1. Format d’appel de l’utilitaire de gestion depuis la ligne de commande
L’utilitaire de gestion de Dr.Web pour Linux a le format suivant :
$ drweb-ctl [<options générales> | <commande> [<argument>] [<options de la commande>]]
|
Où :
•<options générales> : options qui peuvent être appliquées au démarrage lorsque la commande n’est pas spécifiée ou à n’importe quelle commande. Non obligatoire pour le démarrage.
•<commande> : commande devant être effectuée par Dr.Web pour Linux (par exemple, démarrage du scan, sortie de la liste des objets en quarantaine, etc.).
•<argument> : argument de commande. Dépend de la commande indiquée. Peut être absent pour certaines commandes.
•<options de la commande> : options gérant le fonctionnement de la commande. Dépend de la commande. Peut être absent pour certaines commandes.
2. Options générales
Les options générales suivantes sont disponibles :
Option
|
Description
|
--help
|
Afficher les informations d’aide résumées et sortir. Pour des informations sur une commande en particulier, entrez la ligne suivante :
$ drweb-ctl <commande> -h
|
|
-v, --version
|
Afficher les informations sur la version du module et arrêter
|
-d, --debug
|
Indique d’afficher les messages de diagnostic après l’exécution de la commande spécifiée. Cela n’a pas d’effet si une commande n’est pas spécifiée. Pour appeler une commande, entrez la ligne suivante :
$ drweb-ctl <commande> -d
|
|
3. Commandes
Les commandes de gestion de Dr.Web pour Linux peuvent être divisées en groupes :
•Commandes de scan antivirus.
•Commandes degestion des mises à jour et du fonctionnement en mode de protection centralisée.
•Commandes de gestion de la configuration.
•Commandes pour gérer les menaces détectées et la quarantaine.
•Commandes d’affichage d’informations.
|
Pour obtenir de l’aide pour le composant de la ligne de commande, utilisez la commande man 1 drweb-ctl
|
3.1. Commandes de scan antivirus
Les commandes suivantes pour gérer le scan antivirus sont disponibles :
Commande
|
Description
|
scan <chemin>
|
Fonction : Lancer l’analyse du fichier ou du répertoire spécifiés par le Scanner.
Arguments :
<chemin> : chemin vers le fichier ou le répertoire à analyser (le chemin peut être relatif).
Cet argument peut être omis si l’option --stdin ou --stdin0 est activée. Pour vérifier la liste des fichiers sélectionnés selon certains critères, utilisez l’utilitaire find (voir Exemples d’utilisation) et l’option --stdin ou --stdin0.
Options :
-a [--Autonomous] : lancer une instance séparée du moteur antivirus et du Scanner pour effectuer un scan spécifié et les arrêter après la fin de scan. Notez que les menaces détectées durant un scan autonome ne sont pas affichées dans la liste commune des menaces qui s’affiche par la commande threats (voir ci-dessous). De plus, le serveur de protection centralisée ne sera pas notifié de ces menaces, si Dr.Web pour Linux fonctionne sous sa gestion.
--stdin : obtenir la liste des chemins à scanner depuis la chaîne de saisie standard (stdin). Les chemins dans la liste doivent être séparés par le caractère de la nouvelle ligne ('\n').
--stdin0 : obtenir la liste des chemins à scanner depuis la chaîne de saisie standard (stdin). Les chemins dans la liste doivent être séparés par le caractère NUL ('\0').
|
En cas d’utilisation des options --stdin et --stdin0 les chemins dans la liste ne doivent pas contenir de templates. L’utilisation recommandée des options --stdin et --stdin0 est de générer une liste de chemins (générée par un utilitaire externe, par exemple find), dans la commande scan (voir Exemples d’utilisation).
|
--Exclude <chemin> : chemin à exclure de l’analyse. Il peut être relatif et inclure le masque de fichiers (contenant les caractères '?' et '*', ainsi que les classes de caractères '[ ]', '[! ]', '[^ ]').
L’option non obligatoire peut être indiquée plus d’une fois.
--Report <type> : spécifier le type de rapport de l’analyse.
Valeurs autorisées :
•BRIEF : bref rapport.
•DEBUG : rapport détaillé.
•JSON : rapport sérialisé au format JSON.
Valeur par défaut : BRIEF
--ScanTimeout <nombre> : indiquer la valeur de la durée de scan d’un fichier, en ms.
Si la valeur est égale à 0, la durée de scan d’un fichier n’est pas limitée.
Valeur par défaut : 0
--PackerMaxLevel <nombre> : indiquer le niveau d’emboîtement maximum lors de l’analyse d’objets empaquetés.
Si la valeur est égale à 0, les objets emboîtés ne sont pas vérifiés.
Valeur par défaut : 8
--ArchiveMaxLevel <nombre> : indiquer le niveau d’emboîtement maximum lors du scan des archives (zip, rar, etc.).
Si la valeur est égale à 0, les objets emboîtés ne sont pas vérifiés.
Valeur par défaut : 8
--MailMaxLevel <nombre> : indiquer le niveau d’emboîtement maximum lors de l’analyse de fichiers de messagerie (pst, tbb, etc.).
Si la valeur est égale à 0, les objets emboîtés ne sont pas vérifiés.
Valeur par défaut : 8
--ContainerMaxLevel <nombre> : indiquer le niveau d’emboîtement maximum lors du scan de conteneurs d’un autre type (HTML et autres).
Si la valeur est égale à 0, les objets emboîtés ne sont pas vérifiés.
Valeur par défaut : 8
--MaxCompressionRatio <ratio> : indiquer le taux de compression maximum pour les objets scannés.
Le ratio doit être au moins égal à 2.
--MaxSizeToExctract <size> — spécifier la limitation de la taille de fichiers dans l’archive. Les fichiers dont la taille surpasse ce paramètre seront sautés lors de l’analyse. La taille est indiquée par un nombre avec un suffixe (b, kb, mb, gb). S’il n’y a pas de suffixe indiqué, le nombre est interprété comme la taille en octets.
Valeur par défaut : non
--Cure <Yes|No> : activer ou désactiver les tentatives de désinfection des menaces détectées.
Si la valeur est égale à No, seule la notification est émise.
Valeur par défaut : No
Valeur par défaut : 3000
--HeuristicAnalysis <On|Off> : activer ou désactiver l’analyse heuristique lors du scan.
Valeur par défaut : On
--OnKnownVirus <action> : action appliquée à une menace connue détectée à l’aide de l’analyse par signatures.
Actions possibles : Signaler, Désinfecter, Quarantaine, Supprimer.
Valeur par défaut : Signaler
--OnIncurable <action> : action appliquée en cas d’échec de traitement (Désinfecter) d’une menace détectée ou si la menace est incurable.
Actions possibles : Signaler, Quarantaine, Supprimer.
Valeur par défaut : Signaler
--OnSuspicious <action> : action appliquée si l’analyse heuristique détecte un objet suspect.
Actions possibles : Signaler, Quarantaine, Supprimer.
Valeur par défaut : Signaler
--OnAdware <action> : action appliquée en cas de détection d’un adware.
Actions possibles : Signaler, Quarantaine, Supprimer.
Valeur par défaut : Signaler
--OnAdware <action> : action appliquée en cas de détection d’un dialer.
Actions possibles : Signaler, Quarantaine, Supprimer.
Valeur par défaut : Signaler
--OnJokes <action> : action appliquée en cas de détection d’un canular.
Actions possibles : Signaler, Quarantaine, Supprimer.
Valeur par défaut : Signaler
--OnRiskware <action> : action appliquée en cas de détection d’un riskware.
Actions possibles : Signaler, Quarantaine, Supprimer.
Valeur par défaut : Signaler
--OnAdware <action> : action appliquée en cas de détection d’un hacktool.
Actions possibles : Signaler, Quarantaine, Supprimer.
Valeur par défaut : Signaler
|
Si la menace est détecté dans un fichier se trouvant dans un conteneur (archive, message, etc.), le conteneur n’est pas supprimé (Supprimer) mais il est mise en quarantaine (Quarantaine).
|
--FollowSymlinks : autoriser automatiquement des liens symboliques
|
bootscan
<appareil> | ALL
|
Fonction : Démarrer le scan des secteurs d’amorçage sur les disques indiqués par le Scanner. Les secteurs MBR et VBR sont scannés.
Arguments :
<disque> : chemin vers un fichier bloc du disque dont le secteur d’amorçage doit être scanné. Vous pouvez indiquer plusieurs disques en les séparant par les espaces. Argument obligatoire. Si vous indiquez la valeur ALL, tous les secteurs d’amorçage de tous les disques disponibles seront scannés.
Options :
-a [--Autonomous] : lancer une instance séparée du moteur antivirus et du Scanner pour effectuer un scan spécifié et les arrêter après la fin de scan. Notez que les menaces détectées durant un scan autonome ne sont pas affichées dans la liste commune des menaces qui s’affiche par la commande threats (voir ci-dessous). De plus, le serveur de protection centralisée ne sera pas notifié de ces menaces, si Dr.Web pour Linux fonctionne sous sa gestion.
--Report <type> : spécifier le type de rapport de l’analyse.
Valeurs autorisées :
•BRIEF : bref rapport.
•DEBUG : rapport détaillé.
•JSON : rapport sérialisé au format JSON.
Valeur par défaut : BRIEF
--ScanTimeout <nombre> : indiquer la valeur de la durée de scan d’un fichier, en ms.
Si la valeur est égale à 0, la durée de scan d’un fichier n’est pas limitée.
Valeur par défaut : 0
--HeuristicAnalysis <On|Off> : activer ou désactiver l’analyse heuristique lors du scan.
Valeur par défaut : On
--Cure <Yes|No> : activer ou désactiver les tentatives de désinfection des menaces détectées.
Si la valeur est égale à No, seule la notification est émise.
Valeur par défaut : No
--ShellTrace : activer l’émission d’informations de débogage supplémentaires lors du scan d’amorçage.
|
procscan
|
Fonction : démarrer l’analyse par le Scanner des fichiers exécutables contenant le code des processus en cours d’exécution. Si une menace est détectée, le fichier exécutable malveillant est neutralisé et tous les processus actifs lances de ce fichier sont arrêtés de force.
Arguments : Non.
Options :
-a [--Autonomous] : lancer une instance séparée du moteur antivirus et du Scanner pour effectuer un scan spécifié et les arrêter après la fin de scan. Notez que les menaces détectées durant un scan autonome ne sont pas affichées dans la liste commune des menaces qui s’affiche par la commande threats (voir ci-dessous). De plus, le serveur de protection centralisée ne sera pas notifié de ces menaces, si Dr.Web pour Linux fonctionne sous sa gestion.
--Report <type> : spécifier le type de rapport de l’analyse.
Valeurs autorisées :
•BRIEF : bref rapport.
•DEBUG : rapport détaillé.
•JSON : rapport sérialisé au format JSON.
Valeur par défaut : BRIEF
--ScanTimeout <nombre> : indiquer la valeur de la durée de scan d’un fichier, en ms.
Si la valeur est égale à 0, la durée de scan d’un fichier n’est pas limitée.
Valeur par défaut : 0
--HeuristicAnalysis <On|Off> : activer ou désactiver l’analyse heuristique lors du scan.
Valeur par défaut : On
--PackerMaxLevel <nombre> : indiquer le niveau d’emboîtement maximum lors de l’analyse d’objets empaquetés.
Si la valeur est égale à 0, les objets emboîtés ne sont pas vérifiés.
Valeur par défaut : 8
--OnKnownVirus <action> : action appliquée à une menace connue détectée à l’aide de l’analyse par signatures.
Actions possibles : Signaler, Désinfecter, Quarantaine, Supprimer.
Valeur par défaut : Signaler
--OnIncurable <action> : action appliquée en cas d’échec de traitement (Désinfecter) d’une menace détectée ou si la menace est incurable.
Actions possibles : Signaler, Quarantaine, Supprimer.
Valeur par défaut : Signaler
--OnSuspicious <action> : action appliquée si l’analyse heuristique détecte un objet suspect.
Actions possibles : Signaler, Quarantaine, Supprimer.
Valeur par défaut : Signaler
--OnAdware <action> : action appliquée en cas de détection d’un adware.
Actions possibles : Signaler, Quarantaine, Supprimer.
Valeur par défaut : Signaler
--OnAdware <action> : action appliquée en cas de détection d’un dialer.
Actions possibles : Signaler, Quarantaine, Supprimer.
Valeur par défaut : Signaler
--OnJokes <action> : action appliquée en cas de détection d’un canular.
Actions possibles : Signaler, Quarantaine, Supprimer.
Valeur par défaut : Signaler
--OnRiskware <action> : action appliquée en cas de détection d’un riskware.
Actions possibles : Signaler, Quarantaine, Supprimer.
Valeur par défaut : Signaler
--OnAdware <action> : action appliquée en cas de détection d’un hacktool.
Actions possibles : Signaler, Quarantaine, Supprimer.
Valeur par défaut : Signaler
|
En cas de détection d’une menace dans le fichier exécutable, tous les processus lancés depuis ce fichier sont arrêté par Dr.Web pour Linux.
|
|
remotescan
<hôte> <chemin>
|
Fonction : lancer l’analyse du fichier ou du répertoire spécifié sur l’hôte distant spécifié en s’y connectant via SSH ou via Telnet.
|
Notez que les menaces détectées durant un scan distant ne seront pas neutralisées et ne seront pas affichées dans la liste commune des menaces qui est affichée par la commande threats (voir ci-dessous).
Vous pouvez utiliser cette commande uniquement pour détecter les fichiers suspects ou malveillants sur l’hôte distant. Pour neutraliser les menaces détectées sur le nœud distant, il faut utiliser les outils de gestion fournis par ce nœud. Par exemple, pour les routeurs, les consoles TV et d’autres dispositifs intelligents, vous pouvez utiliser le mécanisme de mise à jour du firmware, pour l’ordinateur — on peut s’y connecter (y compris en mode terminal distant) et effectuer les opérations nécessaire dans le système de fichiers (supprimer ou déplacer les fichiers, etc.) ou lancer un logiciel antivirus installé sur cet ordinateur.
|
Arguments :
<hôte> : adresse IP ou nom de domaine de l’hôte auquel il faut se connecter pour l’analyse.
<chemin> : chemin vers le fichier ou le répertoire à analyser (le chemin doit être absolu).
Options :
-m [--Method] <SSH|Telnet> : méthode (protocole) de connexion à un hôte distant.
Si la méthode n’est pas indiquée, SSH sera utilisé.
-l [--Login] <nom> : login (nom d’utilisateur) utilisé pour l’authentification sur l’hôte distant via le protocole choisi.
Si le nom d’utilisateur n’est pas spécifié, une tentative de se connecter à l’hôte distant s’effectuera au nom de l’utilisateur qui a lancé la commande.
-i [--Identity] <chemin vers le fichier> : fichier de la clé privée utilisé pour l’authentification de l’utilisateur indiqué via le protocole choisi.
-p [--Port] <nombre> : numéro de port sur l’hôte distant pour la connexion via le protocole choisi.
Valeur par défaut : port par défaut pour le protocole choisi (22 — pour SSH, 23 — pour Telnet).
--ForceInteractive : utiliser la session interactive SSH (uniquement pour la méthode de connexion SSH).
Option non obligatoire.
--TransferListenAddress <adresse> : adresse écoutée pour la réception des fichiers à analyser, transmis par un périphérique distant.
Option non obligatoire. Si elle n’est pas indiquée, on utilise une adresse aléatoire.
--TransferListenPort <port> : port écouté pour la réception des fichiers à analyser transmis par l’appareil distant.
Option non obligatoire. Si elle n’est pas indiquée, on utilise un port aléatoire.
--TransferExternalAddress <adresse> : adresse pour la transmission de fichiers à analyser, communiquée à l’appareil distant.
Option non obligatoire. Si elle n’est pas indiquée, on utilise la valeur de l’option --TransferListenAddress ou l’adresse sortante de la session établie.
--TransferExternalAddress <port> : port pour la transmission de fichiers à analyser, communiqué à l’appareil distant.
Option non obligatoire. Si elle n’est pas indiquée, on utilise le port déterminé automatiquement.
--Password <mot de passe > : mot de passe utilisé pour l’authentification de l’utilisateur indiqué via le protocole choisi.
Notez que le mot de passe est transmis en clair.
--Exclude <chemin> : chemin à exclure de l’analyse. Il peut inclure le masque de fichiers (contenant les caractères '?' et '*', ainsi que les classes de caractères '[ ]', '[! ]', '[^ ]'). Le chemin (y compris celui contenant le masque) doit être absolu.
L’option non obligatoire peut être indiquée plus d’une fois.
--Report <type> : spécifier le type de rapport de l’analyse.
Valeurs autorisées :
•BRIEF : bref rapport.
•DEBUG : rapport détaillé.
•JSON : rapport sérialisé au format JSON.
Valeur par défaut : BRIEF
--ScanTimeout <nombre> : indiquer la valeur de la durée de scan d’un fichier, en ms.
Si la valeur est égale à 0, la durée de scan d’un fichier n’est pas limitée.
Valeur par défaut : 0
--PackerMaxLevel <nombre> : indiquer le niveau d’emboîtement maximum lors de l’analyse d’objets empaquetés.
Si la valeur est égale à 0, les objets emboîtés ne sont pas vérifiés.
Valeur par défaut : 8
--ArchiveMaxLevel <nombre> : indiquer le niveau d’emboîtement maximum lors du scan des archives (zip, rar, etc.).
Si la valeur est égale à 0, les objets emboîtés ne sont pas vérifiés.
Valeur par défaut : 8
--MailMaxLevel <nombre> : indiquer le niveau d’emboîtement maximum lors de l’analyse de fichiers de messagerie (pst, tbb, etc.).
Si la valeur est égale à 0, les objets emboîtés ne sont pas vérifiés.
Valeur par défaut : 8
--ContainerMaxLevel <nombre> : indiquer le niveau d’emboîtement maximum lors du scan de conteneurs d’un autre type (HTML et autres).
Si la valeur est égale à 0, les objets emboîtés ne sont pas vérifiés.
Valeur par défaut : 8
--MaxCompressionRatio <ratio> : indiquer le taux de compression maximum pour les objets scannés.
Le ratio doit être au moins égal à 2.
--MaxSizeToExctract <size> — spécifier la limitation de la taille de fichiers dans l’archive. Les fichiers dont la taille surpasse ce paramètre seront sautés lors de l’analyse. La taille est indiquée par un nombre avec un suffixe (b, kb, mb, gb). S’il n’y a pas de suffixe indiqué, le nombre est interprété comme la taille en octets.
Valeur par défaut : non
--Cure <Yes|No> : activer ou désactiver les tentatives de désinfection des menaces détectées.
Si la valeur est égale à No, seule la notification est émise.
Valeur par défaut : No
Valeur par défaut : 3000
--HeuristicAnalysis <On|Off> : activer ou désactiver l’analyse heuristique lors du scan.
Valeur par défaut : On
|
checkmail
<chemin d’accès au fichier>
|
Fonction : analyser (avec le composant d’analyse de messagerie) le message enregistré dans un fichier pour la présence de menaces, de traces de spam ou de la non-conformité aux règles de traitement de messages. Dans le flux de sortie de la console (stdout), les résultats de l’analyse du message seront retournés, ainsi que les informations sur l’action appliquée au message lors de son analyse par le composant d’analyse de messages.
Arguments :
<chemin d’accès au fichier> : chemin d’accès au fichier de message e-mail à analyser. Argument obligatoire.
Options :
--Report <type> : spécifier le type de rapport de l’analyse.
Valeurs autorisées :
•BRIEF : bref rapport.
•DEBUG : rapport détaillé.
•JSON : rapport sérialisé au format JSON.
Valeur par défaut : BRIEF
-r [--Rules] <liste de règles> : spécifier l’ensemble des règles à appliquer au message lors de son analyse.
Si les règles ne sont pas spécifiées, l’ensemble de règles par défaut sera utilisé, notamment :
threat_category in (KnownVirus, VirusModification, UnknownVirus, Adware, Dialer) : REJECT
total_spam_score gt 0.80 : REJECT
url_category in (InfectionSource, NotRecommended, CopyrightNotice) : REJECT
|
Dans ce cas, si le composant Dr.Web Anti-Spam n’est pas installé, la règle d’analyse pour la présence de spam (la deuxième ligne) sera automatiquement exclue de l’ensemble.
-c [--Connect] <IP>:<port> : indiquer le socket réseau à utiliser en tant qu’adresse depuis lequel s’est connecté l’expéditeur du message analysé.
-e [--Helo] <nom> : indiquer l’identificateur du client qui a envoyé le message (adresse IP ou FQDN de l’hôte comme pour la commande SMTP HELO/EHLO).
-f [--From] <email> : indiquer l’adresse e-mail de l’expéditeur (comme pour la commande SMTP MAIL FROM).
Si l’adresse n’est pas indiquée, l’adresse correspondante du message sera utilisée.
-t [--Rcpt] <email> : indiquer l’adresse e-mail de destinataire (comme pour la commande SMTP RCPT TO).
Si l’adresse n’est pas indiquée, l’adresse correspondante du message sera utilisée.
|
Si le composant de l’analyse de messages n’est pas installé, l’appel de cette commande retournera une erreur.
|
|
|
Outre les commandes listées dans le tableau, l’utilitaire drweb-ctl supporte les commandes de vérification supplémentaires. Vous pouvez consulter leur description dans la documentation man 1 drweb-ctl.
|
3.2. Commandes de gestion de la mise à jour du fonctionnement en mode de protection centralisée
Les commandes suivantes pour la gestion des mises à jour et le fonctionnement en mode Protection centralisée sont disponibles :
Commande
|
Description
|
update
|
Fonction : initier une mise à jour des composants antivirus (des bases virales, du moteur antivirus, et des autres composants en fonction de la distribution) depuis les serveurs de mise à jour de Doctor Web ou du cloud local, terminer le processus de mise à jour en cours ou restaurer les résultats de la dernière mise à jour en restaurant les anciennes versions des fichiers mis à jour.
|
La commande n’a pas d’effet si Dr.Web pour Linux est connecté au serveur de protection centralisée.
|
Arguments : Non.
Options :
-l [--local-cloud] : utiliser le service cloud local auquel est connecté Dr.Web pour Linux pour le téléchargement des mises à jour. Si l’option n’est pas indiquée, les mises à jour sont téléchargées depuis les serveurs de mises à jour de l’entreprise Doctor Web (le comportement par défaut).
--From <chemin> : effectuer une mise à jour depuis le répertoire indiqué sans connexion Internet.
--Path <chemin> : enregistrer dans le répertoire indiqué les fichiers qui seront utilisés pour la mise à jour sans connexion Internet. Si les fichiers ont été déjà téléchargés dans ce répertoire, ils seront mis à jour.
--Rollback : restaurer la dernière mise à jour et les dernières copies sauvegardées des fichiers mis à jour.
--Stop : terminer le processus de mise à jour en cours.
|
esconnect
<serveur>[:<port>]
|
Fonction : connecter Dr.Web pour Linux au serveur de protection centralisée spécifié (par exemple, Dr.Web Enterprise Server). Pour en savoir plus sur les modes de fonctionnement, voir la rubrique Modes de fonctionnement.
Arguments :
•<serveur> : adresse IP ou nom de l’hôte sur lequel se trouve le serveur de protection centralisée. L’argument est obligatoire.
•<port> : nom du port utilisé par le serveur de protection centralisée. L’argument est optionnel. Indiquez l’argument uniquement si le serveur de protection centralisée utilise un port non standard.
Options :
--Certificate <chemin> : chemin vers le fichier de certificat du serveur de protection centralisée auquel Dr.Web pour Linux est connecté.
--Login <ID> : login (identificateur du poste de travail) utilisé pour la connexion au serveur de protection centralisée.
--Password <mot de passe> : mot de passe utilisé pour la connexion au serveur de protection centralisée.
--Group <ID> : identificateur du groupe auquel le poste de travail est relié lors de la connexion.
--Rate <ID> : identificateur du groupe tarifaire appliqué à un poste de travail lorsqu’il est inclus à l’un des groupes du serveur de protection centralisée (peut être indiqué uniquement en même temps que l’option --Group).
--Compress <On|Off> : activer (On) ou désactiver (Off) la compression forcée des données transmises. Lorsque rien n’est indiqué, l’utilisation de la compression est déterminée par le serveur.
--Encrypt <On|Off> : activer (On) ou désactiver (Off) le chiffrement forcé des données transmises. Lorsque rien n’est indiqué, le chiffrement est déterminé par le serveur.
--Newbie : se connecter comme « novice » (obtenir un nouveau compte sur le serveur).
|
Notez que cette commande nécessite que drweb-ctl soit lancé avec les privilèges de super-utilisateur (utilisateur root). Si cela est nécessaire, utilisez les commandes su ou sudo.
|
|
esdisconnect
|
Fonction : déconnecter Dr.Web pour Linux du serveur de protection centralisée et le mettre en mode standalone.
|
La commande n’a pas d’effet si Dr.Web pour Linux fonctionne déjà en mode standalone.
|
Arguments : Non.
Options : Non.
|
Notez que cette commande nécessite que drweb-ctl soit lancé avec les privilèges de super-utilisateur (utilisateur root). Si cela est nécessaire, utilisez les commandes su ou sudo.
|
|
3.3. Commandes de gestion de la configuration
Les commandes suivantes pour gérer la configuration sont disponibles :
Commande
|
Description
|
cfset
<section>.<paramètre> <valeur>
|
Fonction : modifier la valeur active du paramètre indiqué dans la configuration actuelle de Dr.Web pour Linux.
Arguments :
•<section> : nom de la section du fichier de configuration où le paramètre réside. L’argument est obligatoire.
•<paramètre> : nom du paramètre modifié. L’argument est obligatoire.
•<valeur> : nouvelle valeur du paramètre. Argument obligatoire.
|
Le format suivant est utilisé pour spécifier la valeur de paramètres <section>.<paramètre> <valeur>, le signe d’affectation '=' n'est pas utilisé.
Si vous voulez spécifier plusieurs valeurs du paramètre, il faut répéter l’appel de la commande cfset autant de fois que vous voulez les valeurs de paramètres à ajouter. Dans ce cas, il faut utiliser l’option -a (voir ci-dessous) pour ajouter une nouvelle valeur dans la liste de valeurs du paramètre. Il ne faut pas indiquer la séquence <paramètre> <valeur 1>, <valeur 2> en tant qu’argument car la ligne <valeur 1>, <valeur 2> sera considérée comme valeur unique du paramètre <paramètre>.
Pour une description du fichier de configuration, consultez le document man 5 drweb.ini.
|
Options :
-a [--Add] : ne pas remplacer la valeur actuelle du paramètre mais ajouter la valeur indiquée à la liste (autorisé uniquement pour les paramètres qui peuvent avoir plusieurs valeurs, indiqués dans une liste). Il faut également utiliser cette option pour ajouter de nouveaux groupes de paramètres avec une balise.
-e [--Erase] : ne pas remplacer la valeur actuelle du paramètre mais supprimer la valeur indiquée de la liste (autorisé uniquement pour les paramètres qui peuvent avoir plusieurs valeurs, indiqués dans une liste).
-r [--Reset] : restaurer la valeur du paramètre par défaut. Ainsi, <valeur> n’est pas requis dans la commande et est ignoré si indiqué.
Les options ne sont pas obligatoires Si elles ne sont pas activées, la valeur actuelle du paramètre (ou la liste des valeurs si plusieurs sont indiquées) est remplacée par la valeur indiquée.
|
Notez que cette commande nécessite que drweb-ctl soit lancé avec les privilèges de super-utilisateur. Si cela est nécessaire, utilisez les commandes su ou sudo.
|
|
cfshow
[<section>[.<paramètre>]]
|
Fonction : afficher sur l’écran les paramètres de la configuration actuelle de Dr.Web pour Linux.
La commande pour afficher les paramètres se présente comme ceci <section>.<paramètre> = <valeur>. Les sections et paramètres des composants qui ne sont pas installés ne sont pas affichés.
Arguments :
•<section> : nom de la section du fichier de configuration dont les paramètres doivent être affichés. L’argument est optionnel. S’il n’est pas spécifié, les paramètres de toutes les sections du fichier de configuration sont affichés.
•<paramètre> : nom du paramètre affiché. L’argument est optionnel. S’il n’est pas spécifié, tous les paramètres de la section sont affichés. Sinon, seul ce paramètre est affiché. Si un paramètre est indiqué sans le nom de la section, tous les paramètres portant ce nom pour toutes les sections du fichier de configuration sont affichés.
Options :
--Uncut : afficher tous les paramètres de configuration (et non seulement ceux utilisés avec l’ensemble des composants actuellement installés). Si l’option n’est pas spécifiée, seuls les paramètres utilisés pour la configuration des composants installés s’affichent.
--Changed : afficher les paramètres dont les valeurs se distinguent des valeurs par défaut.
--Ini : afficher les valeurs du paramètre au format INI : tout d’abord, le nom de la section est indiqué entre crochets, puis les paramètres de la section sont listés par paires <paramètre> = <valeur> (une paire par ligne).
--Value : afficher uniquement la valeur du paramètre indiqué. Dans ce cas, l’argument <paramètre> est obligatoire.
|
reload
|
Fonction : Redémarrer les composants Dr.Web pour Linux. Dans ce cas, les journaux ouvrent de nouveau, le fichier de configuration est relu et on tente de redémarrer les composants après un arrêt anormal.
Arguments : Non.
Options : Non.
|
3.4. Commandes pour gérer les menaces détectées et la quarantaine
Les commandes suivantes pour gérer les menaces détectées et la quarantaine sont disponibles :
Commande
|
Description
|
threats
[<action> <objet>]
|
Fonction : Appliquer l’action spécifiée aux menaces détectées par leurs identificateurs. Le type d’action est configuré via l’option de commande indiquée.
Si aucune action n’est spécifiée, des informations sur les menaces détectées sont affichées mais pas sur les menaces neutralisées. Les informations sur les menaces sont affichées au format spécifié par l’option non obligatoire --Format. Si l’option --Format n’est pas spécifiée, les informations suivantes sont affichées pour chaque menace :
•Identificateur attribué à la menace (numéro d’ordre).
•Chemin complet vers le fichier infecté.
•Informations sur la menace (nom, type selon la classification de Doctor Web).
•Informations sur le fichier : taille, utilisateur propriétaire, date de la dernière modification.
•Historiques des actions sur le fichier infecté : détection, actions appliquées, etc.
Arguments : Non.
Options :
--Format "<ligne_de_format>" : afficher les informations sur les menaces au format spécifié. Vous trouverez la description de la ligne de format ci-dessous.
Si cette option est indiquée ensemble avec une option-action, elle sera ignorée.
-f [--Follow] : attendre de nouveaux messages sur de nouvelles menaces et afficher les messages dès leur réception (interrompre l’attente par CTRL+C).
Si cette option est indiquée ensemble avec une option-action, elle sera ignorée.
--Directory <liste de répertoires> : afficher uniquement les menaces détectées dans les fichiers des répertoires de la <liste de répertoires>.
Si cette option est indiquée ensemble avec une des options affichées ci-dessous, elle sera ignorée.
--Cure <liste de menaces> : essayer de traiter les menaces listées (les identificateurs des menaces sont indiqués dans une liste et séparés par des virgules).
--Quarantine <liste de menaces> : déplacer les menaces listées en quarantaine (les identificateurs des menaces sont indiqués dans une liste et séparés par des virgules).
--Delete <liste de menaces> : supprimer les menaces listées (les identificateurs des menaces sont indiqués dans une liste et séparés par des virgules).
--Ignore <liste de menaces> : ignorer les menaces listées (les identificateurs des menaces sont indiqués dans une liste et séparés par des virgules).
S’il est nécessaire d’appliquer une action à toutes les menaces détectées, indiquez All au lieu de <liste_de_menaces>. Par exemple, la commande suivante :
$ drweb-ctl threats --Quarantine All
|
déplace tous les objets malveillants détectés en quarantaine.
|
quarantine
[<action> <objet>]
|
Fonction : Appliquer une action à l’objet indiqué en quarantaine.
Si aucune action n’est spécifiée, les informations suivantes s’affichent : identificateurs des objets en quarantaine et courtes informations sur les fichiers source. Les informations sur les objets isolés sont affichées au format spécifié par l’option non obligatoire --Format. Si l’option --Format n’est pas spécifiée, les informations suivantes sont affichées pour chaque objet isolé :
•Identificateur attribué à l’objet isolé en quarantaine.
•Chemin initial vers le fichier déplacé en quarantaine.
•Date du déplacement des fichiers en quarantaine.
•Informations sur le fichier : taille, utilisateur propriétaire, date de la dernière modification.
•Informations sur la menace (nom, type selon la classification de Doctor Web).
Arguments : Non.
Options :
-a [--Autonomous] : lancer une instance séparée du Scanner pour appliquer une action à la quarantaine et arrêter son fonctionnement de l’instance après l’exécution de l’action.
Cette option peut être appliquée ensemble avec une des options indiquées ci-dessous.
--Format "<ligne_de_format>" : afficher les informations sur les objets mis en quarantaine au format spécifié. Vous trouverez la description de la ligne de format ci-dessous.
Si cette option est indiquée ensemble avec une option-action, elle sera ignorée.
-f [--Follow] : attendre de nouveaux messages sur de nouvelles menaces et afficher les messages dès leur réception (interrompre l’attente par CTRL+C).
Si cette option est indiquée ensemble avec une option-action, elle sera ignorée.
--Discovery [<liste_des_répertoires>] : rechercher les répertoires de la quarantaine dans la liste des répertoires indiquée et les ajouter à la quarantaine consolidée en cas de détection. Si <liste_des_répertoires> n’est pas indiquée, rechercher les répertoire dans les endroits standard du système de fichiers (les points de montages de volume et les répertoires personnels des utilisateurs).
Cette option peut être indiquée ensemble non seulement avec l’option -a (--Autonomous) (voir ci-dessus), mais aussi avec une des options-actions listées ci-dessous. De plus, si la commande quarantine est lancée en mode de copie autonome, c’est-à-dire avec l’option -a (--Autonomous), mais sans l’option --Discovery, cela est équivalent à l’appel :
quarantine --Autonomous --Discovery
|
--Delete <objet> : supprimer l’objet indiqué de la quarantaine.
Notez que la suppression de la quarantaine est une opération irréversible.
--Cure <objet> : essayer de désinfecter l’objet indiqué en quarantaine.
Notez que même en cas de désinfection, l’objet restera en quarantaine. Pour retirer l’objet désinfecté de la quarantaine utilisez l’option de restauration --Restore.
--Restore <objet> : restaurer l’objet indiqué de la quarantaine vers sont emplacement d’origine.
Notez que l’exécution de cette action peut exiger le lancement de drweb-ctl par le super-utilisateur. Le fichier peut être restauré de la quarantaine même s’il est infecté.
--TargetPath <chemin> : restaurer l’objet de la quarantaine vers l’emplacement spécifié : en tant que fichier avec le nom spécifié si <chemin> est le chemin vers le fichier ou dans le répertoire spécifié (si <chemin> est le chemin vers le répertoire). Vous pouvez indiquer un chemin absolu ou relatif (par rapport au répertoire actuel).
Notez que l’option est appliquée seulement avec l’option de restauration --Restore.
L’identificateur de l’objet en quarantaine est utilisé en tant qu’<object>. Pour appliquer une commande à tous les objets placés en quarantaine, indiquez All à la place d’<object>. Par exemple, la commande suivante :
$ drweb-ctl quarantine --Restore All --TargetPath test
|
restaure tous les objets de la quarantaine, en les plaçant dans le sous-répertoire test se trouvant dans le répertoire actuel depuis lequel la commande drweb-ctl a été exécutée.
Notez que pour la variante --Restore All, l’option supplémentaire --TargetPath (si elle est spécifiée) doit indiquer le chemin vers un répertoire et pas vers un fichier.
|
Affichage formaté de données pour les commandes threats et quarantine
Le format de l’affichage est spécifié par la ligne de format indiquée en tant que l’argument de l’option non obligatoire --Format. La ligne de format doit être obligatoirement indiquées entre guillemets. La ligne de format peut contenir des caractères ordinaires (qui seront affichés tels qu’ils sont) ou les marqueurs spécifiques qui seront remplacés par les informations correspondantes. Les marqueurs suivants sont disponibles :
1.Les éléments communs pour les commandes threats et quarantine :
Marqueur
|
Description
|
%{n}
|
Saut de ligne
|
%{t}
|
Tabulation
|
%{threat_name}
|
Nom de la menace (virus) détectée selon la classification de Doctor Web
|
%{threat_type}
|
Type de menace (« known virus », etc.) selon la classification de Doctor Web
|
%{size}
|
Taille du fichier initial
|
%{origin}
|
Nom complet du fichier initial avec le chemin
|
%{path}
|
Synonyme pour %{origin}
|
%{ctime}
|
Date/heure de la modification du fichier initial au format "%Y-%b-%d %H:%M:%S" (par exemple, "2018-Jul-20 15:58:01")
|
%{timestamp}
|
La même que %{ctime}, mais au format UNIX timestamp
|
%{owner}
|
Utilisateur propriétaire du fichier initial
|
%{rowner}
|
Utilisateur distant - propriétaire du fichier initial (si c’est inapplicable ou que la valeur est inconnue, elle est remplacée par ?)
|
2.Éléments spécifiques pour la commande threats :
Marqueur
|
Description
|
%{hid}
|
Identificateur de l’enregistrement de la menace dans le registre des événements liés à la menace
|
%{tid}
|
Identificateur de menace
|
%{htime}
|
Date/heure de l’événement lié à la menace
|
%{app}
|
Identificateur du composant Dr.Web pour Linux ayant traité la menace
|
%{event}
|
Dernier événement lié à la menace :
•FOUND : la menace a été détectée ;
•Désinfecter : la menace a été désinfectée ;
•Quarantaine : le fichier contenant une menace a été mis en quarantaine ;
•Supprimer : le fichier contenant une menace a été supprimé ;
•Ignorer : la menace a été ignorée ;
•RECAPTURED : la menace a été détectée de nouveau par un autre composant. |
%{err}
|
Texte du message d’erreur (s’il n y a pas d’erreur, il est remplacé par chaîne vide)
|
3.Éléments spécifiques pour la commande quarantine :
Marqueur
|
Description
|
%{qid}
|
Date et heure du déplacement de l’objet en quarantaine
|
%{qtime}
|
Date/heure de la mise de l’objet en quarantaine
|
%{curetime}
|
Date et heure de la tentative de désinfecter l’objet mis en quarantaine (si c’est inapplicable ou que la valeur est inconnue, elle est remplacée par ?)
|
%{cureres}
|
Résultat de la tentative de désinfecter l’objet mis en quarantaine :
•cured : la menace est neutralisée ;
•not cured : la menace n’est pas neutralisée ou il n y a pas eu de tentatives de la neutraliser. |
Exemple
$ drweb-ctl quarantine --Format "{%{n} %{origin}: %{threat_name} - %{qtime}%{n}}"
|
Cette commande affichera le contenu de la quarantaine sous forme d’enregistrements au format suivant :
{
<chemin d’accès au fichier> : <nom de menace> - <date de mise en quarantaine>
}
…
|
3.5. Commandes d’affichage d’informations
Les commandes d’affichage d’informations suivantes sont disponibles :
Commande
|
Description
|
appinfo
|
Fonction : afficher sur l’écran les informations sur les composants actifs de Dr.Web pour Linux.
Les informations suivantes sont affichées pour chaque composant lancé :
•Nom interne.
•Identificateur du processus GNU/Linux (PID).
•Statut (lancé, arrêté, etc.).
•Code d’erreur, si le fonctionnement du composant a échoué.
•Information supplémentaire (en option).
Les informations suivantes sont affichées pour le démon de gestion de la configuration (drweb-configd) :
•Liste des composants installés — Installed.
•Liste des composants dont le lancement doit être assuré par le daemon — Should run.
Arguments : Non.
Options :
-f [--Follow] : attendre les nouveaux messages sur le changement de statut du module et les afficher dès leur réception (interrompre l’attente par CTRL+C).
|
baseinfo
|
Fonction : Afficher des informations sur la version actuelle du moteur antivirus et le statut des bases virales.
Les informations suivantes sont affichées :
•Version du moteur antivirus.
•Date et heure de la sortie des bases utilisées.
•Nombre d’entrées virales disponibles.
•Moment de la dernière mise à jour des bases virales et du moteur antivirus.
•Moment de la mise à jour automatique suivante.
Arguments : Non.
Options :
-l [--List] : afficher la liste complète des fichiers téléchargés des bases virales et le nombre d’entrées virales dans chaque fichier.
|
certificate
|
Fonction : Afficher sur l’écran le contenu du certificat fiable Dr.Web qui est utilisé par Dr.Web pour Linux pour accéder aux connexions sécurisées dans le but de les vérifier, si cette vérification est activée dans les paramètres. Pour sauvegarder le certificat dans le fichier <cert_name>.pem, vous pouvez utiliser la commande suivante :
$ drweb-ctl certificate > <cert_name>.pem
|
Arguments : Non.
Options : Non.
|
events
|
Désignation : Voir les événements de Dr.Web pour Linux. De plus, la commande permet de gérer les événements (marquer comme « lus », supprimer).
Arguments : Non.
Options :
--Report <type> : spécifier le type de rapport des événements.
Valeurs autorisées :
•BRIEF : bref rapport.
•DEBUG : rapport détaillé.
•JSON : rapport sérialisé au format JSON.
-f [--Follow] : attendre les nouveaux événements et les afficher dès leur réception (interrompre l’attente par CTRL+C).
-s [--Since] <date, heure> : afficher les événements qui ont eu lieu après le moment indiqué (<date, heure> est indiquée au format « YYYY-MM-DD hh:mm:ss »).
-u [--Until] <date, heure> : afficher les événements qui ont eu lieu avant le moment indiqué (<date, heure> est indiquée au format « YYYY-MM-DD hh:mm:ss »).
-t [--Types] <liste de types> : afficher les événements de types listes uniquement (les types d’événements sont séparés par des virgules).
Les types d’événements suivants sont disponibles :
•Mail : une menace est détecte dans le message e-mail ;
•UnexpectedAppTermination : arrêt d’urgence d’un composant.
Pour afficher les événements de tous les types, utilisez All.
--ShowSeen : afficher également les événements déjà lus.
--Delete <liste d’événements> : afficher tous les événements listés (les identificateurs sont séparés par des virgules).
--Delete <liste d’événements> : supprimer tous les événements listés (les identificateurs sont séparés par des virgules).
--MarkAsSeen <liste d’événements> : marquer les événements listés comme « lus » (les identificateurs sont séparés par des virgules).
S’il faut marquer comme « lus » ou supprimer tous les événements, indiquez All à la place de <liste d’événements>. Par exemple, la commande suivante :
$ drweb-ctl events --MarkAsSeen All
|
marque tous les événements comme « lus ».
|
report <type>
|
Fonction : créer un rapport sur les événements de Dr.Web pour Linux sous forme d’une page HTML (le corps de la page est affiché dans le fichier spécifié).
Arguments :
<type> : type des événements pour lesquels le rapport est créé (un seul type est indiqué). Voir les valeurs possibles dans la description de l’option --Types de la commande events ci-dessus. Argument obligatoire.
Options :
-o [--Output] <chemin d’accès au fichier> : enregistrer le rapport dans le fichier indiqué. Option obligatoire.
-s [--Since] <date, heure> : afficher dans le rapport les événements qui ont eu lieu après le moment indiqué (<date, heure> est indiquée au format « YYYY-MM-DD hh:mm:ss »).
-u [--Until] <date, heure> : afficher dans le rapport les événements qui ont eu lieu avant le moment indiqué (<date, heure> est indiquée au format « YYYY-MM-DD hh:mm:ss »).
--TemplateDir <chemin vers le répertoire > : chemin vers le répertoire dans lequel se trouvent les fichiers des modèles de la page HTML du rapport.
Les options -s, -u et --TemplateDir ne sont pas obligatoires. Par exemple, la commande :
$ drweb-ctl report Mail -o report.html
|
crée le rapport sur tous les événements de détection de menaces dans des messages e-mail à la base du modèle par défaut et enregistre le résultat dans le fichier report.html dans le répertoire actuel.
|
license
|
Fonction : Afficher sur l’écran les informations sur la licence actuelle, obtenir la licence de démo ou obtenir un fichier clé pour la licence enregistrée (par exemple, sur le site de la société).
Si aucune licence n’est spécifiée, les informations suivantes sont affichées (si vous utilisez la licence pour le mode standalone) :
•Numéro de licence.
•Date et heure de l’expiration de la licence.
Si vous utilisez la licence délivrée par le serveur de protection centralisée (pour le fonctionnement en mode de protection centralisée ou en mode mobile), les informations suivantes sont affichées.
Arguments : Non.
Options :
--GetDemo : demander le fichier clé de démo pour un mois et l’obtenir si les conditions d’obtention de la période de démo sont respectées.
--GetRegistered <numéro de série> : obtenir le fichier clé de licence pour le numéro de série indiqué si les conditions d’obtention de la période de démo sont respectées (par exemple, le programme n’est pas en mode de protection centralisé quand le serveur de protection centralisée gère la licence).
--Proxy nom d’utilisateur>:<mot de passe>@<adresse du serveur>:<numéro du port> : obtenir une clé de licence via le serveur proxy (utilisé uniquement en parallèle avec l’une des options précédentes — --GetDemo ou --GetRegistered).
Si le numéro de série n’est pas un numéro de série pour la période de démo, il doit être enregistré sur le site de la société.
Pour en savoir plus sur la licence pour les produits Dr.Web, consultez la rubrique Octroi de la licence.
|
Pour enregistrer un numéro de série et obtenir un fichier clé de démo, une connexion Internet valide est requise.
|
|
log
|
Fonction : afficher sur l’écran de la console (dans le flux stdout) les dernières entrées du journal de Dr.Web pour Linux (analogue à la commande tail).
Arguments : Non.
Options :
-s [--Size] <nombre> : nombre de dernières entrées du journal à afficher sur l’écran.
-c [--Components] <liste de composants> : liste des identificateurs des composants dont les entrées seront affichées. Les identificateurs sont séparés par des virgules. Si le paramètre n’est pas spécifié, toutes les entrées disponibles, envoyées dans le journal par les composants, sont affichées.
Vous pouvez consulter les identificateurs actuels des composants installés (c’est-à-dire, les noms de composants affichés dans le journal) avec la commande appinfo (voir ci-dessus).
-f [--Follow] : attendre les nouvelles entrées dans le journal et afficher ces entrées dès leur réception (l’appui sur les touches CTRL+C interrompt l’attente).
|
|