コンテンツにスキップ

コマンドラインからの検索

コンピュータは、ソフォスのコマンドラインツールを使用して検索できます。

コマンドラインツールは、Sophos Endpoint のインストール時に自動的にインストールされます。

ツールは sophosinterceptxcli.exe という名称で、Program Files/Sophos/Endpoint Defense にインストールされます。

ツールを使用して、次の操作を実行できます。

  • システム検索を実行します。これはコンピュータ全体の検索です。
  • ユーザー検索を実行します。これは、ユーザーが指定したファイルまたはフォルダの検索です。

このページには、使用できるコマンドとオプションが一覧表示されています。

コマンド

コマンドは次のとおりです。

scan

scan コマンドによって、デバイスの検索が開始され、検索の進行状況のダイアログが表示されます。結果は Sophos Endpoint ユーザーインターフェースに表示され、検出された脅威はすべて Sophos Central に報告されます。

検索を実行するには、次の形式でコマンドを入力します。

scan <options> <targets>

検索オプションの詳細は、オプションを参照してください。

検索対象の指定方法の詳細は、対象を参照してください。

検索がアクセスできるファイルは、検索を実行する権限によって異なります。

  • システム検索は、ローカルシステムのプロセスの権限で実行されます。ローカルシステムのプロセスはユーザーの鍵にアクセスできないため、システム検索は、Microsoft EFS で暗号化されたファイルなどにはアクセスできません。

  • ユーザー検索 (特定のファイルやフォルダの検索) はユーザー権限で実行されるため、ユーザーがアクセス可能なファイルのみを検索できます。

Sophos Central で指定されたポリシーやグローバル除外によって除外されたファイルは、ユーザー検索では検索されません。

検索は、SophosLabs のデータベースを照会し、最新の脅威情報に基づいて疑わしいファイルをチェックする Sophos Live Protection を活用します。Live Protection がオフになっている、またはデバイスがネットワークから切断されている場合、検索の効果は低下します。

help

help コマンドによって、使用可能なコマンドの一覧が表示されます。

help <command> によって、各コマンドで使用可能なオプションすべてが表示されます。

オプション

ここでは、scan コマンドで使用できるオプションについて説明しています。これは、指定した対象 (検索対象の項目) すべてに適用されます。コマンドライン内のどこに配置した場合でも適用されます。

オプション 説明
アーカイブの展開

--expand_archives

検索によってアーカイブが展開され、コンテンツが検索されます。

ユーザーインターフェースなし

--noui

ユーザーインターフェースは表示されません。検出内容はすべて stdout に書き込まれます 。検索が完了するまでツールは閉じません。

詳細な出力

--verbose

--noui が指定されている場合のみに有効です。検索した各ファイルに関する情報 (ファイル名、およびクリーンまたは検出というステータス) を stdout に書き込みます。

システム検索

--system

デフォルトで (または --full も指定されている場合)、は現在のデバイス上のすべてのローカルファイルをスキャンし、MBR (マスター ブート レコード) やメモリスキャンなどの他のシステム検索アクティビティを実行します。

--quick と共に --system を指定すると、システム検索は、実行中のプロセスや最近実行されたプロセスのイメージファイル、起動時に自動的に実行されるように設定されたプログラムなど、よく使用されるファイルのみを検索します。また、MBR とメモリも検索します。

--system を使用する場合、検索対象は指定しないでください。

システム検索は、常にローカルシステムのプロセスの権限で実行されます。ローカルシステムのプロセスはユーザーの鍵にアクセスできないため、システム検索は、Microsoft EFS で暗号化されたファイルのコンテンツなどにはアクセスできません。

対象

対象は、検索の対象とする項目を指します。対象は、ドライブ、フォルダ、ファイルなどです。

ドライブを検索するには、C:\ など、大文字または小文字 1文字に続けて、コロンとバックスラッシュを入力します。

バックスラッシュは必ず指定してください。指定しないと、指定したドライブ上のカレントフォルダ内のファイルのみが検索されます。C: を指定した場合、それは通常、コマンドラインツールを実行しているフォルダです。

特定のフォルダやファイルを検索するには、フルパスまたはパスの一部を入力します。検索では、コマンドラインツールを実行したフォルダに対する相対パスとして、フォルダとファイルのパスが処理されます。

DOS 形式または UNIX 形式のパスの区切り文字を使用できます。UNC パスを使用することもできます。

ワイルドカード

ワイルドカードは、フォルダ名やパス名に使用できますが、ドライブ名には使用できません。

ワイルドカード 説明
* (アスタリスク) 0文字以上の文字を照合する場合に使用します
? 1文字を照合する場合に使用します

詳細は、MS-DOS および Windows ワイルドカード文字を参照してください。

検索では、フォルダやファイルを検索する前にワイルドカードを展開できます。これは、ワイルドカードがパスの最後の要素に含まれている場合のみに適用されます。つまり、検索によって C:/Test/Folder/F*le は展開されますが、C:/Test/F*lder/File は展開されません 。

エラーコード

コマンドラインツールが返すエラーコードは次のとおりです。

コード 説明
0 すべてのファイルを正常に検索しましたが、マルウェアは見つかりません
1 コマンドの処理中にエラーが発生しました
2 コマンドラインツールのセットアップ中に予期しないエラーが発生しました
3 1つまたは複数のファイルで脅威が検出されました
4 検索中に1つまたは複数のファイルでエラーが発生しました
5 1つまたは複数のファイルが暗号化されました
6 1つまたは複数のファイルの形式がサポートされていません
7 1つまたは複数のファイルにアクセスできませんでした

複数のエラーが発生した場合は、最も重要なエラーコードを返します。コードは、上記の重要度の順に表示され、最も大きい番号が最も重要度の高いものを示します。

Intercept X の CLI ツールは、ソフォスの以前のエンドポイント製品で使用されていた追加のエラーコードは返しません。

システム検索ではなく、ユーザーが開始した検索については、コンソールに追加の出力を書き込みます。カテゴリごとに、影響を受けるファイルの数を表示し、それらを一覧表示します。

JSON 形式の結果

検索の最後に結果を JSON 形式で出力するには、--json オプションを使用します。

致命的なエラー (エラーコード 1 または 2 ) が発生しない限り、 スクリプトをサポートするためにJSONオブジェクトのみが stdout に書き込まれます。

JSON 出力形式

--json が指定されている場合、JSON オブジェクトは、--noui でデフォルトで提供される判読可能な出力と同じレベルの詳細を提供します。

ユーザー検索の場合、使いやすさをサポートするために、次のキーが常に提供されます。

{
"type": "user",
"targets": ["C:\\test", "C:\\foo", "C:\\bar"],
"summary": {
"detections": 1,
"cleanFiles": 3,
"filesWithScanningErrors": 1,
"filesWithUnsupportedFormats": 1,
"inaccessibleFiles": 1,
"encryptedFiles": 1,
"corruptedFiles": 1
},
"detections": [{"path": "C:\\test\\eicar.com", "name": "EICAR-AV-Test", "type": "Malware"}],
"filesWithScanningErrors": [{"path": "C:\\test\\bad.exe", "reason": "Stream read failure (source: SAVI, code: -1610350039)"}],
"filesWithUnsupportedFormats": [{"path": "C:\\bar\\bar.exe"}],
"inaccessibleFiles": [{"path": "C:\\foo\\bar.exe", "reason": "Access is denied (5) (source: ScanCoordinator)"}],
"encryptedFiles": [{"path": "C:\\bar\\baz.exe"}],
"corruptedFiles": [{"path": "C:\\bar\\corrupted.zip"}]
}

システム検索の場合、最上位のレベルの種類のキーとサマリキーのみが表示されます。種類は "fullSystem" または "quickSystem" です。

ユーザー検索の場合、 --verbose が指定されている場合は、 アクセスできなかったファイルを除き、検索されたすべてのファイルが一覧表示される追加の scannedFiles キーが含まれます。

`"scannedFiles": [{"path": "C:\\test\\eicar.com"}]`