gemaakt.
Cisco Secure Endpoint Mac/Linux CLI
Navigeren naar de CLI
Secure Endpoint CLI is beschikbaar wanneer de Secure Endpoint-connector op het systeem is geïnstalleerd en actief:
- Open het Terminalvenster op Mac/Linux.
- Start de CLI met de volgende paden:
- bij Linux:
/opt/cisco/amp/bin/ampcli
- op Mac:
/opt/cisco/amp/ampcli
- Wanneer de CLI wordt gestart, ziet de gebruiker het volgende bericht:
ampcli - Cisco Secure Endpoint Connector Command Line Interface
Interactive mode
Enter 'q' or Ctrl+c to Exit
[logger] Set minimum reported log level to notice
Trying to connect...
Connected.
ampcli>
Beschikbare CLI-opdrachten
OPMERKING: alle beschikbare CLI-opdrachten kunnen ook rechtstreeks vanaf de opdrachtregel worden uitgevoerd, d.w.z./opt/cisco/amp/bin/ampcli-helpor/opt/cisco/amp/ampcli zullen hetzelfde werken als het starten van de CLI en het starten van de hulp.
- Voor een volledige lijst met CLI-opdrachten kan de gebruiker
helpen:
ampcli> help
scan Initiate/pause/stop a scan
* See 'scan help' for more.
status Get ampdaemon status
* See 'status help' for more.
sync Sync policy
policy Show policy
exclusions List custom exclusions
history Show event history
* See 'history help' for more.
quarantine List/restore quarantined file(s)
* See 'quarantine help' for more.
about About Cisco Secure Endpoint Connector
defupdate Update virus definitions
posture Show Connector posture in JSON format
notify Toggle notifications
verbose Toggle verbose mode
q Quit ampcli interactive mode
- De opdrachten
scannen, historie, en quarantaine neem extra parameters die worden beschreven als de gebruiker de opdracht samen met hulp:
ampcli> scan help
Supported scan parameters:
flash Perform a flash scan
full Perform a full scan
custom Perform a custom scan on a file or directory (recursive)
e.g. '...> scan custom file_or_directory_to_scan'
pause Pause a running scan
resume Resume a paused scan
cancel Cancel a running scan
list List scheduled scans
ampcli> history help
Supported history parameters:
list List history
* Listing starts at page 1. Each time 'list' is run we move to
the next page. Specify a page number to jump directly to
that page.
pagesize Set history page size (max: 12)
* e.g. 'ampcli> history pagesize 10'
ampcli> quarantine help
Supported quarantine parameters:
list List currently quarantined files
* Listing starts at page 1. Each time 'list' is run we move to
the next page. Specify a page number to jump directly to
that page.
restore Restore file by quarantine id
e.g. '...> quarantine restore
' run 'quarantine list' first to find
in listing
OPMERKING:De help gebruikeneen parameter levert de ondersteunde invoerparameters voor een gegeven opdracht, met uitzondering van statushelp. Wanneer u helptwordt uitgegeven met de status CLI opdracht, geeft het een lijst weer van alle ondersteunde verbindingsstaten, met een korte beschrijving en mogelijke redenen voor elke status. De huidige verbindingsstatus wordt in de tabel aangegeven met behulp van **.
Gebruik van CLI-opdracht
-
scannen
scan flitser - voer een flitsscan van het systeem uit.een volledige scan van het systeem uitvoeren.een aangepaste <path_to_scan> - een bepaald bestand of folder scannen.scanpauze - stop momenteel actieve scans.resumé - hervatten de momenteel stilstaande scans.scannen - alle huidige scanners annuleren.scanlijst - lijst van geplande scans die op het systeem moeten worden uitgevoerd.
status - geeft de huidige status van de connector op het systeem weer.
status help - geef een tabel weer met alle status van de connector, waarbij de huidige status van de connector wordt benadrukt, met beschrijvingen van elke status en redenen om in een bepaalde status te zijn.
ampcli> status
Status: Connected
Mode: Normal
Scan: Ready for scan
Last Scan: 2020-01-22 03:57 PM
Policy: Audit Policy for Cisco Secure Endpoint (#5755)
Command-line: Enabled
Faults: None
Als er fouten aanwezig zijn op een eindpunt, wordt in het veld Fouten het aantal fouten weergegeven dat aanwezig is voor elk ernst-niveau (Critical/Major/Minor). Om te beginnen met verbindingsversie 1.12.3, zal CLI ook eenFout-ID’sveld, dat de foutcodes voor elke fout toont die op het eindpunt wordt opgehaald. Onder deze velden zal de CLI ook instructies geven voor elke fout die op het eindpunt aanwezig is.
ex:
Faults: 1 Critical, 1 Major
Fault IDs: 1, 3
ID 1 - Critical: The system extensions failed to load. Approve the system extensions in Security & Privacy System Preferences.
ID 3 - Major: Full Disk Access not granted. Grant access to the ampdaemon executable in Security & Privacy System Preferences.
ampcli> status help
Status Description Reason(s)
=================================================================================
| Initializing... | Program starting/loading. | --
| | |
| Provisioning... | Endpoint identity | --
| | enrollment/subscription. |
| | |
| Provisioning | Endpoint identity | Cannot reach AMP services.
| failed, retrying | enrollment/subscription failed. | Missing SSL certificates.
| | Connector will retry. |
| | |
| Registering... | Registering endpoint identity. | --
| | |
| Registration | Endpoint identity registration | Cannot reach AMP services.
| failed, retrying | failed. Connector will retry. | Missing SSL certificates.
| | |
| Connecting... | Registering with disposition | --
| | service. |
| | |
| Connection failed, | Registration with disposition | Cannot reach AMP services.
| retrying | service failed. Connector will | Missing SSL certificates.
| | retry. |
| | |
| ** Connected | Enrollment and registration | --
| | succeeded. Connected to AMP |
| | services. Connector is operating |
| | normally. |
| | |
| Disabled | Connector is not operational. | AMP subscription is invalid
| | | or has expired.
| | |
| Disconnected, | Lost connection to the disposition | Network connection to the
| retrying | service after an initial | disposition service has been
| | connection was established. | interrupted.
| | Connector will attempt to |
| | reconnect. |
| | |
| Offline (the | The local network has been | Cable disconnected.
| network is down) | disconnected. | The network interface is
| | | disabled.
| | |
=================================================================================
** indicates the current status of the Connector
Voor Mac-connector versies 1.16.0 en nieuwer en voor Linux-connectors versies 1.17.0 en nieuwer zal de status de huidige status van Orbital op de computer omvatten:
Orbital: Enabled (Running)
Er zijn drie waarden voor de Orbital status:
- Ingeschakeld (actief): Geeft aan dat het huidige beleid Orbital heeft ingeschakeld en dat de Orbital Service momenteel op de computer actief is.
- Ingeschakeld (niet actief): Geeft aan dat het huidige beleid Orbital heeft ingeschakeld, maar de Orbital Service is op dit moment niet actief op de computer.
- Uitgeschakeld: geeft aan dat het huidige beleid Orbital niet heeft ingeschakeld.
sync - sync de aansluiting met de cloud om laatste beleid te garanderen.
policy - toont het huidige beleid voor de connector op het systeem :
ampcli> policy
Quarantine Behavior:
Quarantine malicious files.
Protection:
Monitor program install.
Monitor program start.
Passive on-execute mode.
Proxy: NONE
Notifications: Do not display cloud notifications.
Policy: Audit Policy for Cisco Secure Endpoint (#5755)
Last Updated: 2020-01-08 04:49 PM
Definition Version: ClamAV(bytecode.cvd: 331, daily.cvd: 25721, main.cvd: 59)
Definitions Last Updated: 2020-01-08 05:09 PM
Voor Mac-connector versies 1.16.0 en nieuwer en voor Linux-connectors versies 1.17.0 en nieuwer bevat het beleid de instelling voor Orbital:
Orbital: Enabled
Er zijn twee waarden voor de Orbital-beleidsinstelling:
- Ingeschakeld: Orbital is ingeschakeld via het beleid.
- Uitgeschakeld: Orbital is gehandicapt via het beleid.
uitsluitingen - toon de huidige uitsluitingen voor de -aansluiting:
- Deze instelling moet ook in het verbindingsbeleid worden ingeschakeld om uitsluitingen te laten zien.
ampcli> exclusions
Exclusions:
Path /home
Path /mnt/hgfs
Regular Expression /var/log/.*\.log
historie
historie - lijst van de geschiedenis van de verbindingsactiviteit (scans, quarantaine, enz.)historiegrootte <numerieke_waarde> - stelt de grootte van de pagina in voor het weergeven van de geschiedenis (max. 12)
ampcli> history pagesize 12
Page size set to 12
quarantaine(Deze optie is alleen beschikbaar voor gebruikers die als wortel actief zijn.)
quarantainelijst - lijst van in quarantaine geplaatste goederen op het systeem.quarantaine terugzet <quarantaine_id> - hiermee wordt een quarantainebestand hersteld via het quarantainebestand, dat kan worden gevonden in de opdracht quarantaine.
over - verstrekt informatie, zoals versie en Madebuut voor de connector die op het systeem loopt.
ampcli> about
Cisco Secure Endpoint Connector v1.16.0.123
Copyright (c) 2013-2021 Cisco Systems, Inc. All rights reserved.
This product incorporates open source software; refer to
/opt/cisco/amp/doc/acknowledgement.txt for details.
[ 22b608b3-b20e-4bd3-8b53-def824acce8a ]
deflatoire - een verzoek aan de Cloud te zenden om de virusdefinities te actualiseren.houding - toon een verbindingsfunctie in JSON-formaat
ampcli> posture
{"running": true, "connected": true, "connector_version": "1.15.1.741", "agent_uuid": "8a82e677-f7eb-4088-862c-9bf554222e4b", "offline_engine": "ClamAV", "offline_engine_version": "0.103.1", "definition_version": "bytecode.cvd: 332, daily.cvd: 26091, main.cvd: 59", "last_definition_update_published": "bytecode.cvd: 17 Feb 2021 16-06 -0500, daily.cvd: 25 Feb 2021 07-09 -0500, main.cvd: 25 Nov 2019 08-56 -0500", "last_definition_update_success": 1614272927, "last_scan": 1614272588, "last_scan_status": false, "protect_file_mode": false, "protect_process_mode": false}
- kennisgeving van aanstekers in de CLI aan/uit.
- Deze instelling moet ook in het verbindingsbeleid worden ingeschakeld.
- Op Mac heeft dit geen invloed op meldingen in de UI.
ampcli> notify
Notifications set to on
ampcli> notify
Notifications set to off
langdradig - toggle breedband houtkap voor de CLI aan/uit.
ampcli> verbose
Verbose mode set to on
ampcli> verbose
Verbose mode set to off
q - stop de Secure Endpoint Mac/Linux-connector van CLI.
Aanvullende informatie
Technische ondersteuning en documentatie – Cisco Systems
Cisco Secure Endpoint - gebruikersgids
Feedback