Contrôler à partir de la ligne de commande
Vous pouvez contrôler l’ordinateur avec votre propre ligne de commande.
L’outil de ligne de commande est installé automatiquement lorsque vous installez Sophos Endpoint.
L’outil est installé dans Program Files/Sophos/Endpoint Defense et se nomme sophosinterceptxcli.exe.
L’outil vous permet d’effectuer les tâches suivantes :
- Exécuter un contrôle système. Il s’agit d’un contrôle de tout l’ordinateur.
- Exécuter un contrôle utilisateur. Il s’agit d’une contrôle des fichiers ou dossiers spécifiés par l’utilisateur.
Cette page répertorie les commandes et les options que vous pouvez utiliser.
Commandes
Les commandes sont les suivantes :
contrôle
La commande « scan » lance un contrôle de l’appareil et affiche une boîte de dialogue montrant le progrès du contrôle. Les résultats sont affichés dans l’interface d’utilisation de Sophos Endpoint et toutes les menaces détectées sont signalées à Sophos Central.
Pour exécuter un contrôle, saisissez une commande au format suivant :
scan <options> <targets>
Retrouvez plus de renseignements sur toutes les options de contrôle dans Options.
Retrouvez plus de renseignements sur la manière de spécifier des cibles sur Cibles.
Les droits d’exécution du contrôle déterminent quels fichiers sont contrôlés :
-
Un contrôle système s’exécute avec les droits de processus du système local. Il ne peut pas accéder aux fichiers tels que ceux chiffrés par Microsoft EFS car le processus du système local n’a pas accès aux clés des utilisateurs.
-
Un contrôle utilisateur (un contrôle de fichiers ou dossiers spécifiques) s’exécute avec vos droits d’utilisateur, de sorte qu’il ne peut contrôler que les fichiers auxquels vous avez accès.
Un contrôle utilisateur ne vérifie pas les fichiers exclus par une stratégie ou par des exclusions générales définies dans Sophos Central.
Les contrôles utilisent Live Protection qui vérifie les fichiers suspects en consultant les informations des SophosLabs sur les menaces les plus récentes. Si Live Protection est désactivé ou si l’appareil est déconnecté du réseau, le contrôle est moins efficace.
aide
La commande « help » affiche la liste des commandes disponibles.
help <command> affiche toutes les options disponibles pour une commande donnée.
Options
Voici les options que vous pouvez utiliser avec la commande « scan ». Elles s’appliquent à toutes les cibles (éléments à contrôler) que vous avez indiqué. Elles s’appliquent où que vous les placiez dans la ligne de commande.
| Option | Description |
|---|---|
| Développer les archives |
Le contrôle développe les archives et contrôle leur contenu. |
| Aucune interface utilisateur |
Aucune interface utilisateur n’est affichée. Toutes les détections sont enregistrées dans |
| Sortie détaillée |
Valide uniquement si vous spécifiez |
| Contrôle système |
Par défaut (ou si Si Si vous utilisez Les contrôles système sont toujours exécutés avec les droits du processus système local. Ils ne peuvent pas accéder à des éléments tels que le contenu des fichiers chiffrés par Microsoft EFS car le processus système local n’a pas accès aux clés de l’utilisateur. |
Cibles
Une cible est un élément que vous souhaitez contrôler. Il peut s’agir d’un lecteur, d’un dossier ou d’un fichier.
Pour contrôler un lecteur, saisissez une lettre en minuscule ou en majuscule, suivie de deux-points et d’une barre oblique inverse (par ex. C:\)
Remarque
Il est impératif d’ajouter la barre oblique inverse. Sinon, le contrôle ne vérifie que les fichiers du dossier en cours sur le lecteur. Si vous spécifiez C:, il s’agit généralement du dossier dans lequel vous exécutez l’outil de ligne de commande.
Pour contrôler un dossier ou un fichier spécifique, saisissez un chemin complet ou partiel. Le contrôle s’exécute sur les chemins des dossiers et des fichiers associées au dossier à partir duquel vous avez lancé l’outil de ligne de commande.
Vous pouvez utiliser des séparateurs de chemin de type DOS ou Unix. Vous pouvez également utiliser des chemins UNC.
Caractères de remplacement
Vous pouvez utiliser des caractères de remplacement. dans les noms de dossier et de chemin, mais pas dans les noms de lecteur.
| Caractère générique | Description |
|---|---|
| * (astérisque) | Effectue une correspondance avec 0 caractères ou plus |
| ? | Effectue une correspondance avec un seul caractère |
Voir Caractères génériques MS-DOS et Windows.
Le contrôle peut développer des caractères de remplacement avant de vérifier les dossiers et fichiers. Ceci s’applique uniquement si le caractère de remplacement se trouve dans le dernier élément du chemin. Ainsi, le contrôle développe C:/Test/Folder/F*le, mais pas C:/Test/F*lder/File.
Codes d’erreur
L’outil de ligne de commande peut renvoyer les codes d’erreur suivants :
| Code | Description |
|---|---|
0 | Tous les fichiers ont été contrôlés avec succès et aucun malware n’a été trouvé |
1 | Erreur lors du traitement de la commande |
2 | Erreur inattendue lors de la configuration de l’outil de ligne de commande |
3 | Une menace a été détectée dans un ou plusieurs fichiers |
4 | Un ou plusieurs fichiers ont rencontré une erreur lors du contrôle |
5 | Un ou plusieurs fichiers ont été chiffrés |
6 | Un ou plusieurs fichiers ont un format non pris en charge |
7 | Un ou plusieurs fichiers étaient inaccessibles |
Si plusieurs erreurs se produisent, nous renverrons le code d’erreur le plus grave. Les codes sont affichés dans l’ordre de gravité ci-dessus, le nombre le plus élevé indiquant la gravité la plus élevée.
L’outil d’interface de ligne de commande Intercept X ne renvoie pas de codes d’erreur supplémentaires du type utilisé par les anciens produits Sophos Endpoint.
Pour un contrôle initié par un utilisateur (et pas un contrôle système), nous écrivons une sortie supplémentaire sur la console. Pour chaque catégorie, nous affichons le nombre de fichiers concernés et les listons.
Résultats au format JSON
Utilisez l’option --json pour sortir les résultats au format JSON à la fin du contrôle.
Sauf en cas d’erreur fatale (code d’erreur 1 ou 2), seul un objet JSON est écrit sur stdout pour prendre en charge les scripts.
Format de sortie JSON
Lorsque --json est spécifié, un objet JSON est écrit en fournissant le même niveau de détail que la sortie lisible par l’homme fournie par défaut avec --noui.
Pour une contrôle utilisateur, les clés suivantes sont toujours fournies, même si aucun fichier n’y est répertorié, pour prendre en charge la détectabilité :
{
"type": "user",
"targets": ["C:\\test", "C:\\foo", "C:\\bar"],
"summary": {
"detections": 1,
"cleanFiles": 3,
"filesWithScanningErrors": 1,
"filesWithUnsupportedFormats": 1,
"inaccessibleFiles": 1,
"encryptedFiles": 1,
"corruptedFiles": 1
},
"detections": [{"path": "C:\\test\\eicar.com", "name": "EICAR-AV-Test", "type": "Malware"}],
"filesWithScanningErrors": [{"path": "C:\\test\\bad.exe", "reason": "Stream read failure (source: SAVI, code: -1610350039)"}],
"filesWithUnsupportedFormats": [{"path": "C:\\bar\\bar.exe"}],
"inaccessibleFiles": [{"path": "C:\\foo\\bar.exe", "reason": "Access is denied (5) (source: ScanCoordinator)"}],
"encryptedFiles": [{"path": "C:\\bar\\baz.exe"}],
"corruptedFiles": [{"path": "C:\\bar\\corrupted.zip"}]
}
Pour un contrôle système, seules les clés de type et de résumé de premier niveau sont fournies, le type étant « fullSystem » ou « quickSystem ».
Pour un contrôle utilisateur, si --verbose est également spécifié, une clé scannedFilessupplémentaire est incluse, répertoriant tous les fichiers qui ont été contrôlés, à l’exception de ceux qui étaient inaccessibles.
`"scannedFiles": [{"path": "C:\\test\\eicar.com"}]`