Server Protection エージェント
制限事項
Sophos XDR Sensor をご利用の場合、この機能は使用できません。
Sophos Protection for Linux には Server Protection というエージェントがあり、これを使用して Linux デバイス上でオンデマンド検索を実行できます。Server Protection は、ウイルス対策スキャナ (avscanner
) です。
Server Protection のインストールディレクトリは、/opt/sophos-spl/plugins/av
です。
Server Protection の使用を開始する前に、/usr/local/bin/
がパスに存在することを確認する必要があります。
avscanner
は、フル ファイル スキャナで /opt/sophos-spl/plugins/av/bin/avscanner
にあります。
ファイル、アーカイブファイル、またはディレクトリを検索できます。
複数の端末を使用して、複数のスキャンを同時に実行できます。
コマンドラインオプション
コマンドラインから検索を実行する際、オプションを追加できます。
これには、次のように入力します: avscanner PATH OPTION
avscanner
コマンドは、次のコマンドラインオプションに対応しています。
ヘルプ
avscanner
ヘルプを印刷します。
-h
--help
アーカイブファイルの検索
アーカイブファイル内を検索します。
-a
--scan-archives
ディスクイメージ
ディスクイメージの内部をスキャンします。
-i
--scan-images
不要と思われるアプリの検出
avscanner
を設定してスキャン中に不要と思われるアプリ (PUA) を検出するようにします。デフォルトでは無効に設定されています。
-p
--detect-puas
不要と思われるアプリの検出を除外
特定の不要と思われるアプリ (PUA) 検出をレポートから除外します。
--exclude-puas <THREAT>
引数
除外する不要と思われるアプリ (PUA) 検出に関するカンマ区切りリスト。
ヒント
PUA 検出は、"PsExec" や "Cain n Abel" などの名前で除外できます。検出の名前は、ログまたはソフォスの Web サイトで確認できます。アドウェアと不要なアプリケーション (PUA) を参照してください。
シンボリックリンク
検索時にシンボリックリンクをたどります。
-s
--follow-symlinks
除外
場所を検索対象から除外します。
-x
--exclude <EXCLUSION>
引数
除外する場所へのパス。除外では、Sophos Central 除外と同じ構文を使用します。詳細は、検索の除外を参照してください。
注
Sophos Central で指定したパスの除外は、コマンドライン検索には適用されません。検索から項目を手動で除外するには、--exclude
を使用する必要があります。Sophos Central でハッシュで許可されたファイルは、コマンドライン検索においても引き続き許可されます。
出力
出力をログファイルに送信します。
-o
--output <OUTPUT>
引数
出力の書き込み先となるファイルへのパス。
ログレベル
ログレベルの設定。これによって、avscanner
のログレベルのみが設定されます。他の Sophos Protection for Linux コンポーネントのログレベルは変更されません。
-l
--log-level <LOGLEVEL>
引数
設定するログレベル。
利用可能なオプション: DEBUG
、SUPPORT
、INFO
、WARN
、または ERROR
。
ワイルドカード文字
ワイルドカード文字を使用できます。ワイルドカード文字を使用する場合は、次の事項について理解しておく必要があります。
avscanner
でオプションが表示される前に、シェルによってワイルドカードが展開されます。- エスケープされている、または引用符で囲まれているワイルドカードは、
avscanner
によって使用されます。これは、スケジュール検索の除外でワイルドカードを使用する場合と同様に動作します。詳細は、Linux での検索除外を参照してください。
オンデマンド検索の実行中に、別のオンデマンド検索を実行しようとすると、検索拒否メッセージがログファイルに表示されます。これは /opt/sophos-sspl/plugins/av/log/av.log
で参照できます。詳細は、「ログファイル」を参照してください。
コマンドの例
アーカイブファイルの内容を含むルートディレクトリ (ドットファイルまたはディレクトリを再帰的に含む) を検索します:
avscanner / --scan-archives
ルートディレクトリを検索し、シンボリックリンクをたどります:
avscanner / --follow-symlinks
/usr/local
を除く /usr
ディレクトリを検索します:
avscanner /usr --exclude /usr/local/
folder
ディレクトリを検索しますが、ファイル拡張子が .log
のファイル名は除外します:
avscanner folder --exclude '\*.log'
ファイル foo.exe
を検索し、出力を scan.log
という名前のログファイルにリダイレクトします:
avscanner foo.exe -o scan.log
ログレベルを「info」に設定して、ルートディレクトリを検索します:
avscanner / --log-level info
オンデマンド検索のリターンコード
avscanner
は検索の結果を示すコードをシェルに返します。検索が完了した後に、コマンドを入力すると、コードを表示できます。
例
echo $?
次の表は、一般的な avscanner
のリターンコードを示しています。なお、ソフォスサポートによる追加のトラブルシューティングで使用されるものなど、これ以外のリターンコードが表示されることもあります。
リターンコード | 説明 |
---|---|
0 | 正常な検索。エラーなし、および何も検出されませんでした。 |
8 | 続行可能なエラー。検索は続行されます。 詳細は、 |
16 | パスワード保護されたファイルが見つかりました。 |
24 | 悪意のあるファイルが見つかりましたが、クリーンアップされませんでした。 |
36 | 続行不可能なエラー。検索は中止されました。 詳細は、 |
40 | 検索は中断されました。 |