Verwenden der Secure Endpoint Mac/Linux CLI

Download-Optionen

  • PDF     (270.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (85.0 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (74.6 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:16. April 2024
Dokument-ID:215256

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden die Befehle der Befehlszeilenschnittstelle (CLI) beschrieben, die für die Verwendung mit Secure Endpoint Connector unter Linux und MacOS verfügbar sind.

    Hintergrundinformationen

    Die CLI-Befehle können von allen Benutzern in einem System verwendet werden. Einige Befehle hängen jedoch von der Konfiguration der Richtlinie und/oder der Root-Berechtigung ab. Die davon abhängigen Befehle sind in diesem Artikel beschrieben.

    Cisco Secure Endpoint Mac/Linux-Kommandozeile

    Navigieren zur CLI

    Die Secure Endpoint CLI ist verfügbar, wenn der Secure Endpoint Connector installiert ist und auf dem System ausgeführt wird:

    • Öffnen Sie das Terminal-Fenster unter Mac/Linux.
    • Führen Sie das CLI-Tool in folgenden Pfaden aus:
      • unter Linux:/opt/cisco/amp/bin/ampcli 
      • auf Mac:/opt/cisco/amp/ampcli 
    • Beim Start der CLI wird folgende Meldung angezeigt:
    ampcli - Cisco Secure Endpoint Connector Command Line Interface
Interactive mode

Enter 'q' or Ctrl+c to Exit

[logger] Set minimum reported log level to notice
Trying to connect...
Connected.
ampcli>

    Verfügbare CLI-Befehle

    HINWEIS: Alle verfügbaren CLI-Befehle können auch direkt über die Befehlszeile ausgeführt werden, z. B. /opt/cisco/amp/bin/ampcli helpor/opt/cisco/amp/ampcli helpworks genauso wie beim Starten von CLI und Runhelp.

    • Für eine vollständige Liste der CLI-Befehle kann der Benutzer help ausführen:
    ampcli> help
    about               About Cisco Secure Endpoint connector
        bp                  Show and sync behavioral protection signatures
                             * See 'bp help' for more.
        clamav              Show and sync ClamAV definitions
                             * See 'clamav help' for more.
     connectivity-test Run connection tests 
     * See 'connectivity-test help' for more. 
        definitions         Show virus definitions
        defupdate           Update virus definitions
        exclusions          List custom exclusions
        history             Show event history
                             * See 'history help' for more.
        notify              Toggle notifications
        policy              Show policy
        quarantine          List/restore quarantined file(s)
                             * See 'quarantine help' for more.
        quit (or q)         Quit ampcli interactive mode
        scan                Initiate/pause/stop a scan
                             * See 'scan help' for more.
        status              Get ampdaemon status
                             * See 'status help' for more.
        sync                Sync policy
        verbose             Toggle verbose mode
    • Die Befehle bp, clamav, connectivity-test, history , scan, and quarantinetake haben zusätzliche Parameter, die beschrieben werden, wenn der Benutzer den Befehl zusammen mit der Hilfe ausführt:
    ampcli> bp help 
    Supported bp parameters:
     status Display engine and definition information
     sync Synchronizes BP signatures
    ampcli> clamav help
    Supported clamav parameters:
      status        Display engine and definition information
      sync          Synchronizes ClamAV definitions
    ampcli> connectivity-test help
    Supported connectivity-test parameters:
      all           Performs all connectivity tests
      bpsig         Performs a Behavioral Protection signature fetch test
      crashdump     Performs an upload test of a crash diagnostic
      event         Verifies connectivity to the event intake server
      hc            Performs a minimal connection test with the registration server
      orbitalupdate Performs an orbital update download test
      policy        Performs a policy fetch test of the current policy. A policy serial number can be provided to fetch a specific policy
                     * Usage: 'policy [serial number]' (optional serial number, must be greater than 0)
      fileupload    Performs a file upload test
      update        Performs a connector update download test
    ampcli> history help
Supported history parameters:
  list		List history
		 * Listing starts at page 1. Each time 'list' is run we move to
		   the next page.  Specify a page number to jump directly to
		   that page.
  pagesize	Set history page size (max: 12)
		 * e.g. 'ampcli> history pagesize 10'
    ampcli> scan help
Supported scan parameters:
  flash		Perform a flash scan
  full		Perform a full scan
  custom	Perform a custom scan on a file or directory (recursive)
		  e.g. '...> scan custom file_or_directory_to_scan'
  pause		Pause a running scan
  resume	Resume a paused scan
  cancel	Cancel a running scan
  list		List scheduled scans
    ampcli> quarantine help
Supported quarantine parameters:
  list		List currently quarantined files
		 * Listing starts at page 1. Each time 'list' is run we move to
		   the next page.  Specify a page number to jump directly to
		   that page.
  restore	Restore file by quarantine id
		  e.g. '...> quarantine restore <quarantine id>'
		  run 'quarantine list' first to find <quarantine id> in listing

    HINWEIS: Verwenden Sie den helpparameter, um die unterstützten Eingabeparameter für einen bestimmten Befehl bereitzustellen, mit Ausnahme der Statushilfe. Wenn die Hilfe mit dem Kommandozeilenbefehl status ausgegeben wird, zeigt sie eine Liste aller unterstützten Steckerstatus an, mit einer kurzen Beschreibung und möglichen Gründen für jeden Status. Der aktuelle Steckerstatus ist in der Tabelle mit ** gekennzeichnet. 

    CLI-Befehlsverwendung

    • about - enthält Informationen wie Version und GUID des Connectors.
    ampcli> about
Cisco Secure Endpoint Connector v1.16.0.123
Copyright (c) 2013-2021 Cisco Systems, Inc. All rights reserved.
This product incorporates open source software; refer to
/opt/cisco/amp/doc/acknowledgement.txt for details.

[ 22b608b3-b20e-4bd3-8b53-def824acce8a ]
    • bp(Diese Option ist nur für Connector-Versionen 1.22.0+ unter Linux und 1.24.0+ unter MacOS verfügbar)
      • Status - Anzeige der Verhaltensschutz-Engine und Definitionsinformationen
        • Wenn der Verhaltensschutz nicht aktiviert ist, werden keine weiteren Engine- oder Signaturinformationen bereitgestellt:
    ampcli> bp status
    Behavioral Protection is not enabled
        • Wenn der Verhaltensschutz aktiviert ist, werden Engine, Modus und Signaturinformationen angezeigt:
    ampcli> bp status
APDE Engine Version:              3.1.0.0
BP Mode:                          Protect
BP Signature Serial Number:       8071
BP Signature Last Loaded:         2023-05-02 05:44:09 PM
      • sync - Synchronisieren der Verhaltensschutz-Signaturen
    • Clam
      • Status - Anzeige von Clamav-Engine und Definitionsinformationen
    ampcli> clamav status
Definition Version:       ClamAV(bytecode.cvd: 334, daily.cvd: 26893, main.cvd: 62)
Definitions Published:    bytecode.cvd: 22 Feb 2023 16-33 -0500
                          daily.cvd: 01 May 2023 03-22 -0400
                          main.cvd: 16 Sep 2021 08-32 -0400
Definitions Last Updated: 2023-05-01 04:01:55 PM
      • sync - synchronisieren Sie die clamav-Signaturen
    • Verbindungstest
      • all - Führt alle Verbindungstests durch
      • bpsig - Führt einen Signaturabruftest zum Verhaltensschutz durch
      • crashdump - Führt einen Upload-Test einer Absturzdiagnose durch
      • event - Überprüft die Verbindung zum Ereigniseingangsserver.
      • hc - Führt einen minimalen Verbindungstest mit dem Registrierungsserver durch
      • orbitalupdate - Führt einen Download-Test für orbitale Updates durch
      • policy [Seriennummer] - Führt einen Richtlinien-Abruftest der aktuellen Richtlinie durch. Eine Policy-Seriennummer kann bereitgestellt werden, um eine bestimmte Policy abzurufen.
      • DateiUpload - Führt einen Datei-Upload-Test durch
      • update - Führt einen Connector-Update-Download-Test durch
    • defupdate - sendet eine Anfrage an die Cloud, um die Virendefinitionen zu aktualisieren.
    • Ausschlüsse - Zeigt die aktuellen Ausschlüsse für den Anschluss an:
      • Diese Einstellung muss auch in der Connector-Richtlinie aktiviert sein, damit Ausschlüsse angezeigt werden.
    ampcli> exclusions
Exclusions:
  Path			/home
  Path			/mnt/hgfs
  Regular Expression	/var/log/.*\.log
    • Geschichte
      • Verlaufsliste: Auflistung des Verlaufs der Connector-Aktivität (Scans, Quarantänen usw.)
      • history pagesize <numeric_value> - Legt die Seitengröße für die Verlaufsansicht fest (max. 12)
    ampcli> history pagesize 12
Page size set to 12
    • isolate (Diese Option ist nur für Mac-Connector-Versionen 1.21.0 und höher verfügbar (nicht unter Linux))
      • isolate stop <Token> - Beendet die Endpunkt-Isolationssitzung mit dem Token, das zum Starten der Isolationssitzung verwendet wird.
    • notify - schaltet die Connector-Benachrichtigungen in der CLI ein/aus.
      • Diese Einstellung muss auch in der Connector-Richtlinie aktiviert werden.
      • Unter Mac hat dies keine Auswirkungen auf Benachrichtigungen in der Benutzeroberfläche.
    ampcli> notify
Notifications set to on
    ampcli> notify
Notifications set to off
    • policy - Zeigt die aktuelle Richtlinie für den Connector an:
    ampcli> policy
Quarantine Behavior:
  Quarantine malicious files.
Protection:
  Monitor program install.
  Monitor program start.
  Passive on-execute mode.
Proxy:		NONE
Notifications:	Do not display cloud notifications.
Policy:		Audit Policy for Cisco Secure Endpoint (#5755)
Last Updated:	2020-01-08 04:49 PM
Definition Version:	  ClamAV(bytecode.cvd: 331, daily.cvd: 25721, main.cvd: 59)
Definitions Last Updated: 2020-01-08 05:09 PM

    Für Mac Connector-Versionen 1.16.0 und höher und für Linux Connector-Versionen 1.17.0 und höher enthält policy den Richtlinienstatus für Orbital:

    Orbital: Enabled

    Für die Orbitalrichtlinieneinstellung gibt es zwei Werte:

    1. Enabled (Aktiviert): Orbital wird über Richtlinie aktiviert.
    2. Disabled (Deaktiviert): Orbital wird über Richtlinie deaktiviert.

    Für Mac Connector-Versionen 1.21.0 und höher (nicht unter Linux) enthält die Richtlinie den Richtlinienstatus für die Endpunktisolierung:

    Isolation: Enabled

    Es gibt zwei Werte für die Einstellung der Isolationsrichtlinie:

    1. Enabled (Aktiviert): Endpunktisolierung wird über Richtlinie aktiviert.
    2. Disabled (Deaktiviert): Endpunktisolierung ist über Richtlinie deaktiviert.
    • Status - Verbindungsstatus im JSON-Format anzeigen
      • Posture Prettyprint - Druckhaltung mit schönem Druck JSON-Format
    ampcli> posture
    {"running": true, "connected": true, "connector_version": "1.19.1.1419", "agent_uuid": "e03ecde8-1aee-4d15-8bca-100e952ee4b9", "offline_engine": "ClamAV", "offline_engine_version": "0.103.5", "definition_version": "osx.cvd:1152", "last_definition_update_published": "osx.cvd: 05 May 2022 13-00 -0400", "last_definition_update_success": 1651857785, "last_scan": 1651857897, "last_scan_status": false, "protect_file_mode": true, "protect_process_mode": true, "scans": [{"scan_type": "flash", "scan_in_progress": false, "last_scan_finished": 1651857039}, {"scan_type": "full", "scan_in_progress": false, "last_scan_finished": 1651857897}, {"scan_type": "custom", "scan_in_progress": false, "last_scan_finished": 1651856819}], "engines": [{"enabled": true, "name": "ClamAV", "version": "0.103.5", "definitions": [{"version": 1152, "name": "osx.cvd", "timestamp": 1651770000, "last_successful_update": 1651857785}]}]}
    • quarantine (Diese Option ist nur für Benutzer mit Root-Berechtigungen verfügbar.)
      • Quarantäne-Liste: Listet die Quarantäne-Elemente auf dem System auf.
      • quarantine restore <quarantine_id> - Stellen Sie eine Quarantäne-Datei über die Quarantäne-ID wieder her, die Sie über den Befehl quarantine list finden.
    • quit (oder q): Beenden Sie die Secure Endpoint Mac/Linux-Connector-CLI.
    • Abtastung
      • flash scannen: Führt einen flash-scan des Systems durch.
      • Vollständig scannen: Führen Sie eine vollständige Systemprüfung durch.
      • Benutzerdefiniert scannen <path_to_scan> - Eine bestimmte Datei oder ein bestimmtes Verzeichnis scannen.
      • Scan-Pause - Unterbrechen Sie alle derzeit ausgeführten Scans.
      • Scan-Lebenslauf: Alle aktuell angehaltenen Suchläufe werden fortgesetzt.
      • Scan abbrechen - Alle derzeit ausgeführten Scans abbrechen.
      • Scan-Liste - listet alle geplanten Scans auf, die auf dem System durchgeführt werden.
    • status: Zeigt den aktuellen Status des Anschlusses am System an.
      • Statushilfe - Anzeige einer Tabelle mit allen Steckerstatus, dem aktuellen Steckerstatus, mit Beschreibungen der einzelnen Statusstatus und den Gründen für einen bestimmten Status.
    ampcli> status
Status:		Connected
Mode:		Normal
Scan:		Ready for scan
Last Scan:	2020-01-22 03:57 PM
Policy:		Audit Policy for Cisco Secure Endpoint (#5755)
Command-line:	Enabled
Faults:		None

    Wenn an einem Endpunkt Fehler vorliegen, zeigt das Feld Faults (Fehler) die Anzahl der Fehler für jeden Schweregrad (Critical/Major/Minor) an. Ab Connector-Version 1.12.3 zeigt die CLI ein Fehler-ID-Feld an, das die Fehlercodes für jeden am Endpunkt ausgelösten Fehler anzeigt. Die CLI gibt Hinweise zu allen auf dem Endpunkt vorhandenen Fehlern aus.

    Beispiel:

    Faults:		1 Critical, 1 Major
Fault IDs:	1, 3
		ID 1 - Critical: The system extensions failed to load. Approve the system extensions in Security & Privacy System Preferences.
		ID 3 - Major: Full Disk Access not granted. Grant access to the ampdaemon executable in Security & Privacy System Preferences.
    ampcli> status help
  Status		 Description				 Reason(s)
=================================================================================
| Initializing... 	| Program starting/loading. 		| -- 
| 			| 					| 
| Provisioning... 	| Endpoint identity 			| -- 
| 			| enrollment/subscription. 		| 
| 			| 					| 
| Provisioning 		| Endpoint identity 			| Cannot reach AMP services. 
| failed, retrying 	| enrollment/subscription failed. 	| Missing SSL certificates. 
| 			| Connector will retry. 		| 
| 			| 					| 
| Registering... 	| Registering endpoint identity. 	| -- 
| 			| 					| 
| Registration 		| Endpoint identity registration 	| Cannot reach AMP services. 
| failed, retrying 	| failed. Connector will retry. 	| Missing SSL certificates. 
| 			| 					| 
| Connecting... 	| Registering with disposition 		| -- 
| 			| service. 				| 
| 			| 					| 
| Connection failed, 	| Registration with disposition 	| Cannot reach AMP services. 
| retrying 		| service failed. Connector will 	| Missing SSL certificates. 
| 			| retry. 				| 
| 			| 					| 
| ** Connected 		| Enrollment and registration 		| -- 
| 			| succeeded. Connected to AMP 		| 
| 			| services. Connector is operating 	| 
| 			| normally. 				| 
| 			| 					| 
| Disabled 		| Connector is not operational. 	| AMP subscription is invalid 
| 			| 					| or has expired. 
| 			| 					| 
| Disconnected, 	| Lost connection to the disposition 	| Network connection to the 
| retrying 		| service after an initial 		| disposition service has been 
| 			| connection was established. 		| interrupted. 
| 			| Connector will attempt to 		| 
| 			| reconnect. 				| 
| 			| 					| 
| Offline (the 		| The local network has been 		| Cable disconnected. 
| network is down) 	| disconnected. 			| The network interface is 
| 			| 					| disabled. 
| 			| 					| 
=================================================================================
** indicates the current status of the Connector
    Run "ampcli connectivity-test" to help diagnose connection errors

    Für Mac Connector Versionen 1.16.0 und neuere und für Linux Connector Versionen 1.17.0 und neuere, beinhaltet statusden aktuellen Status von Orbital auf dem Computer:

    Orbital: Enabled (Running)

    Es gibt drei Werte für den Orbitalstatus:

    1. Enabled (Running) (Aktiviert (Wird ausgeführt)): gibt an, dass die aktuelle Richtlinie Orbital aktiviert hat und der Orbital-Dienst derzeit auf dem Computer ausgeführt wird.
    2. Enabled (Not Running) (Aktiviert (Wird nicht ausgeführt)): gibt an, dass die aktuelle Richtlinie Orbital aktiviert hat, der Orbital-Dienst jedoch derzeit nicht auf dem Computer ausgeführt wird. 
    3. Disabled (Deaktiviert): gibt an, dass die aktuelle Richtlinie Orbital nicht aktiviert hat.

    Für Mac Connector-Versionen 1.21.0 und höher (nicht unter Linux) beinhaltet status den aktuellen Status der Endpunktisolierung auf dem Computer:

    Isolation: Isolated

    Es gibt drei Werte für den Orbitalstatus:

    1. Isolated (Isoliert): gibt an, dass die aktuelle Richtlinie die Endpunktisolierung aktiviert hat und der Computer vom Netzwerk isoliert ist.
    2. Not Isolated (Nicht isoliert): gibt an, dass die aktuelle Richtlinie die Endpunktisolierung aktiviert hat und der Computer nicht isoliert ist.
    3. Disabled in Policy (Deaktiviert in Richtlinie): gibt an, dass die aktuelle Richtlinie die Endpunktisolierung nicht aktiviert hat.
    • sync - Synchronisieren Sie den Connector mit der Cloud, um die aktuellste Richtlinie sicherzustellen.
    • verbose - schaltet die ausführlichen Protokolle für die CLI ein/aus.
    ampcli> verbose
Verbose mode set to on
    ampcli> verbose
Verbose mode set to off

    Zusätzliche Informationen

    Technischer Support und Dokumentation für Cisco Systeme

    Cisco Secure Endpoint - Benutzerhandbuch

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    8.0
    16-Apr-2024
    Zusätzlicher Verhaltensschutz
    7.0
    15-Jun-2023
    Zusätzliche Befehle für Verhaltensschutz und ClamAV
    6.0
    15-Mar-2023
    Aktualisierte Ausgabe des Befehls "ampcli help", um eine neue alphabetische Reihenfolge der Optionen anzuzeigen.
    5.0
    27-Oct-2022
    Isolation zu Status, Richtlinie hinzugefügt. Isolationsstop hinzugefügt.
    4.0
    20-Jul-2022
    Statusvoreinstellung hinzugefügt (Befehlsbeschreibung)
    3.0
    26-Nov-2021
    Orbitale Informationen hinzufügen
    2.0
    19-Oct-2021
    Das agent_uuid-Feld wurde zur ampcli-Schwachstelle hinzugefügt.
    1.0
    04-Aug-2021
    Erstveröffentlichung

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.