1. Формат вызова утилиты управления из командной строки
Утилита управления работой Dr.Web для почтовых серверов UNIX имеет следующий формат вызова:
$ drweb-ctl [<общие опции> | <команда> [<аргумент>] [<опции команды>]]
|
где:
•<общие опции> — опции, которые могут быть использованы при запуске без указания команды или для любой из команды. Не являются обязательными для запуска;
•<команда> — команда, которая должна быть выполнена Dr.Web для почтовых серверов UNIX (например, запустить проверку файлов, вывести содержимое карантина и т. п.);
•<аргумент> — аргумент команды. Зависит от указанной команды. У некоторых команд аргументы отсутствуют;
•<опции команды> — опции, управляющие работой указанной команды. Зависит от команды. У некоторых команд опции отсутствуют.
2. Общие опции
Доступны следующие общие опции:
Опция
|
Описание
|
-h, --help
|
Вывести на экран краткую общую справку и завершить работу. Для вывода справки по любой команде используйте вызов:
|
-v, --version
|
Вывести на экран версию модуля и завершить работу
|
-d, --debug
|
Предписывает выводить на экран расширенные диагностические сообщения во время выполнения указанной команды. Не имеет смысла без указания команды. Используйте вызов:
|
3. Команды
Команды управления Dr.Web для почтовых серверов UNIX разделены на следующие группы:
•команды антивирусной проверки;
•команды управления обновлением и работой в режиме централизованной защиты;
•команды управления конфигурацией;
•команды управления угрозами и карантином;
•информационные команды.
|
Для получения справки о компоненте из командной строки используйте команду man 1 drweb-ctl.
|
3.1. Команды антивирусной проверки
Доступны следующие команды антивирусной проверки файловой системы:
Команда
|
Описание
|
scan <путь>
|
Назначение: инициировать проверку компонентом проверки файлов Dr.Web File Checker указанного файла или каталога.
Аргументы
<путь> — путь к файлу или каталогу, который нужно проверить (может быть относительным).
Этот аргумент может быть опущен в случае использования опции --stdin или --stdin0. Для проверки перечня файлов, выбираемых по некоторому условию, рекомендуется использовать утилиту find (см. Примеры использования) и опцию --stdin или --stdin0.
Опции
-a [--Autonomous] — запустить отдельную копию Dr.Web Scanning Engine и Dr.Web File Checker для выполнения заданной проверки, завершив их работу после окончания проверки. Обратите внимание, что угрозы, обнаруженные при автономном сканировании, не будут добавлены в общий список обнаруженных угроз, выводимый командой threats (см. ниже), также о них не будет сообщено серверу централизованной защиты, если Dr.Web для почтовых серверов UNIX работает под его управлением.
--stdin — получить список путей для проверки из стандартного потока ввода (stdin). Пути в списке должны быть разделены символом новой строки ('\n').
--stdin0 — получить список путей для проверки из стандартного потока ввода (stdin). Пути в списке должны быть разделены нулевым символом NUL ('\0').
|
При использовании опций --stdin и --stdin0 пути в списке не должны содержать шаблонов. Предпочтительное использование опций --stdin и --stdin0 — обработка в команде scan списка путей, сформированного внешней программой, например, find (см. Примеры использования).
|
--Exclude <путь> — путь, исключаемый из проверки. Может быть относительным и включать в себя файловую маску (содержащую символы '?' и '*', а также символьные классы '[ ]', '[! ]', '[^ ]').
Необязательная опция; может быть указана более одного раза.
--Report <тип> — установить тип отчета о проверке.
Возможные значения:
•BRIEF — краткий отчет;
•DEBUG — подробный отчет;
•JSON — сериализованный отчет в формате JSON.
Значение по умолчанию: BRIEF.
--ScanTimeout <число> — установить тайм-аут на проверку одного файла в мс.
Значение 0 указывает, что время проверки не ограничено.
Значение по умолчанию: 0.
--PackerMaxLevel <число> — установить максимальный уровень вложенности объектов при проверке запакованных объектов. Под запакованным объектом понимается исполняемый код, сжатый при помощи специализированных инструментов (UPX, PELock, PECompact, Petite, ASPack, Morphine и других). Такие объекты могут включать другие запакованные объекты, в состав которых тоже могут входить другие запакованные объекты, и т. п. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться.
Значение 0 указывает, что вложенные объекты будут пропущены.
Значение по умолчанию: 8.
--ArchiveMaxLevel <число> — установить максимальный уровень вложенности объектов при проверке архивов (zip, rar и т. п.), в которые вложены другие архивы, в которые, в свою очередь, могут быть вложены еще архивы, и т. п. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого архивы внутри архивов не будут проверяться.
Значение 0 указывает, что вложенные объекты будут пропущены.
Значение по умолчанию: 8.
--MailMaxLevel <число> — установить максимальный уровень вложенности объектов при проверке файлов почтовых программ (pst, tbb и т. п.), в которые могут быть вложены объекты, в которые также могут быть вложены объекты, и т. п. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться.
Значение 0 указывает, что вложенные объекты будут пропущены.
Значение по умолчанию: 8.
--ContainerMaxLevel <число> — установить максимальный уровень вложенности объектов при проверке других типов объектов c вложениями (HTML-страницы, jar-файлы и т. п.). Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться.
Значение 0 указывает, что вложенные объекты будут пропущены.
Значение по умолчанию: 8.
--MaxCompressionRatio <степень> — установить максимальную допустимую степень сжатия проверяемых объектов.
Значение должно быть не менее 2.
Значение по умолчанию: 3000.
--MaxSizeToExtract <size> — установить ограничение на размер файлов в архиве. Файлы, размер которых превышает значение этого параметра, будут пропущены при проверке. Размер указывается как число с суффиксом (b, kb, mb, gb). Если никакого суффикса не указано, число интерпретируется как размер в байтах.
Значение по умолчанию: нет.
--HeuristicAnalysis <On|Off> — использовать ли эвристический анализ при проверке.
Значение по умолчанию: On.
--OnKnownVirus <действие> — действие, которое нужно выполнить, если методами сигнатурного анализа обнаружена известная угроза.
Возможные действия: Report, Cure, Quarantine, Delete.
Значение по умолчанию: Report.
--OnIncurable <действие> — действие, которое нужно выполнить, если лечение (Cure) обнаруженной угрозы окончилось неудачей или оно невозможно.
Возможные действия: Report, Quarantine, Delete.
Значение по умолчанию: Report.
--OnSuspicious <действие> — действие, которое нужно выполнить, если эвристический анализ обнаружит подозрительный объект.
Возможные действия: Report, Quarantine, Delete.
Значение по умолчанию: Report.
--OnAdware <действие> — действие, которое нужно выполнить, если обнаружена рекламная программа.
Возможные действия: Report, Quarantine, Delete.
Значение по умолчанию: Report.
--OnDialers <действие> — действие, которое нужно выполнить, если обнаружена программа дозвона.
Возможные действия: Report, Quarantine, Delete.
Значение по умолчанию: Report.
--OnJokes <действие> — действие, которое нужно выполнить, если обнаружена программа-шутка.
Возможные действия: Report, Quarantine, Delete.
Значение по умолчанию: Report.
--OnRiskware <действие> — действие, которое нужно выполнить, если обнаружена потенциально опасная программа.
Возможные действия: Report, Quarantine, Delete.
Значение по умолчанию: Report.
--OnHacktools <действие> — действие, которое нужно выполнить, если обнаружена программа взлома.
Возможные действия: Report, Quarantine, Delete.
Значение по умолчанию: Report.
|
Если угроза обнаружена в файле, находящемся в контейнере (архив, почтовое сообщение и т. п.), вместо удаления (Delete) выполняется перемещение контейнера в карантин (Quarantine).
|
--FollowSymlinks — автоматически разрешать символические ссылки
|
bootscan
<устройство> | ALL
|
Назначение: инициировать проверку компонентом проверки файлов Dr.Web File Checker загрузочной записи на указанных дисковых устройствах. Проверяются как записи MBR, так и записи VBR.
Аргументы
<устройство> — путь к блочному файлу дискового устройства, загрузочная запись на котором подлежит проверке. Может быть указано несколько дисковых устройств через пробел. Обязательный аргумент. Если вместо файла устройства указано ALL, будут проверены все загрузочные записи на всех доступных дисковых устройствах.
Опции
-a [--Autonomous] — запустить отдельную копию Dr.Web Scanning Engine и Dr.Web File Checker для выполнения заданной проверки, завершив их работу после окончания проверки. Обратите внимание, что угрозы, обнаруженные при автономном сканировании, не будут добавлены в общий список обнаруженных угроз, выводимый командой threats (см. ниже), также о них не будет сообщено серверу централизованной защиты, если Dr.Web для почтовых серверов UNIX работает под его управлением.
--Report <тип> — установить тип отчета о проверке.
Возможные значения:
•BRIEF — краткий отчет;
•DEBUG — подробный отчет;
•JSON — сериализованный отчет в формате JSON.
Значение по умолчанию: BRIEF.
--ScanTimeout <число> — установить тайм-аут на проверку одного файла в мс.
Значение 0 указывает, что время проверки не ограничено.
Значение по умолчанию: 0.
--HeuristicAnalysis <On|Off> — использовать ли эвристический анализ при проверке.
Значение по умолчанию: On.
--Cure <Yes|No> — требуется ли делать попытки лечения обнаруженных угроз.
Если указано No, то производится только информирование об обнаруженной угрозе.
Значение по умолчанию: No.
--ShellTrace — включить вывод дополнительной отладочной информации при проверке загрузочной записи
|
procscan
|
Назначение: инициировать проверку компонентом проверки файлов Dr.Web File Checker содержимого исполняемых файлов, содержащих код процессов, запущенных в системе. При обнаружении угрозы выполняется не только обезвреживание вредоносного исполняемого файла, но и принудительное завершение работы всех процессов, запущенных из него.
Аргументы: нет.
Опции
-a [--Autonomous] — запустить отдельную копию Dr.Web Scanning Engine и Dr.Web File Checker для выполнения заданной проверки, завершив их работу после окончания проверки. Обратите внимание, что угрозы, обнаруженные при автономном сканировании, не будут добавлены в общий список обнаруженных угроз, выводимый командой threats (см. ниже), также о них не будет сообщено серверу централизованной защиты, если Dr.Web для почтовых серверов UNIX работает под его управлением.
--Report <тип> — установить тип отчета о проверке.
Возможные значения:
•BRIEF — краткий отчет;
•DEBUG — подробный отчет;
•JSON — сериализованный отчет в формате JSON.
Значение по умолчанию: BRIEF.
--ScanTimeout <число> — установить тайм-аут на проверку одного файла в мс.
Значение 0 указывает, что время проверки не ограничено.
Значение по умолчанию: 0.
--HeuristicAnalysis <On|Off> — использовать ли эвристический анализ при проверке.
Значение по умолчанию: On.
--PackerMaxLevel <число> — установить максимальный уровень вложенности объектов при проверке запакованных объектов. Под запакованным объектом понимается исполняемый код, сжатый при помощи специализированных инструментов (UPX, PELock, PECompact, Petite, ASPack, Morphine и других). Такие объекты могут включать другие запакованные объекты, в состав которых тоже могут входить другие запакованные объекты, и т. п. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться.
Значение 0 указывает, что вложенные объекты будут пропущены.
Значение по умолчанию: 8.
--OnKnownVirus <действие> — действие, которое нужно выполнить, если методами сигнатурного анализа обнаружена известная угроза.
Возможные действия: Report, Cure, Quarantine, Delete.
Значение по умолчанию: Report.
--OnIncurable <действие> — действие, которое нужно выполнить, если лечение (Cure) обнаруженной угрозы окончилось неудачей или оно невозможно.
Возможные действия: Report, Quarantine, Delete.
Значение по умолчанию: Report.
--OnSuspicious <действие> — действие, которое нужно выполнить, если эвристический анализ обнаружит подозрительный объект.
Возможные действия: Report, Quarantine, Delete.
Значение по умолчанию: Report.
--OnAdware <действие> — действие, которое нужно выполнить, если обнаружена рекламная программа.
Возможные действия: Report, Quarantine, Delete.
Значение по умолчанию: Report.
--OnDialers <действие> — действие, которое нужно выполнить, если обнаружена программа дозвона.
Возможные действия: Report, Quarantine, Delete.
Значение по умолчанию: Report.
--OnJokes <действие> — действие, которое нужно выполнить, если обнаружена программа-шутка.
Возможные действия: Report, Quarantine, Delete.
Значение по умолчанию: Report.
--OnRiskware <действие> — действие, которое нужно выполнить, если обнаружена потенциально опасная программа.
Возможные действия: Report, Quarantine, Delete.
Значение по умолчанию: Report.
--OnHacktools <действие> — действие, которое нужно выполнить, если обнаружена программа взлома.
Возможные действия: Report, Quarantine, Delete.
Значение по умолчанию: Report.
|
При обнаружении угроз в исполняемом файле все запущенные из него процессы принудительно завершаются Dr.Web для почтовых серверов UNIX.
|
|
netscan [<путь>]
|
Назначение: инициировать распределенную проверку указанного файла или каталога через агент сетевой проверки данных Dr.Web Network Checker. Если настроенные соединения с другими узлами, на которых имеется продукт Dr.Web для UNIX, поддерживающий функцию распределенной проверки, отсутствуют, то будет произведена проверка с использованием сканирующего ядра, доступного локально (аналогично команде scan).
Аргументы
<путь> — путь к файлу или каталогу, который нужно проверить.
Если этот аргумент опущен, то производится сканирование данных, поступающих через входной поток stdin.
Опции
--Report <тип> — установить тип отчета о проверке.
Возможные значения:
•BRIEF — краткий отчет;
•DEBUG — подробный отчет;
•JSON — сериализованный отчет в формате JSON.
Значение по умолчанию: BRIEF.
--ScanTimeout <число> — установить тайм-аут на проверку одного файла в мс.
Значение 0 указывает, что время проверки не ограничено.
Значение по умолчанию: 0.
--HeuristicAnalysis <On|Off> — использовать ли эвристический анализ при проверке.
Значение по умолчанию: On.
--PackerMaxLevel <число> — установить максимальный уровень вложенности объектов при проверке запакованных объектов. Под запакованным объектом понимается исполняемый код, сжатый при помощи специализированных инструментов (UPX, PELock, PECompact, Petite, ASPack, Morphine и других). Такие объекты могут включать другие запакованные объекты, в состав которых тоже могут входить другие запакованные объекты, и т. п. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться.
Значение 0 указывает, что вложенные объекты будут пропущены.
Значение по умолчанию: 8.
--ArchiveMaxLevel <число> — установить максимальный уровень вложенности объектов при проверке архивов (zip, rar и т. п.), в которые вложены другие архивы, в которые, в свою очередь, могут быть вложены еще архивы, и т. п. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого архивы внутри архивов не будут проверяться.
Значение 0 указывает, что вложенные объекты будут пропущены.
Значение по умолчанию: 8.
--MailMaxLevel <число> — установить максимальный уровень вложенности объектов при проверке файлов почтовых программ (pst, tbb и т. п.), в которые могут быть вложены объекты, в которые также могут быть вложены объекты, и т. п. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться.
Значение 0 указывает, что вложенные объекты будут пропущены.
Значение по умолчанию: 8.
--ContainerMaxLevel <число> — установить максимальный уровень вложенности объектов при проверке других типов объектов c вложениями (HTML-страницы, jar-файлы и т. п.). Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться.
Значение 0 указывает, что вложенные объекты будут пропущены.
Значение по умолчанию: 8.
--MaxCompressionRatio <степень> — установить максимальную допустимую степень сжатия проверяемых объектов.
Значение должно быть не менее 2.
Значение по умолчанию: 3000.
--MaxSizeToExtract <size> — установить ограничение на размер файлов в архиве. Файлы, размер которых превышает значение этого параметра, будут пропущены при проверке. Размер указывается как число с суффиксом (b, kb, mb, gb). Если никакого суффикса не указано, число интерпретируется как размер в байтах.
Значение по умолчанию: нет.
--Cure <Yes|No> — требуется ли делать попытки лечения обнаруженных угроз.
Если указано No, то производится только информирование об обнаруженной угрозе.
Значение по умолчанию: No
|
flowscan <путь>
|
Назначение: инициировать проверку компонентом проверки файлов Dr.Web File Checker указанного файла или каталога с использованием метода проверки «flow».
|
Для проверки файлов и каталогов рекомендуется использовать команду scan.
|
Аргументы
<путь> — путь к файлу или каталогу, который нужно проверить.
Опции
--ScanTimeout <число> — установить тайм-аут на проверку одного файла в мс.
Значение 0 указывает, что время проверки не ограничено.
Значение по умолчанию: 0.
--HeuristicAnalysis <On|Off> — использовать ли эвристический анализ при проверке.
Значение по умолчанию: On.
--PackerMaxLevel <число> — установить максимальный уровень вложенности объектов при проверке запакованных объектов. Под запакованным объектом понимается исполняемый код, сжатый при помощи специализированных инструментов (UPX, PELock, PECompact, Petite, ASPack, Morphine и других). Такие объекты могут включать другие запакованные объекты, в состав которых тоже могут входить другие запакованные объекты, и т. п. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться.
Значение 0 указывает, что вложенные объекты будут пропущены.
Значение по умолчанию: 8.
--ArchiveMaxLevel <число> — установить максимальный уровень вложенности объектов при проверке архивов (zip, rar и т. п.), в которые вложены другие архивы, в которые, в свою очередь, могут быть вложены еще архивы, и т. п. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого архивы внутри архивов не будут проверяться.
Значение 0 указывает, что вложенные объекты будут пропущены.
Значение по умолчанию: 8.
--MailMaxLevel <число> — установить максимальный уровень вложенности объектов при проверке файлов почтовых программ (pst, tbb и т. п.), в которые могут быть вложены объекты, в которые также могут быть вложены объекты, и т. п. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться.
Значение 0 указывает, что вложенные объекты будут пропущены.
Значение по умолчанию: 8.
--ContainerMaxLevel <число> — установить максимальный уровень вложенности объектов при проверке других типов объектов c вложениями (HTML-страницы, jar-файлы и т. п.). Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться.
Значение 0 указывает, что вложенные объекты будут пропущены.
Значение по умолчанию: 8.
--MaxCompressionRatio <степень> — установить максимальную допустимую степень сжатия проверяемых объектов.
Должна быть не менее 2.
Значение по умолчанию: 3000.
--OnKnownVirus <действие> — действие, которое следует выполнить, если методами сигнатурного анализа обнаружена известная угроза.
Возможные действия: Report, Cure, Quarantine, Delete.
Значение по умолчанию: Report.
--OnIncurable <действие> — действие, которое нужно выполнить, если лечение (Cure) обнаруженной угрозы окончилось неудачей или оно невозможно.
Возможные действия: Report, Quarantine, Delete.
Значение по умолчанию: Report.
--OnSuspicious <действие> — действие, которое нужно выполнить, если эвристический анализ обнаружит подозрительный объект.
Возможные действия: Report, Quarantine, Delete.
Значение по умолчанию: Report.
--OnAdware <действие> — действие, которое нужно выполнить, если обнаружена рекламная программа.
Возможные действия: Report, Quarantine, Delete.
Значение по умолчанию: Report.
--OnDialers <действие> — действие, которое нужно выполнить, если обнаружена программа дозвона.
Возможные действия: Report, Quarantine, Delete.
Значение по умолчанию: Report.
--OnJokes <действие> — действие, которое нужно выполнить, если обнаружена программа-шутка.
Возможные действия: Report, Quarantine, Delete.
Значение по умолчанию: Report.
--OnRiskware <действие> — действие, которое нужно выполнить, если обнаружена потенциально опасная программа.
Возможные действия: Report, Quarantine, Delete.
Значение по умолчанию: Report.
--OnHacktools <действие> — действие, которое нужно выполнить, если обнаружена программа взлома.
Возможные действия: Report, Quarantine, Delete.
Значение по умолчанию: Report.
|
Если угроза обнаружена в файле, находящемся в контейнере (архив, почтовое сообщение и т. п.), вместо удаления (Delete) выполняется перемещение контейнера в карантин (Quarantine).
|
|
rawscan <путь>
|
Назначение: инициировать «сырую» проверку указанного файла или каталога, с использованием сканирующего ядра Dr.Web Scanning Engine напрямую, без использования компонента проверки файлов Dr.Web File Checker.
|
Обратите внимание, что угрозы, обнаруженные при «сыром» сканировании, не будут добавлены в общий список обнаруженных угроз, выводимый командой threats (см. ниже).
Рекомендуется использовать эту команду только для отладки функционирования Dr.Web Scanning Engine. Команда имеет следующую особенность: она выводит заключение «cured» (вылечен), если нейтрализована, по меньшей мере, одна из угроз, обнаруженных в файле (не обязательно все из них). Таким образом, не рекомендуется использовать эту команду, если требуется надежное сканирование файлов. Вместо этого для проверки файлов и каталогов рекомендуется использовать команду scan.
|
Аргументы
<путь> — путь к файлу или каталогу, который нужно проверить.
Опции
--ScanEngine <путь> — путь к UNIX-сокету сканирующего ядра Dr.Web Scanning Engine. Если не указан, то для проверки будет запущена автономная копия сканирующего ядра (будет завершена после завершения проверки).
--Report <тип> — установить тип отчета о проверке.
Возможные значения:
•BRIEF — краткий отчет;
•DEBUG — подробный отчет;
•JSON — сериализованный отчет в формате JSON.
Значение по умолчанию: BRIEF.
--ScanTimeout <число> — установить тайм-аут на проверку одного файла в мс.
Значение 0 указывает, что время проверки не ограничено.
Значение по умолчанию: 0.
--PackerMaxLevel <число> — установить максимальный уровень вложенности объектов при проверке запакованных объектов. Под запакованным объектом понимается исполняемый код, сжатый при помощи специализированных инструментов (UPX, PELock, PECompact, Petite, ASPack, Morphine и других). Такие объекты могут включать другие запакованные объекты, в состав которых тоже могут входить другие запакованные объекты, и т. п. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться.
Значение 0 указывает, что вложенные объекты будут пропущены.
Значение по умолчанию: 8.
--ArchiveMaxLevel <число> — установить максимальный уровень вложенности объектов при проверке архивов (zip, rar и т. п.), в которые вложены другие архивы, в которые, в свою очередь, могут быть вложены еще архивы, и т. п. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого архивы внутри архивов не будут проверяться.
Значение 0 указывает, что вложенные объекты будут пропущены.
Значение по умолчанию: 8.
--MailMaxLevel <число> — установить максимальный уровень вложенности объектов при проверке файлов почтовых программ (pst, tbb и т. п.), в которые могут быть вложены объекты, в которые также могут быть вложены объекты, и т. п. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться.
Значение 0 указывает, что вложенные объекты будут пропущены.
Значение по умолчанию: 8.
--ContainerMaxLevel <число> — установить максимальный уровень вложенности объектов при проверке других типов объектов c вложениями (HTML-страницы, jar-файлы и т. п.). Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться.
Значение 0 указывает, что вложенные объекты будут пропущены.
Значение по умолчанию: 8.
--MaxCompressionRatio <степень> — установить максимальную допустимую степень сжатия проверяемых объектов.
Должна быть не менее 2.
Значение по умолчанию: 3000.
--MaxSizeToExtract <size> — установить ограничение на размер файлов в архиве. Файлы, размер которых превышает значение этого параметра, будут пропущены при проверке. Размер указывается как число с суффиксом (b, kb, mb, gb). Если никакого суффикса не указано, число интерпретируется как размер в байтах.
Значение по умолчанию: нет.
--HeuristicAnalysis <On|Off> — использовать ли эвристический анализ при проверке.
Значение по умолчанию: On.
--Cure <Yes|No> — требуется ли делать попытки лечения обнаруженных угроз.
Если указано No, то производится только информирование об обнаруженной угрозе.
Значение по умолчанию: No.
--ListCleanItem — включить вывод списка чистых файлов при проверке контейнера.
--ShellTrace — включить вывод дополнительной отладочной информации при проверке файла.
--Output <путь к файлу> — дублировать вывод команды в указанный файл
|
remotescan
<узел> <путь>
|
Назначение: инициировать проверку указанного файла или каталога на указанном удаленном узле, подключившись к нему через SSH или Telnet.
|
Обратите внимание, что угрозы, обнаруженные при удаленном сканировании, не будут нейтрализованы, а также они не будут добавлены в общий список обнаруженных угроз, выводимый командой threats (см. ниже).
Вы можете использовать эту команду только для обнаружения вредоносных или подозрительных файлов на удаленном узле. Для устранения обнаруженных угроз на удаленном узле необходимо воспользоваться средствами управления, предоставляемыми непосредственно этим узлом. Например, для роутеров, ТВ-приставок и прочих «умных» устройств вы можете воспользоваться механизмом обновления прошивки, а для вычислительных машин — выполнив подключение к ним (в том числе — в удаленном терминальном режиме) и произведя соответствующие операции в их файловой системе (удаление или перемещение файлов и т. п.) или запустив антивирусное ПО, установленное на них.
|
Аргументы
•<узел> — IP-адрес или доменное имя узла, к которому необходимо подключиться для проверки.
•<путь> — путь к файлу или каталогу, который нужно проверить (должен быть абсолютным).
Опции
-m [--Method] <SSH|Telnet> — метод (протокол) подключения к удаленному узлу.
Если метод не указан, будет использован SSH.
-l [--Login] <имя> — логин (имя пользователя) для авторизации на удаленном узле через выбранный протокол.
Если имя пользователя не указано, будет произведена попытка подключиться к удаленному узлу от имени пользователя, запустившего команду.
-i [--Identity] <путь к файлу> — файл закрытого ключа для аутентификации указанного пользователя через выбранный протокол.
-p [--Port] <число> — номер порта на удаленном узле для подключения через выбранный протокол.
Значение по умолчанию: порт по умолчанию для выбранного протокола (22 — для SSH, 23 — для Telnet).
--ForceInteractive — использовать интерактивную сессию SSH (только для метода подключения SSH).
Необязательная опция.
--TransferListenAddress <адрес> — адрес, прослушиваемый для приема файлов, передаваемых на проверку удаленным устройством.
Необязательная опция. Если не указана, используется произвольный адрес.
--TransferListenPort <порт> — порт, прослушиваемый для приема файлов, передаваемых на проверку удаленным устройством.
Необязательная опция. Если не указана, используется случайный порт.
--TransferExternalAddress <адрес> — адрес для передачи файлов на проверку, сообщаемый удаленному устройству.
Необязательная опция. Если не указана, используется значение опции --TransferListenAddress, либо исходящий адрес уже установленной сессии.
--TransferExternalPort <порт> — порт для передачи файлов на проверку, сообщаемый удаленному устройству.
Необязательная опция. Если не указана, используется порт, определенный автоматически.
--Password <пароль> — пароль для аутентификации указанного пользователя через выбранный протокол.
Обратите внимание, что пароль передается в открытом виде.
--Exclude <путь> — путь, который необходимо исключить из проверки. Может включать в себя файловую маску (содержащую символы '?' и '*', а также символьные классы '[ ]', '[! ]', '[^ ]'). Путь (в том числе содержащий маску) должен быть абсолютным.
Необязательная опция; может быть указана более одного раза.
--Report <тип> — установить тип отчета о проверке.
Возможные значения:
•BRIEF — краткий отчет;
•DEBUG — подробный отчет;
•JSON — сериализованный отчет в формате JSON.
Значение по умолчанию: BRIEF.
--ScanTimeout <число> — установить тайм-аут на проверку одного файла в мс.
Значение 0 указывает, что время проверки не ограничено.
Значение по умолчанию: 0.
--PackerMaxLevel <число> — установить максимальный уровень вложенности объектов при проверке запакованных объектов. Под запакованным объектом понимается исполняемый код, сжатый при помощи специализированных инструментов (UPX, PELock, PECompact, Petite, ASPack, Morphine и других). Такие объекты могут включать другие запакованные объекты, в состав которых тоже могут входить другие запакованные объекты, и т. п. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться.
Значение 0 указывает, что вложенные объекты будут пропущены.
Значение по умолчанию: 8.
--ArchiveMaxLevel <число> — установить максимальный уровень вложенности объектов при проверке архивов (zip, rar и т. п.), в которые вложены другие архивы, в которые, в свою очередь, могут быть вложены еще архивы, и т. п. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого архивы внутри архивов не будут проверяться.
Значение 0 указывает, что вложенные объекты будут пропущены.
Значение по умолчанию: 8.
--MailMaxLevel <число> — установить максимальный уровень вложенности объектов при проверке файлов почтовых программ (pst, tbb и т. п.), в которые могут быть вложены объекты, в которые также могут быть вложены объекты, и т. п. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться.
Значение 0 указывает, что вложенные объекты будут пропущены.
Значение по умолчанию: 8.
--ContainerMaxLevel <число> — установить максимальный уровень вложенности объектов при проверке других типов объектов c вложениями (HTML-страницы, jar-файлы и т. п.). Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться.
Значение 0 указывает, что вложенные объекты будут пропущены.
Значение по умолчанию: 8.
--MaxCompressionRatio <степень> — установить максимальную допустимую степень сжатия проверяемых объектов.
Должна быть не менее 2.
Значение по умолчанию: 3000.
--MaxSizeToExtract <size> — установить ограничение на размер файлов в архиве. Файлы, размер которых превышает значение этого параметра, будут пропущены при проверке. Размер указывается как число с суффиксом (b, kb, mb, gb). Если никакого суффикса не указано, число интерпретируется как размер в байтах.
Значение по умолчанию: нет.
--HeuristicAnalysis <On|Off> — использовать ли эвристический анализ при проверке.
Значение по умолчанию: On
|
checkmail
<путь к файлу>
|
Назначение: выполнить (при помощи компонента проверки писем Dr.Web MailD) проверку почтового сообщения, сохраненного в файл, на наличие угроз, признаков спама, вредоносных ссылок или несоответствия правилам обработки писем. В поток вывода консоли (stdout) будут возвращены результаты проверки письма, а также какое действие было бы применено к данному письму при его проверке компонентом проверки писем Dr.Web MailD.
Аргументы
<путь к файлу> — путь к файлу сообщения электронной почты, которое нужно проверить. Обязательный аргумент.
Опции
--Report <тип> — установить тип отчета о проверке.
Возможные значения:
•BRIEF — краткий отчет;
•DEBUG — подробный отчет;
•JSON — сериализованный отчет в формате JSON.
Значение по умолчанию: BRIEF.
-r [--Rules] <список правил> — указать набор правил, которые следует применить к письму при его проверке.
Если правила не указаны, будет использован набор правил, применяемых по умолчанию, а именно:
threat_category in (KnownVirus, VirusModification, UnknownVirus, Adware, Dialer) : REJECT
total_spam_score gt 0.80 : REJECT
url_category in (InfectionSource, NotRecommended, CopyrightNotice) : REJECT
|
При этом, если компонент Dr.Web Anti-Spam не установлен, то правило проверки на спам (вторая строка) будет автоматически исключено из набора.
-c [--Connect] <IP>:<port> — указать сетевой сокет, который будет использован как адрес, с которого подключился отправитель проверяемого сообщения.
-e [--Helo] <имя> — указать идентификатор клиента, отправившего сообщение (IP-адрес или FQDN узла, как для SMTP-команды HELO/EHLO).
-f [--From] <email> — указать адрес электронной почты отправителя (как для SMTP-команды MAIL FROM).
Если адрес не указан, будет использован соответствующий адрес из письма.
-t [--Rcpt] <email> — указать адрес электронной почты получателя (как для SMTP-команды RCPT TO).
Если адрес не указан, будет использован соответствующий адрес из письма.
|
Если компонент проверки писем не установлен, вызов данной команды вернет ошибку.
|
|
mailquarantine
|
Назначение: задать настройки служебного компонента управления очередями писем Dr.Web Mail Quarantine).
Аргументы: нет.
Опции
--Flush — поставить отложенные сообщения из указанной очереди в очередь для немедленной обработки. Требует указания опции --Queue. Используйте вызов:
$ drweb-ctl mailquarantine --Queue <очередь> --Flush
|
--Show — показать указанную очередь сообщений. Требует указания опции --Queue. Используйте вызов:
$ drweb-ctl mailquarantine --Queue <очередь> --Show
|
--Stat — показать статистику всех очередей сообщений.
--CheckHealth — проверить согласованность в базе данных сообщений.
--FixHealth — исправить ошибки согласованности в базе данных сообщений.
-q [--Queue] <очередь> — указать очередь сообщений, над которой будут производиться операции.
Возможные значения:
•SmtpFresh — сообщения, ожидающие проверки в режиме SMTP.
•SmtpAccepted — сообщения, проверенные и принятые в режиме SMTP.
•BccFresh — сообщения, ожидающие проверки в режиме BCC.
•BccAccepted — сообщения, проверенные и принятые в режиме BCC.
-l [--Limit] <число> — установить максимальное количество отображаемых сообщений из выбранной очереди.
-d [--Debug] — вывести на экран расширенные диагностические сообщений во время выполнения указанной команды. Не имеет смысла без указания команды. Используйте вызов:
$ drweb-ctl mailquarantine <команда> -d
|
|
3.2. Команды управления обновлением и работой в режиме централизованной защиты
Доступны следующие команды управления обновлением и работой в режиме централизованной защиты:
Команда
|
Описание
|
update
|
Назначение: инициировать процесс обновления антивирусных компонентов (вирусных баз и антивирусного ядра, и прочих, в зависимости от поставки) с серверов обновлений компании «Доктор Веб» или из локального облака, через Dr.Web MeshD, прервать уже запущенный процесс обновления или откатить результаты последнего обновления, восстановив предыдущие версии обновленных файлов.
|
Команда не имеет эффекта, если Dr.Web для почтовых серверов UNIX работает под управлением сервера централизованной защиты.
|
Аргументы: нет.
Опции
-l [--local-cloud] — использовать для загрузки обновлений локальное облако, к которому подключен Dr.Web для почтовых серверов UNIX. Если опция не указана, обновления загружаются с серверов обновлений компании «Доктор Веб» (поведение по умолчанию).
--From <путь> — выполнить обновление из указанного каталога без подключения к интернету.
--Path <путь> — сохранить в указанный каталог файлы, которые будут использоваться для обновления без подключения к интернету; если в этот каталог уже были загружены файлы, то они будут обновлены.
--Rollback — откатить последнее обновление и восстановить последние сохраненные копии обновленных файлов.
--Stop — прервать уже идущий процесс обновления
|
esconnect
<сервер>[:<порт>]
|
Назначение: подключить Dr.Web для почтовых серверов UNIX к указанному серверу централизованной защиты (например, Dr.Web Enterprise Server). О режимах работы см. в разделе Режимы работы.
Аргументы
•<сервер> — IP-адрес или имя узла в сети, на котором располагается сервер централизованной защиты. Обязательный аргумент.
•<порт> — номер порта, используемого сервером централизованной защиты. Необязательный аргумент, указывается только в случае, если сервер централизованной защиты использует нестандартный порт.
Опции
--Certificate <путь> — путь к файлу сертификата сервера централизованной защиты, к которому производится подключение.
--Login <ID> — логин (идентификатор рабочей станции) для подключения к серверу централизованной защиты.
--Password <пароль> — пароль для подключения к серверу централизованной защиты.
--Group <ID> — идентификатор группы на сервере, в которую следует поместить рабочую станцию при подключении.
--Rate <ID> — идентификатор тарифной группы, которую следует применить к рабочей станции при ее включении в группу на сервере централизованной защиты (может быть указана только совместно с опцией --Group).
--Compress <On|Off> — принудительно инициировать сжатие передаваемых данных (On) или запретить его (Off). Если опция не указана, использование сжатия определяется сервером.
--Encrypt <On|Off> — принудительно инициировать шифрование передаваемых данных (On) или запретить его (Off). Если опция не указана, использование шифрования определяется сервером.
--Newbie — подключиться как «новичок» (получить новую учетную запись на сервере).
|
Для выполнения этой команды требуется, чтобы drweb-ctl была запущена от имени суперпользователя (пользователя root). При необходимости используйте команды su или sudo.
|
|
esdisconnect
|
Назначение: отключить Dr.Web для почтовых серверов UNIX от сервера централизованной защиты и перевести его в одиночный режим работы.
|
Команда не имеет эффекта, если Dr.Web для почтовых серверов UNIX уже работает в одиночном режиме (standalone mode).
|
Аргументы: нет.
Опции: нет.
|
Для выполнения этой команды требуется, чтобы drweb-ctl была запущена от имени суперпользователя (пользователя root). При необходимости используйте команды su или sudo.
|
|
3.3. Команды управления конфигурацией
Доступны следующие команды управления конфигурацией:
Команда
|
Описание
|
cfset
<секция>.<параметр> <значение>
|
Назначение: изменить активное значение указанного параметра текущей конфигурации Dr.Web для почтовых серверов UNIX.
Аргументы
•<секция> — имя секции конфигурационного файла, в которой находится изменяемый параметр. Обязательный аргумент.
•<параметр> — имя изменяемого параметра. Обязательный аргумент.
•<значение> — новое значение параметра. Обязательный аргумент.
|
Для задания значения параметров всегда используется формат <секция>.<параметр> <значение>, знак присваивания '=' не используется.
Если вы хотите задать несколько значений параметра, то нужно повторить вызов команды cfset столько раз, сколько значений параметра вы хотите добавить. При этом для добавления нового значения в список значений параметра необходимо использовать опцию -a (см. ниже). Нельзя указывать в качестве аргумента последовательность <параметр> <значение 1>, <значение 2>, так как строка "<значение 1>, <значение 2>" будет считаться единым значением параметра <параметр>.
Описание конфигурационного файла доступно в разделе Приложение Г. Конфигурационный файл Dr.Web для почтовых серверов UNIX, а также в документации man 5 drweb.ini.
|
Опции
-a [--Add] — не заменять текущее значение параметра, а добавить указанное значение в список значений параметра (допустимо только для параметров, которые могут иметь список значений). Также эту опцию необходимо использовать для добавления новых групп параметров с тегом.
-e [--Erase] — не заменять текущее значение параметра, а удалить указанное значение из его списка (допустимо только для параметров, которые имеют список значений).
-r [--Reset] — сбросить параметр в значение по умолчанию. <значение> в этом случае в команде не указывается, а если указано — игнорируется.
Опции не являются обязательными. Если они не указаны, то текущее значение параметра (в том числе список значений) заменяется на указанное значение.
Для секций, описывающих индивидуальные параметры точек подключения компонента Dr.Web ClamD, применение опции -r приводит к замене значения параметра в индивидуальной секции на значение, указанное у соответствующего «родительского» параметра в секции настроек компонента.
Если требуется добавить новую точку подключения <point> для Dr.Web ClamD, используйте команду:
cfset ClamD.Endpoint.<point> -a, например:
cfset ClamD.Endpoint.point1 -a
|
Для выполнения этой команды требуется, чтобы drweb-ctl была запущена от имени суперпользователя. При необходимости используйте команды su или sudo.
|
|
cfshow
[<секция>[.<параметр>]]
|
Назначение: вывести на экран параметры текущей конфигурации Dr.Web для почтовых серверов UNIX.
Для вывода параметров по умолчанию используется формат <секция>.<параметр> = <значение>. Секции и параметры не установленных компонентов по умолчанию не выводятся.
Аргументы
•<секция> — имя секции конфигурационного файла, параметры которой нужно вывести на экран. Необязательный аргумент. Если не указан, то на экран выводятся параметры всех секций конфигурационного файла.
•<параметр> — имя выводимого параметра. Необязательный аргумент. Если не указан, выводятся все параметры указанной секции, в противном случае выводится только этот параметр. Если указан без имени секции, то выводятся все вхождения этого параметра во все секции конфигурационного файла.
Опции
--Uncut — вывести на экран все параметры конфигурации, а не только те, которые используются текущим установленным набором компонентов. В противном случае выводятся только те параметры, которые используются имеющимися компонентами.
--Changed — вывести только те параметры, значения которых отличаются от значений по умолчанию.
--Ini — вывести значения параметров в формате INI-файла: сначала в отдельной строке выводится имя секции, заключенное в квадратные скобки, после чего параметры, принадлежащие секции, перечисляются в виде пар <параметр> = <значение> (по одному в строке).
--Value — вывести только значение указанного параметра. В этом случае аргумент <параметр> обязателен
|
reload
|
Назначение: послать сигнал SIGHUP демону управления конфигурацией Dr.Web ConfigD.
Получив этот сигнал, Dr.Web ConfigD перечитывает конфигурацию и рассылает ее изменения всем компонентам Dr.Web для почтовых серверов UNIX; переоткрывает журнал Dr.Web для почтовых серверов UNIX; перезагружает компоненты, использующие вирусные базы (включая антивирусное ядро), а также пытается перезапустить компоненты, работа которых была нештатно завершена.
Аргументы: нет.
Опции: нет
|
3.4. Команды управления угрозами и карантином
Доступны следующие команды управления угрозами и карантином:
Команда
|
Описание
|
threats
[<действие> <объект>]
|
Назначение: выполнить указанное действие с обнаруженными ранее угрозами по их идентификаторам. Тип действия определяется указанной опцией команды.
Если действие не указано, то вывести на экран информацию об обнаруженных, но не обезвреженных угрозах. Информация об угрозах выводится в соответствии с форматом, заданным необязательной опцией --Format. Если опция --Format не указана, то для каждой угрозы выводится следующая информация:
•идентификатор, присвоенный угрозе (порядковый номер);
•полный путь к инфицированному файлу;
•информация об угрозе (имя, тип по классификации компании «Доктор Веб»);
•информация о файле: размер, пользователь-владелец, дата последнего изменения;
•история действий с инфицированным файлом: обнаружение, применявшиеся действия и т. п.
Аргументы: нет.
Опции
--Format "<строка формата>" — выводить информацию об угрозах в указанном формате. Описание строки формата приведено ниже.
Если эта опция указана совместно с любой из опций-действий, она игнорируется.
-f [--Follow] — выполнять ожидание поступления новых сообщений об угрозах и выводить их сразу, как только они будут поступать (CTRL+C прерывает ожидание).
Если эта опция указана совместно с любой из опций-действий, она игнорируется.
--Directory <список каталогов> — выводить только те угрозы, которые были обнаружены в файлах в каталогах из <списка каталогов>.
Если эта опция указана совместно с любой из опций, приведенных ниже, она игнорируется.
--Cure <список угроз> — выполнить попытку лечения перечисленных угроз (идентификаторы угроз перечисляются через запятую).
--Quarantine <список угроз> — выполнить перемещение в карантин перечисленных угроз (идентификаторы угроз перечисляются через запятую).
--Delete <список угроз> — выполнить удаление перечисленных угроз (идентификаторы угроз перечисляются через запятую).
--Ignore <список угроз> — игнорировать перечисленные угрозы (идентификаторы угроз перечисляются через запятую).
Если требуется применить действие ко всем обнаруженным угрозам, вместо <список угроз> укажите All. Например, команда:
$ drweb-ctl threats --Quarantine All
|
перемещает в карантин все обнаруженные объекты с угрозами
|
quarantine
[<действие> <объект>]
|
Назначение: применить действие к указанному объекту, находящемуся в карантине.
Если действие не указано, то вывести на экран информацию об объектах, находящихся в карантине, с указанием их идентификаторов и краткой информации об исходных файлах, перемещенных в карантин. Информация об изолированных объектах выводится в соответствии с форматом, заданным необязательной опцией --Format. Если опция --Format не указана, то для каждого изолированного объекта выводится следующая информация:
•идентификатор, присвоенный изолированному объекту в карантине;
•исходный путь к файлу, перемещенному в карантин;
•дата перемещения файла в карантин;
•информация о файле: размер, пользователь-владелец, дата последнего изменения;
•информация об угрозе (имя, тип по классификации компании «Доктор Веб»).
Аргументы: нет.
Опции
-a [--Autonomous] — запустить отдельную копию компонента проверки файлов Dr.Web File Checker для выполнения заданного действия с карантином, завершив ее работу после окончания действия.
Эта опция может быть применена совместно с любой из опций, указанных ниже.
--Format "<строка формата>" — выводить информацию об объектах, находящихся в карантине, в указанном формате. Описание строки формата приведено ниже.
Если эта опция указана совместно с любой из опций-действий, она игнорируется.
-f [--Follow] — выполнять ожидание поступления новых сообщений об угрозах и выводить их сразу, как только они будут поступать (CTRL+C прерывает ожидание).
Если эта опция указана совместно с любой из опций-действий, она игнорируется.
--Discovery [<список каталогов>,] — произвести поиск каталогов карантина в указанном списке каталогов и добавить их к консолидированному карантину в случае обнаружения. Если <список каталогов> не указан, то произвести поиск каталогов карантина в стандартных местах файловой системы (точки монтирования томов и домашние каталоги пользователей).
Эта опция может быть указана совместно не только с опцией -a (--Autonomous) (см. выше), но и с любой из опций-действий, перечисленных ниже. Более того, если команда quarantine запускается в режиме автономной копии, т. е. с опцией -a (--Autonomous), но без опции --Discovery, то это равносильно вызову:
quarantine --Autonomous --Discovery
|
--Delete <объект> — удалить указанный объект из карантина.
Обратите внимание: удаление из карантина — необратимая операция.
--Cure <объект> — попытаться вылечить указанный объект в карантине.
Обратите внимание: даже если объект был успешно вылечен, то он все равно останется в карантине. Для извлечения объекта из карантина воспользуйтесь опцией восстановления --Restore.
--Restore <объект> — восстановить указанный объект из карантина в исходное место.
Обратите внимание: для выполнения этого действия может потребоваться, чтобы drweb-ctl была запущена от имени суперпользователя. Восстановить файл из карантина можно, даже если он инфицирован.
--TargetPath <путь> — восстановить объект из карантина в указанное место: как файл с указанным именем, если <путь> — это путь к файлу, или в указанный каталог (если <путь> — это путь к каталогу). Может быть указан как абсолютный, так и относительный (относительно текущего каталога) путь.
Обратите внимание: опция применяется только совместно с опцией восстановления --Restore.
В качестве <объект> используется идентификатор объекта в карантине. Если требуется применить действие ко всем объектам, находящимся в карантине, вместо <объект> укажите All. Например, команда:
$ drweb-ctl quarantine --Restore All --TargetPath test
|
восстанавливает из карантина все имеющиеся в нем объекты, помещая их в подкаталог test, находящийся в текущем каталоге, из которого запущена команда drweb-ctl.
Обратите внимание: если для варианта --Restore All указана дополнительная опция --TargetPath, то она должна задавать путь к каталогу, а не к файлу
|
Форматированный вывод данных для команд threats и quarantine
Формат вывода задается строкой формата, указанной в качестве аргумента необязательной опции --Format. Строка формата обязательно указывается в кавычках. Строка формата может включать в себя как обычные символы (будут выведены на экран «как есть»), так и специализированные маркеры, которые при выводе будут заменены на соответствующую информацию. Доступны следующие маркеры:
1.Общие для команд threats и quarantine:
Маркер
|
Описание
|
%{n}
|
Перевод строки
|
%{t}
|
Табуляция
|
%{threat_name}
|
Имя обнаруженной угрозы (вируса) по классификации компании «Доктор Веб»
|
%{threat_type}
|
Тип угрозы («known virus» и т. д.) по классификации компании «Доктор Веб»
|
%{size}
|
Размер исходного файла
|
%{origin}
|
Полное имя исходного файла с путем
|
%{path}
|
Синоним для %{origin}
|
%{ctime}
|
Дата/время модификации исходного файла в формате "%Y-%b-%d %H:%M:%S" (например, "2018-Jul-20 15:58:01")
|
%{timestamp}
|
То же, что и %{ctime}, но в формате времени UNIX timestamp
|
%{owner}
|
Пользователь-владелец исходного файла
|
%{rowner}
|
Удаленный пользователь-владелец исходного файла (если не применимо или значение неизвестно — заменяется на ?)
|
2.Специфические для команды threats:
Маркер
|
Описание
|
%{hid}
|
Идентификатор записи об угрозе в реестре истории событий, связанных с угрозой
|
%{tid}
|
Идентификатор угрозы
|
%{htime}
|
Дата/время события, связанного с угрозой
|
%{app}
|
Идентификатор компонента Dr.Web для почтовых серверов UNIX, обработавшего угрозу
|
%{event}
|
Последнее событие, связанное с угрозой:
•FOUND — угроза была обнаружена;
•Cure — угроза была вылечена;
•Quarantine — файл с угрозой был перемещен в карантин;
•Delete — файл с угрозой был удален;
•Ignore — угроза была проигнорирована;
•RECAPTURED — угроза была обнаружена повторно другим компонентом |
%{err}
|
Текст сообщения об ошибке (если ошибки нет — заменяется на пустую строку)
|
3.Специфические для команды quarantine:
Маркер
|
Описание
|
%{qid}
|
Идентификатор объекта в карантине
|
%{qtime}
|
Дата/время перемещения объекта в карантин
|
%{curetime}
|
Дата/время попытки лечения объекта, перемещенного в карантин (если не применимо или значение неизвестно — заменяется на ?)
|
%{cureres}
|
Результат попытки лечения объекта, перемещенного в карантин:
•cured — угроза вылечена;
•not cured — угроза не вылечена либо попыток лечения не производилось |
Пример
$ drweb-ctl quarantine --Format "{%{n} %{origin}: %{threat_name} - %{qtime}%{n}}"
|
Данная команда выведет содержимое карантина в виде записей следующего вида:
{
<путь к файлу>: <имя угрозы> - <дата перемещения в карантин>
}
…
|
3.5. Информационные команды
Доступны следующие информационные команды:
Команда
|
Описание
|
appinfo
|
Назначение: вывести на экран информацию о работающих компонентах Dr.Web для почтовых серверов UNIX.
Для каждого запущенного компонента выводится следующая информация:
•внутреннее имя;
•идентификатор процесса GNU/Linux (PID);
•состояние (запущен, остановлен и т. п.);
•код ошибки, если работа компонента завершена вследствие ошибки;
•дополнительная информация (опционально);
Для демона управления конфигурацией (drweb-configd) в качестве дополнительной информации выводятся:
•перечень установленных компонентов — Installed;
•перечень компонентов, запуск которых должен быть обеспечен демоном — Should run.
Аргументы: нет.
Опции
-f [--Follow] — выполнять ожидание поступления новых сообщений об изменении состояния модулей и выводить их на экран сразу, как только они будут поступать (CTRL+C прерывает ожидание)
|
baseinfo
|
Назначение: вывести на экран информацию о текущей версии антивирусного ядра и состоянии вирусных баз.
Выводится следующая информация:
•версия антивирусного ядра;
•дата и время выпуска используемых вирусных баз;
•число доступных вирусных записей;
•момент последнего успешного обновления вирусных баз и антивирусного ядра;
•момент следующего запланированного автоматического обновления.
Аргументы: нет.
Опции
-l [--List] — вывести полный список загруженных файлов вирусных баз данных и число вирусных записей в каждом файле
|
certificate
|
Назначение: вывести на экран содержимое доверенного сертификата Dr.Web, который используется Dr.Web для почтовых серверов UNIX. Для сохранения сертификата в файл <cert_name>.pem вы можете использовать команду:
$ drweb-ctl certificate > <cert_name>.pem
|
Аргументы: нет.
Опции: нет
|
events
|
Назначение: просмотреть события Dr.Web для почтовых серверов UNIX. Кроме этого команда позволяет выполнить управление событиями (отметка как «прочитанные», удаление).
Аргументы: нет.
Опции
--Report <тип> — установить тип отчета о событиях.
Возможные значения:
•BRIEF — краткий отчет;
•DEBUG — подробный отчет;
•JSON — сериализованный отчет в формате JSON.
-f [--Follow] — выполнять ожидание поступления новых событий и выводить их на экран сразу, как только они будут поступать (нажатие CTRL+C прерывает ожидание).
-s [--Since] <дата, время> — показывать события, произошедшие не ранее указанного момента времени (<дата, время> указывается в формате "YYYY-MM-DD hh:mm:ss").
-u [--Until] <дата, время> — показывать события, произошедшие не позднее указанного момента времени (<дата, время> указывается в формате "YYYY-MM-DD hh:mm:ss").
-t [--Types] <список типов> — показывать события только перечисленных типов (типы событий перечисляются через запятую).
Доступны следующие типы событий:
•Mail — обнаружена угроза в сообщении электронной почты;
•UnexpectedAppTermination — аварийное завершение работы некоторого компонента.
Для вывода событий всех типов используйте All.
--ShowSeen — показать также и уже прочитанные события.
--Show <список событий> — вывести на экран перечисленные события (идентификаторы событий перечисляются через запятую).
--Delete <список событий> — удалить перечисленные события (идентификаторы событий перечисляются через запятую).
--MarkAsSeen <список событий> — отметить перечисленные события как «прочитанные» (идентификаторы событий перечисляются через запятую).
Если требуется отметить как «прочитанные» или удалить все события, вместо <список событий> укажите All. Например, команда:
$ drweb-ctl events --MarkAsSeen All
|
отметит как «прочитанные» все имеющиеся события
|
report <тип>
|
Назначение: сформировать отчет о событиях Dr.Web для почтовых серверов UNIX в виде HTML-страницы (тело страницы выводится в указанный файл).
Аргументы
<тип> — тип событий, для которых формируется отчет (указывается один тип). Возможные значения см. в описании опции --Types команды events выше. Обязательный аргумент.
Опции
-o [--Output] <путь к файлу> — сохранить отчет в указанный файл. Обязательная опция.
-s [--Since] <дата, время> — включить в отчет события, произошедшие не ранее указанного момента времени (<дата, время> указывается в формате "YYYY-MM-DD hh:mm:ss").
-u [--Until] <дата, время> — включить в отчет события, произошедшие не позднее указанного момента времени (<дата, время> указывается в формате "YYYY-MM-DD hh:mm:ss").
--TemplateDir <путь к каталогу> — путь к каталогу, в котором находятся файлы шаблонов HTML-страницы отчета.
Опции -s, -u и --TemplateDir являются необязательными. Например, команда:
$ drweb-ctl report Mail -o report.html
|
сформирует отчет по всем имеющимся событиям обнаружения угроз в сообщениях электронной почты на основе шаблона по умолчанию и сохранит результат в файл report.html в текущем каталоге
|
idpass <идентификатор>
|
Назначение: вывести на экран пароль, который был сгенерирован компонентом проверки сообщений электронной почты Dr.Web MailD для почтового сообщения с указанным идентификатором и использован для защиты вложенного архива с угрозами, вырезанными из письма (т. е. если в настройках компонента параметр RepackPassword был установлен в значение HMAC(<secret>)).
Аргументы
<идентификатор> — идентификатор сообщения электронной почты.
Опции
-s [--Secret] <secret> — секретное слово, использованное для генерации пароля архива.
Если секретное слово не указано при вызове команды, будет использовано текущее секретное слово <secret>, указанное в настройках Dr.Web MailD. Если при этом параметр RepackPassword отсутствует или установлен в значение, отличное от HMAC(<secret>), команда вернет ошибку
|
license
|
Назначение: вывести на экран информацию об активной лицензии, получить демонстрационную лицензию или получить ключевой файл для уже зарегистрированной лицензии (например, на сайте компании).
Если не указана ни одна опция, то выводится следующая информация (если используется лицензия для одиночного режима работы):
•номер лицензии,
•дата и время окончания действия лицензии.
Если используется лицензия, выданная сервером централизованной защиты (для работы в режиме централизованной защиты или в мобильном режиме), выводится соответствующая информация.
Аргументы: нет.
Опции
--GetRegistered <серийный номер> — получить лицензионный ключевой файл для указанного серийного номера, если не нарушены условия получения нового ключевого файла (например, программа не находится в режиме централизованной защиты, когда лицензией управляет сервер централизованной защиты).
Если серийный номер не является серийным номером демонстрационного периода, то он должен быть предварительно зарегистрирован на сайте компании.
--Proxy http://<имя пользователя>:<пароль>@<адрес сервера>:<номер порта> — получить лицензионный ключ через прокси-сервер (используется только совместно с опцией --GetRegistered).
Подробнее о лицензировании продуктов Dr.Web см. раздел Лицензирование.
|
Для регистрации серийного номера требуется наличие подключения к интернету.
|
|
log
|
Назначение: вывести на экран консоли (в поток stdout) последние записи журнала Dr.Web для почтовых серверов UNIX (аналогично команде tail).
Аргументы: нет.
Опции
-s [--Size] <число> — число последних записей журнала, которые нужно вывести на экран.
-c [--Components] <список компонентов> — список идентификаторов компонентов, записи которых будут выведены. Указываются через запятую. Если параметр не указан, выводятся все доступные последние записи, отправленные в журнал любым из компонентов.
Актуальные идентификаторы установленных компонентов (т. е. внутренние имена компонентов, выводимые в журнал) вы можете узнать, используя команду appinfo (см. выше).
-f [--Follow] — выполнять ожидание поступления новых записей в журнал и выводить их на экран консоли сразу же, как только они будут поступать (нажатие CTRL+C прерывает ожидание)
|
stat
|
Назначение: вывести на экран статистику работы компонентов, обрабатывающих файлы, либо агента сетевой проверки данных Dr.Web Network Checker (нажатие CTRL+C или Q прерывает отображение статистики).
В статистике отображается:
•имя компонента, инициировавшего проверку файлов;
•PID компонента;
•усредненное количество файлов, обрабатываемых в секунду за последнюю минуту, 5 минут, 15 минут;
•процент использования кеша проверенных файлов;
•среднее количество ошибок проверки в секунду.
Для агента распределенной проверки на экран выводится:
•перечень локальных клиентов, инициировавших сканирование;
•перечень удаленных узлов, которым переданы файлы на сканирование;
•перечень удаленных узлов, от которых получены файлы на сканирование.
Для локальных клиентов агента распределенной проверки указывается имя и PID, а для удаленных — адрес и порт узла.
Для каждого клиента, как локального, так и удаленного выводится:
•среднее за секунду количество проверенных файлов;
•среднее за секунду количество переданных и полученных байт;
•среднее за секунду количество ошибок.
Аргументы: нет.
Опции
-n [--netcheck] — вывести на экран статистику работы агента сетевой проверки данных
|
|