檢視次數:

請依照以下步驟操作:

  1. 使用 root 權限運行該工具。

    Module state

  2. 以下是主選單。選擇「1-Deep Security Agent」來使用 DSA 支援功能。

    Module state

    Module state

  3. 您也可以選擇「3-關於工具」來瞭解工具版本號。

    Module state

啟用/停用偵錯等級日誌

選取 Deep Security Agent 主控台後,您可以選擇「啟用偵錯模式」/「停用偵錯模式」。按下 'Enter' 鍵後,工具將開始啟用或停用偵錯日誌等級。

  • 發送指令以在後端啟用偵錯日誌。

    Module state

  • 發送指令以在後端停用偵錯日誌。

    Module state

日誌收集

從主選單中,您可以選擇 Deep Security Agent > 收集日誌。該工具將自動收集日誌包並將其存儲在本地。

Module state

Module state

*ZIP 密碼是 trend

快速日誌收集

從主選單中,選擇 Deep Security Agent > 快速日誌收集 (無 DSA 診斷日誌)。大多數情況下,正常的日誌收集功能依賴於 DSA 服務來返回診斷包。如果電腦效能低下,用戶將需要等待才能獲取日誌包。

快速日誌收集是一種允許使用 "copy" 指令直接收集目標路徑/檔案的功能,這意味著它不依賴 DSA 服務。這可以節省收集必要日誌的時間。缺點是收集到的日誌比正常模式少(但對於大多數問題排解情況來說依然足夠)。

Module state

Module state

收集完成後,用戶可以獲取一個密碼為 "trend" 的 Zip 壓縮檔。

Module state

Top N 列表

從主選單中,您可以選擇 Deep Security Agent > Top N 列表。將有三個選項:Top Scanned Files、Top Busy Process 和 Top Scanned Directories。支持的 DSA 版本應為 DSA 20.0.0.3445 或更高。

Module state

  • Top Scanned Files

    Module state

  • Top Busy Process

    Module state

  • Top Scanned Directories

    Module state

網路封包擷取

網路封包擷取功能是在後端執行 Linux "tcpdump" 指令來協助收集網路封包。如果工具偵測到環境中尚未安裝 "tcpdump" 指令,將會中斷收集並提示需要先安裝 "tcpdump"。使用者可從主選單中選擇 Deep Security Agent > 網路封包擷取。

Module state

在下一頁,選擇正確的網路介面卡(NIC)或 "Any"(針對所有網路介面卡)進行封包收集,或者選擇 "Exit" 返回上一頁。

在以下範例中,輸入 "1" 以選擇 [ens32] 並按下 'Enter' 後,工具將開始收集經過 [ens32] 的網路封包。

Module state

選擇完網路介面卡(NIC)後,您可以選擇手動停止封包收集,或使用計時器自動停止。

Module state

按 "Enter" 鍵停止收集,或者您可以等待計時器自動停止。該工具將把所收集的封包儲存在本地的 ZIP 檔案中。

Module state

退出工具,然後找到密碼為 "trend" 的 ZIP 檔案。

Module state

通過EICAR測試檔案測試防毒功能

支援工具(版本-1.0.0.1015+)具有驗證防毒即時掃描在用戶端是否正常運作的功能。

在主選單中,使用者可以選擇 Deep Security Agent > 通過EICAR測試檔案測試防毒功能

EICAR

啟動此功能時,該工具將把 "EICAR.com" 檔案解壓縮到本機路徑並採取行動。本機路徑是 "/tmp/",應由 DSA 即時掃描策略進行監控。

等待幾秒鐘後,工具將判斷 "EICAR.com" 檔案是否仍然存在。如果不存在,這意味著即時掃描已生效並移除了 "EICAR.com" 檔案。使用者可以在控制台檢查防毒事件。否則,即時掃描可能未正常工作。

Scenario 1: No Detection

Scenario1

Scenario 2: Set detection on WRITE

Scenario2

Scenario 3: Set detection on READ

Scenario3

 
請確保 "/tmp/" 路徑未在排除清單中,並且已啟用防毒即時掃描以確保正確的執行。

Exclusions

 

與 Windows 版本類似,Linux 版本的工具也有非控制台模式運作。如果您將配置檔 (DSALinuxTool.json) 放在與工具相同的路徑下,您可以直接運行該工具,並且它將根據 "DSALinuxTool.json" 中的參數在沒有控制台的情況下運行。該工具過程可能需要一些時間。最後,您將得到命令回饋和日誌。

Module state

Module state

DSALinuxTool.json example:

		{
		    "Top N List": {
		        "generateTopNList": 1
		    },
		    "Debug Setting": {
		        "enableDebugMode": 1,
		        "timerInSecondDebug": 60,
		        "disableDebugAfterTimer": 1
		    },
		    "Log Collection": {
		        "enableLogCollection": 1
		    }
		}

Trend Micro Deep Security Agent 支援工具整合了 Solaris 和 AIX 平台的「日誌收集腳本」。它將自動檢測環境所屬的平台,然後調用相應的 Solaris 或 AIX 腳本來運行。

以下是執行 Solaris 平台腳本時的示例:

Module state

 

Trend Micro Deep Security Agent 支援工具整合了「日誌收集腳本」。

對於 AIX,在繼續之前請確保以下事項:
  • 以 root 用戶運行,且
  • 已安裝 /usr/sbin/tcpdump,
  • 在 /etc/syslog.conf 檔案中存在字串 "kern.debug /var/log/kern.log rotate size 10240k files 10"
 
 
對於 Solaris,在繼續之前請確保以下事項:
  • 以 root 用戶運行,且
  • 已安裝 /usr/sbin/snoop,或
  • 已安裝 /usr/sbin/tcpdump
 

請收回以下 2 個檔案 (diag#1, diag#2 和 diag#3)。參考以下示例:

diag#1=/var/opt/ds_agent/diag/1653885553.zip
diag#2=/var/opt/ds_agent/diag_2022-05-30_04-39-13.tar.gz
diag#3=/var/opt/ds_agent/if.pcap

關鍵字: debug log collection,download tool,user guide,updated tool,log collection tool, DSA tool for linux, linux tool, debug tool linux