Agent Server Protection
Restriction
Si vous utilisez Sophos XDR Sensor, cette fonction n’est pas disponible.
L’agent Server Protection de Sophos Protection for Linux permet d’exécuter des contrôles à la demande sur vos appareils Linux. Server Protection est un scanner antivirus (avscanner
).
Le répertoire d’installation de Server Protection est /opt/sophos-spl/plugins/av
.
Avant de commencer à utiliser Server Protection, veuillez vérifier que /usr/local/bin/
se trouve dans votre chemin.
avscanner
est un module de contrôle de fichiers intégral qui se trouve dans /opt/sophos-spl/plugins/av/bin/avscanner
.
Vous pouvez contrôler un fichier, une archive ou un répertoire.
Vous pouvez effectuer plusieurs contrôles en même temps en utilisant plusieurs terminaux.
Options de ligne de commande
Vous pouvez ajouter des options lorsque vous exécutez un contrôle à partir de la ligne de commande.
Pour ce faire, saisissez avscanner PATH OPTION
.
La commande avscanner
prend en charge les options de ligne de commande suivantes :
Aide
Imprimez l’aide avscanner
.
-h
--help
Contrôler les fichiers
Contrôler dans les fichiers archive.
-a
--scan-archives
Images du disque
Contrôler dans les images du disque.
-i
--scan-images
Détecter les applis potentiellement indésirables
Configurez avscanner
pour détecter les applications potentiellement indésirables (PUA) pendant un contrôle. Désactivé par défaut.
-p
--detect-puas
Exclure les PUA
Excluez les détections de PUA spécifiques du rapport.
--exclude-puas <THREAT>
Argument de fin
Liste séparée par des virgules des détections PUA que vous souhaitez exclure.
Conseil
Vous pouvez exclure une détection PUA par nom, par exemple « PsExec » ou « Cain n Abel ». Vous trouverez le nom de la détection dans les journaux ou sur le site Web de Sophos. Voir Adwares et PUA.
Liens symboliques
Suivez les liens symboliques lors du contrôle.
-s
--follow-symlinks
Exclure
Exclure des emplacements du contrôle
-x
--exclude <EXCLUSION>
Argument de fin
Chemin de l’emplacement à exclure. Les exclusions utilisent la même syntaxe que les exclusions Sophos Central. Voir Exclusions du contrôle.
Remarque
Les exclusions de chemin dans Sophos Central ne s’appliquent pas aux contrôles par ligne de commande. Vous devez utiliser la fonction --exclude
pour exclure manuellement des éléments du contrôle. Les fichiers autorisés par le hachage dans Sophos Central sont toujours autorisés pendant les contrôles par ligne de commande.
Sortie
Envoyer la sortie dans le fichier journal.
-o
--output <OUTPUT>
Argument de fin
Chemin vers le fichier dans lequel vous souhaitez écrire la sortie.
Niveau de journal
Définir le niveau de journalisation. Cette option définit le niveau de journalisation pour avscanner
uniquement. Le niveau de journalisation des autres composants Sophos Protection for Linux n’est pas modifié.
-l
--log-level <LOGLEVEL>
Argument de fin
Le niveau de journalisation que vous souhaitez définir.
Les options disponibles sont : DEBUG
, SUPPORT
, INFO
, WARN
ou ERROR
.
Caractères de remplacement
Vous pouvez utilisez les caractères de remplacement. Avant d’utiliser ces caractères de remplacement, vous devez savoir que :
- Le shell développe les caractères de remplacement avant qu’
avscanner
ne voit les options. - Si vous utilisez des caractères de remplacement échappés ou entre guillemets,
avscanner
les utilise. Ils fonctionnent de la même manière que les caractères de remplacement utilisés pour les exclusions du contrôle planifié. Voir Exclusions du contrôle Linux.
Si vous essayez d’effectuer un contrôle à la demande pendant qu’un autre contrôle est déjà en cours, un message de refus de contrôle apparaît dans le fichier journal. Vous le trouverez dans /opt/sophos-sspl/plugins/av/log/av.log
. Voir « Fichiers journaux ».
Exemples de commandes
Contrôler le répertoire « root » (y compris récursivement les fichiers ou répertoires « dot »), y compris le contenu des fichiers d’archive :
avscanner / --scan-archives
Contrôler le répertoire « root » et suivre les liens symboliques :
avscanner / --follow-symlinks
Contrôler le répertoire /usr
à l’exception de /usr/local
:
avscanner /usr --exclude /usr/local/
Contrôler le répertoire folder
, mais exclure les noms de fichier portant l’extension .log
:
avscanner folder --exclude '\*.log'
Contrôler le fichier foo.exe
et redirigez la sortie vers un fichier journal appelé scan.log
:
avscanner foo.exe -o scan.log
Contrôler le répertoire « root » avec le niveau de journal défini sur info :
avscanner / --log-level info
Codes de retour du contrôle à la demande
avscanner
retourne un code d’erreur au shell qui indique le résultat du contrôle. Vous pouvez voir le code en saisissant une commande à la fin du contrôle.
Exemple
echo $?
Ce tableau répertorie les codes de retour avscanner
les plus courants. D’autres codes de retour peuvent être affichés. Ceux-ci sont utilisés pour la résolution de problèmes par le support Sophos.
Code de retour | Description |
---|---|
0 | Contrôle réussi. Aucune erreur ni détection. |
8 | Erreur gérable. Le contrôle peut continuer. Cliquez sur |
16 | Fichier protégé par mot de passe trouvé. |
24 | Fichier malveillant détecté et non nettoyé. |
36 | Erreur ingérable. Contrôle interrompu. Cliquez sur |
40 | Contrôle interrompu. |