はじめに
Windows Connectorでは「AmpCLI.exe」というツールをご提供しており、端末上でConnector UIが無効になっている場合などでConnectorの動作を確認するのに便利です。
本記事では、Windows Connectorの「AmpCLI.exe」使用方法についてご紹介させていただきます。
※Linux/Mac用のConnectorで使用可能なampcliとは動作が異なります。Linux/Mac Connectorのampcliの使用方法については以下のドキュメントをご参照ください。
Linux/Mac ConnectorのCLI使用について
前提条件
本記事の記述内容は、Windows Connectorバージョン8.2.1.21612にて動作を確認しております。
バージョンアップに伴う仕様変更によって将来的に変更される場合もございますので、あらかじめご了承ください。
使用方法
「AmpCLI.exe」はデフォルトで以下Windows Connectorインストール先のフォルダに保存されております。
C:\Program Files\Cisco\AMP\<Version>\AmpCLI.exe
コマンドプロンプトを立ち上げ、「cd C:\Program Files\Cisco\AMP\<version>」による「AmpCLI.exe」が保存されたフォルダーに移動し、「AmpCLI.exe posture」コマンドを実行すると、Connectorの動作などに関する情報が出力されます。
実行例:
C:\Program Files\Cisco\AMP\8.1.5.21322>AmpCLI.exe posture
上記コマンドによる出力結果の表示例:
{
"agent_uuid": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx",
"connected": true,
"connector_version": "8.2.1",
"engines": [
{
"definitions": [
{
"last_successful_update": 1697xxxxxx,
"name": "Tetra",
"timestamp": 1697xxxxxx,
"version": 91xxx
}
],
"enabled": true,
"name": "Tetra"
},
{
"enabled": true,
"name": "Spero"
},
{
"enabled": true,
"name": "Ethos"
},
{
"definitions": [
{
"name": "BP",
"timestamp": 1697xxxxxx,
"version": 11xxx
}
],
"enabled": true,
"name": "BP"
},
{
"definitions": [
{
"name": "SCS",
"timestamp": 1697xxxxxx,
"version": 11xxx
}
],
"enabled": true,
"name": "SCS"
}
],
"last_scan": 1697xxxxxx,
"last_scan_status": true,
"protect_file_mode": true,
"protect_process_mode": true,
"running": true
}
上記の出力結果からの情報を一部ご説明いたします。
- agent_uuid: ConnectorのGUID
- connected: Secure Endpoint Cloud への接続ステータス(Ture: 接続済み、False: 切断されています)
- connector_version: Connectorのバージョン情報
- engines: Connectorが実装された一部エンジンの情報
- last_scan: 前回のスキャンが実行された時刻(UNIXタイムスタンプで表示される)
- last_scan_status: 前回のスキャンがCleanで完了した場合はTure(それ以外はfalse)
- protect_file_mode: ファイルを正常に監視している場合はTure(それ以外はfalse)
- protect_process_mode: プロセスを正常に監視している場合はTure(それ以外はfalse)
- running: Cisco Secure Endpointサービスの動作状況(True: 正常に動作している状態、False: サービスが停止している状態)
参考資料:
Secure Endpointユーザーガイド
